跳至主要內容

在 NAC 環境中透過 OCSP 與 CRL 自動化憑證撤銷

本技術參考指南為 IT 經理與網路架構師提供在 Network Access Control (NAC) 環境中自動化憑證撤銷的完整剖析。本指南探討了 OCSP 與 CRL 之間的架構權衡,提供了不限廠商的實作指引,並概述了即時策略執行對企業的影響。

📖 6 分鐘閱讀📝 1,437 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
在 NAC 環境中利用 OCSP 與 CRL 自動化憑證撤銷 Purple 技術簡報 — 閱讀時間約 10 分鐘 --- 簡介與背景 — 閱讀時間約 1 分鐘 歡迎收看 Purple 技術簡報系列。我是您的主持人,今天我們將深入探討自動化憑證撤銷的機制,特別是 OCSP 和 CRL 在網路存取控制(NAC)環境中是如何運作的,以及為什麼正確處理此機制是企業 WiFi 部署中最常被忽視的安全決策之一。 如果您正在營運連鎖飯店、零售物業、體育場館,或是有著成千上萬台連線裝置的公共部門網路,憑證生命週期管理絕非可有可無。它決定了您的網路是能即時執行策略,還是默默容留著幾週前就該被切斷連線的已撤銷憑證裝置。 我們將介紹技術架構、逐步說明兩個實際的部署情境,並在最後提出您的團隊在進行任何實際生產環境部署前應該詢問的問題。 讓我們開始吧。 --- 技術深挖 — 閱讀時間約 5 分鐘 首先,讓我們確定我們要解決的問題。在任何以 802.1X 驗證的網路中(這是支援企業 WiFi、有線 NAC 以及大多數現代訪客存取架構的標準),裝置會使用認證資訊或憑證進行驗證。憑證是較佳的選擇,因為它們不依賴共享金鑰、與裝置綁定,並能透過 SCEP 等協定與 MDM 平台無縫整合。但是憑證是有生命週期的。它們會過期、會被洩露,裝置也會退役。當這些情況發生時,您需要一種機制來告訴您的網路基礎設施:此憑證已不再有效,停止信任它。 這種機制有兩種形式:CRL(代表憑證撤銷清單)與 OCSP(代表線上憑證狀態協定)。 我們首先來看 CRL。憑證撤銷清單正如其名,它是由您的憑證授權單位(CA)發佈並簽署的清單,其中包含所有已被撤銷的憑證序號。您的 NAC 基礎設施(通常是 RADIUS 伺服器,例如 FreeRADIUS、Cisco ISE 或 Aruba ClearPass)會定期從 CRL 分發點(通常只是個 HTTP 或 LDAP 端點)下載此清單。RADIUS 伺服器會在本地快取該清單,並在 EAP-TLS 握手期間比對傳入的憑證序號。 CRL 在維運上的優勢在於簡單性與離線韌性。一旦下載了清單,即使您的 CA 無法連線,撤銷檢查仍能正常運作。缺點則是延遲。如果您在上午 9 點撤銷了某個憑證,而您的 CRL 更新間隔是 24 小時,那麼該裝置在下一次排程下載之前仍能進行驗證。在高度安全的環境中(例如醫院、金融服務後台辦公室、政府網路),這樣的時間差是無法接受的。 OCSP 解決了延遲問題。您的 RADIUS 伺服器不再維護本地快取清單,而是向 OCSP 回應程式(位於 CA 前端的一種服務)針對每個需要驗證的憑證傳送即時查詢。該回應程式會回傳以下三種答案之一:良好、已撤銷或未知。整個交換過程都在 EAP-TLS 握手期間以內嵌方式進行,在配置良好的基礎架構上,通常可在 100 毫秒內完成。 使用 OCSP 的折衷方案是可用性依賴。如果您的 OCSP 回應程式故障,或者您的 RADIUS 伺服器因網路分割而無法存取該回應程式,您就必須做出策略決策:是要「開放性失敗」(允許身分驗證繼續),還是「關閉性失敗」(拒絕存取,直到可以存取回應程式為止)?開放性失敗可維持運作時間,但會產生安全性漏洞。關閉性失敗可維持安全態勢,但在基礎架構事件發生期間可能會將合法使用者阻擋在外。 還有第三種值得了解的選擇:OCSP 裝訂(OCSP Stapling)。在這種模式下,憑證持有者 - 即用戶端裝置 - 會定期從回應程式獲取經簽署的 OCSP 回應,並將其附加到 TLS 握手中。RADIUS 伺服器會驗證裝訂的回應,而不是自行進行 OCSP 查詢。這減輕了 OCSP 回應程式的負載,消除了將憑證序號暴露給外部服務的隱私疑慮,並提高了彈性。缺點是並非所有 EAP 請求方(supplicant)都支援裝訂,因此在依賴它之前,您需要先驗證用戶端的相容性。 那麼,這如何融入 NAC 架構?您的 NAC 策略引擎 - 無論是 Cisco ISE、Aruba ClearPass、Juniper Mist,還是圍繞 FreeRADIUS 和 PacketFence 建置的開源堆疊 - 都介於請求方和網路之間。當裝置嘗試連線時,RADIUS 伺服器會收到 Access-Request、進行 EAP-TLS 協商、驗證用戶端憑證鏈、透過 OCSP 或 CRL 檢查撤銷狀態,然後核發帶有 VLAN 分配的 Access-Accept,或者核發 Access-Reject。 自動化部分在兩個層級上發揮作用。首先,在憑證核發層級:您的 MDM 平台 - Jamf、Intune、Workspace ONE - 使用 SCEP 自動將憑證佈署到受控裝置。當裝置取消註冊或退役時,MDM 會觸發對 CA 的撤銷呼叫,CA 會更新 CRL 並通知 OCSP 回應程式。其次,在 NAC 強制執行層級:您的 RADIUS 伺服器設定為按照定義的排程查詢 OCSP 或重新整理其 CRL 快取,確保撤銷決策能夠在無需手動干預的情況下傳播到存取策略。 這裡的關鍵整合點在於 CA 到 NAC 的通訊管道。在設計良好的部署中,撤銷是一個完全自動化的鏈條:MDM 停用裝置,觸發 CA 撤銷,CA 更新 OCSP 應答器並發佈新的 CRL,RADIUS 伺服器獲取此變更(不論是透過 OCSP 立即獲取,或是在下一次 CRL 重新整理視窗內),接著該裝置在下一次驗證嘗試時就會被拒絕存取。 --- 實作建議與常見陷阱 — 約 2 分鐘 讓我提供一些實用建議,以避免部署過程出錯。 第一:在選擇機制之前,先定義您對撤銷延遲的容忍度。如果您執行的是飯店賓客 WiFi 網路,其中主要風險是已停用的員工裝置,那麼 4 小時的 CRL 重新整理間隔可能就足夠了。如果您執行的是醫療保健網路,其中受損的裝置可能會存取病患資料,您會需要採用 Fail-Closed(故障關閉)策略的 OCSP 以及高可用性的應答器叢集。 第二:切勿在生產環境中僅執行單一 OCSP 應答器。請至少在負載平衡器後方部署兩個應答器,並進行健康狀況監控。因 OCSP 應答器中斷而導致的 Fail-Closed 行為,其產生支援工單的速度將快過幾乎任何其他基礎架構故障。 第三:注意您的 CRL 大小。在大型部署中(我們指的是數萬張憑證),CRL 檔案可能會成長到數個 MB。RADIUS 伺服器每小時透過 WAN 連結下載一個 5MB 的 CRL,是一個遲早會發生的吞吐量問題。請考慮使用 Delta CRL(僅包含自上次完整 CRL 以來的變更),或是在高流量環境中遷移至 OCSP。 第四:定期測試您的撤銷管道。僅設定 OCSP 並假設其正常運作是不夠的。自動化進行每月測試:核發憑證、撤銷憑證、嘗試驗證、確認遭拒絕。如果您的監控沒有捕獲到損壞的 OCSP 應答器,您的撤銷機制就只是擺設。 第五:將您的憑證有效期與您的撤銷策略對齊。短期憑證(24 至 72 小時)可縮短受損憑證的暴露視窗,並能完全減少您對撤銷基礎架構的依賴。這是產業發展的方向,值得在新的部署中進行評估。 --- 快速問答 — 約 1 分鐘 問:我可以同時使用 OCSP 和 CRL 嗎? 可以。大多數 RADIUS 實作都支援後備鏈:先嘗試 OCSP,如果應答器無法連線,則後退至 CRL。這可在正常狀況下為您提供即時檢查,並在發生中斷時提供離線復原能力。 問:Purple 的賓客 WiFi 平台是否與基於憑證的 NAC 整合? Purple 的平台運作於訪客存取層,負責處理 Captive Portal 驗證、資料收集與分析。對於執行憑證驗證 802.1X 的企業員工網路,Purple 是與底層網路基礎架構 - 包括基地台、控制器和 RADIUS 伺服器 - 進行整合,而非取代憑證管理堆疊。訪客網路與員工網路通常會進行區隔,並各自採用適合的驗證機制。 問題:合規性方面的考量為何? PCI DSS 4.0 要求存取持卡人資料環境時必須使用強式驗證。GDPR 要求採取適當的技術措施以保護個人資料。這兩個框架都可以透過具備自動撤銷機制的憑證型 802.1X 來滿足 - 前提是您必須能夠證明撤銷是及時且經過測試的。您的稽核軌跡需要顯示憑證何時被撤銷,以及該撤銷何時傳播到網路執行端。 --- 摘要與後續步驟 - 約 1 分鐘 總結來說:在 NAC 環境中自動化憑證撤銷是一個三層架構的問題。您需要一個支援自動化撤銷觸發器的 CA、一個高可用性且配置適當的 OCSP 回應程式或 CRL 散發點,以及一個設定為將撤銷狀態強制納入其存取原則的 RADIUS 伺服器。 在 OCSP 和 CRL 之間做出選擇並非二分法 - 這是一個風險承受度的決策,應根據您環境的安全需求、網路拓撲和營運成熟度來決定。 如果您正在建置或審查 NAC 部署,並希望瞭解 Purple 的訪客 WiFi 和分析平台如何融入更廣泛的網路架構,節目資訊中的連結將引導您前往相關的技術指南。 感謝您的收聽。我們下次簡報再見。 --- 指令碼結束

header_image.png

執行摘要

對於管理高密度環境(如 餐飲旅宿 場域、 零售 物業和公共部門部署)的企業 IT 總監和網路架構師而言,憑證生命週期管理是關鍵的安全前沿。雖然 IEEE 802.1X 為企業和 BYOD 裝置提供了強大的身分驗證,但撤銷信任的機制往往在發生資安漏洞之前被忽視。

在網路存取控制 (NAC) 環境中,透過線上憑證狀態協定 (OCSP) 和憑證撤銷清單 (CRL) 自動執行憑證撤銷,填補了端點淘汰與網路策略執行之間的空白。本指南探討了自動撤銷的架構機制,比較了 OCSP 的即時功能與 CRL 的離線復原能力。

透過整合行動裝置管理 (MDM) 平台、憑證授權單位 (CA) 和 NAC 策略引擎,企業可以實現零信任網路存取,立即阻止受損或已淘汰的裝置存取網路。此技術參考提供了可行的部署指南、風險緩釋策略,並探討了這種面向內部員工的安全機制如何與 Purple 的 Guest WiFiWiFi Analytics 平台等面向公眾的基礎設施相輔相成。

技術深度解析

在任何使用 IEEE 802.1X 搭配 EAP-TLS 的企業網路中,裝置都是使用數位憑證而非共用認證進行驗證。這種方法是現代安全架構的基礎,提供了繫結裝置的身分,並透過 SCEP 等協定與 MDM 平台無縫整合(延伸閱讀請參閱 The Role of SCEP and NAC in Modern MDM Infrastructure )。然而,憑證具有特定的生命週期。當裝置遺失、員工離職或私鑰洩露時,必須明確指示網路基礎設施不再信任該憑證。

此撤銷指示透過兩種主要機制傳遞:CRL 和 OCSP。

憑證撤銷清單 (CRL) 架構

CRL 是由憑證授權單位發行並簽署的數位檔案,其中包含所有已撤銷但尚未過期的憑證序號。NAC 策略引擎(充當 RADIUS 伺服器)會定期透過 HTTP 或 LDAP 從 CRL 發行點 (CDP) 下載此清單。

在 EAP-TLS 握手期間,RADIUS 伺服器會比對本機快取的 CRL 來驗證傳入的用戶端憑證序號。如果序號存在,則拒絕驗證。

架構特點:

  • 離線備援能力: 由於 RADIUS 伺服器會快取 CRL,因此即使無法連線至 CA 或 CDP,仍可繼續進行撤銷檢查。
  • 延遲: 主要缺點是撤銷與執行之間存在延遲。如果憑證在上午 09:00 被撤銷,而 CRL 更新間隔為 24 小時,則受危害的裝置在下一次下載之前仍可存取網路。
  • 吞吐量開銷: 在擁有數千張憑證的環境中,CRL 檔案可能會增長至數個 MB,從而在更新週期期間對頻寬造成負擔。

線上憑證狀態協定 (OCSP) 架構

OCSP 藉由啟用即時撤銷檢查,解決了 CRL 的延遲限制。RADIUS 伺服器不需要下載整個清單,而是向 OCSP 回應程式傳送包含憑證序號的特定查詢。回應程式會傳回已簽署的狀態:GoodRevokedUnknown

架構特點:

  • 即時執行: 撤銷決定會立即生效。一旦 CA 更新了 OCSP 回應程式,受危害裝置的下一次驗證嘗試就會失敗。
  • 可用性依賴: NAC 策略引擎依賴於 OCSP 回應程式的高可用性。如果無法連線至回應程式,網路管理員必須定義失敗策略:「失敗開啟」(允許存取,但會危害安全性)或「失敗關閉」(拒絕存取,但會影響可用性)。
  • OCSP 裝訂: 為了減輕負載並消除隱私疑慮,OCSP 裝訂允許用戶端裝置獲取已簽署的 OCSP 回應並將其附加到 TLS 握手中,不過用戶端支援情況可能會有所不同。

ocsp_crl_architecture_overview.png

與訪客及分析平台整合

雖然 OCSP 和 CRL 管理著員工和企業裝置的嚴格安全性要求,但面向公眾的網路需要不同的架構。對於公共場所,將強大的員工 NAC 與 Purple 等專用公共平台相整合,可確保全面的覆蓋範圍。Purple 的平台處理公共網路區段的 Captive Portal 驗證、服務條款接受和數據擷取,而底層網路基礎架構(通常是相同的實體存取點和交換器)則針對企業 SSID 執行 802.1X 和 OCSP。瞭解無線電環境對這兩個區段都至關重要;請參閱 Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 以進行頻譜規劃。

實作指南

部署自動化憑證撤銷需要跨 PKI、MDM 和 NAC 領域進行協調。請遵循以下與供應商無關的實作步驟,以建立具備備援能力的撤銷流程。

步驟 1:定義撤銷觸發條件

自動化始於端點管理層。配置您的 MDM 平台(例如 Microsoft Intune、Jamf Pro),以便在滿足特定條件時觸發對憑證授權單位的撤銷 API 呼叫:

  • 當裝置從 MDM 取消註冊時
  • 當裝置被標記為不合規時
  • 當目錄服務中的使用者帳戶被停用時

步驟 2:配置撤銷基礎架構

若部署 CRL:

  1. 配置憑證授權單位(CA)將 CRL 發佈至高可用性的 CDP(例如,經過負載平衡的內部網頁伺服器)。
  2. 根據您的風險承受能力設定 CRL 發佈間隔(例如,每 4 小時)。
  3. 配置 RADIUS 伺服器,以略短於發佈間隔的時間間隔獲取 CRL,以確保快取始終是最新的。

若部署 OCSP:

  1. 在負載平衡器後方部署至少兩個 OCSP 回應程式,以確保高可用性。
  2. 配置 CA 立即將撤銷更新推送到 OCSP 回應程式。
  3. 配置 RADIUS 伺服器在 EAP-TLS 驗證期間查詢負載平衡的 OCSP 虛擬 IP。

步驟 3:建立備援原則

請勿依賴單一機制。配置您的 RADIUS 伺服器將 OCSP 作為主要撤銷檢查,並在無法連線至 OCSP 回應程式時,備援至本機快取的 CRL。這可在正常狀況下提供即時強制執行,並在基礎架構中斷期間提供離線恢復能力。

步驟 4:定義失敗行為

如果 OCSP 和快取的 CRL 皆不可用,RADIUS 伺服器必須決定如何處理驗證請求。

  • 高安全性環境(例如 醫療保健 ): 配置「失敗關閉」。拒絕存取以防止潛在受威脅的裝置進行連線。
  • 標準環境(例如 交通運輸 樞紐): 配置具有警報功能的「失敗開放」。允許存取以維持營運連續性,但為安全營運中心(SOC)產生高優先級警報。

ocsp_vs_crl_comparison_chart.png

最佳實踐

  1. 實作 Delta CRL: 如果在大型環境中依賴 CRL,請實作 Delta CRL。這些檔案僅包含自上次發佈完整基礎 CRL 以來的撤銷變更,這將顯著減少下載大小與頻寬消耗。
  2. 監控 OCSP 延遲: OCSP 查詢是在 EAP-TLS 握手期間以內聯方式進行的。如果 OCSP 回應程式需要 500 毫秒才能回覆,驗證將會延遲 500 毫秒。監控回應程式的延遲,並在回應時間退化時進行橫向擴充。
  3. 短期憑證: 考慮透過自動化的 SCEP 或 EST 更新來縮短憑證有效期(例如,從 1 年縮短至 7 天)。短期憑證會自然且快速地過期,從而降低對健全撤銷基礎架構的依賴。4. 與更廣泛的網路策略保持一致: 確保您的 NAC 部署與您的廣域網路架構相符。如需現代 WAN 設計的深入分析,請參閱 SD WAN vs MPLS: The 2026 Enterprise Network Guide

疑難排解與風險緩解

自動化撤銷最常見的失敗模式是 CA 到 NAC 管道中斷,導致「失敗關閉」事件,進而將合法使用者拒之門外。

風險: OCSP 回應器停機 緩解措施: 在多個容錯網域中部署主動 - 主動叢集的回應器。在負載平衡器上實施全面的健康檢查,不僅驗證 TCP 連接埠 80 的可用性,還要驗證回應器查詢 CA 資料庫的能力。

風險: CRL 快取過期 緩解措施: RADIUS 伺服器可能會因網路分割或 CDP 停機而無法下載最新的 CRL。實施監控,在本地快取的 CRL 比定義的發佈間隔更舊時發出警報。

風險: MDM 撤銷不完全 緩解措施: 如果 MDM 無法觸發對 CA 的撤銷呼叫,憑證仍將保持有效。實施對賬指令碼,定期將 MDM 的作用中裝置清單與 CA 的有效憑證清單進行比對,並自動撤銷任何不一致的憑證。

ROI 與企業影響

自動化憑證撤銷將安全性從被動、手動的流程轉變為主動、自動化的防禦機制。

  • 風險緩解: 透過消除裝置受損與網路隔離之間的空窗期,企業能顯著降低橫向移動和資料外洩的風險。這對於維持與 PCI DSS 和 GDPR 等框架的合規性至關重要。
  • 營運效率: 自動化撤銷管道消除了在員工離職時,客服人員需要手動更新 RADIUS 設定或 CA 資料庫的需求,為大型企業每年節省數百個小時。
  • 統一存取策略: 針對企業裝置的強大 NAC 環境使 IT 團隊能夠放心地部署平行服務,例如 Purple 以分析驅動的顧客 WiFi 或定位服務(參見 BLE Low Energy Explained for Enterprise ),因為他們知道核心基礎架構依然安全。

請在下方收聽我們關於此主題的技術簡報:

關鍵定義

EAP-TLS (可延伸驗證通訊協定 - 傳輸層安全)

802.1X 網路驗證最安全的標準,要求用戶端和伺服器雙方都必須出示數位憑證以證明其身分。

IT 團隊部署 EAP-TLS 以消除與基於密碼的驗證相關的風險,確保只有受管理且持有憑證的設備才能連線到企業網路。

OCSP (線上憑證狀態協定)

一種網際網路協定,用於即時獲取 X.509 數位憑證的撤銷狀態。

對於需要立即執行存取策略的環境至關重要,例如當員工離職且其設備必須立即中斷連線時。

CRL (Certificate Revocation List)

由發行憑證授權單位定期發佈、經過數位簽章的已撤銷憑證序號列表。

在離線或隔離網路中用作主要的撤銷機制,或作為 OCSP 的高彈性備用機制。

OCSP Stapling

一種機制,用戶端裝置藉此獲取自身的 OCSP 響應,並將其「裝訂」到 TLS 握手中,然後出示給 RADIUS 伺服器。

減輕 RADIUS 伺服器和 OCSP 響應器的負載,並防止憑證授權單位查看到裝置確切的驗證時間和地點,從而提高隱私性。

Delta CRL

一個較小的撤銷列表,僅包含自上次發佈完整 Base CRL 以來撤銷的憑證。

對於大型部署至關重要,可防止網路擁塞,因為完整的 CRL 可能會變得非常龐大,並在更新週期中消耗大量頻寬。

CDP (CRL Distribution Point)

憑證授權單位發佈 CRL 以供用戶端和 RADIUS 伺服器下載的位置,通常是 HTTP 或 LDAP URL。

IT 團隊必須確保 CDP 具有高可用性,且可從所有 NAC 原則引擎存取;如果 CDP 停機,RADIUS 伺服器將無法更新其快取。

故障開啟 / 故障關閉 (Fail Open / Fail Closed)

規定當無法存取撤銷基礎架構(OCSP 或 CDP)時該如何處理的原則決策。故障開啟允許存取;故障關閉則拒絕存取。

這是在安全防護態勢與營運正常執行時間之間取得平衡的關鍵業務決策,需要 IT 營運部門和 CISO 的共同簽署。

SCEP (Simple Certificate Enrollment Protocol)

一種由 MDM 平台使用的協定,用於在無需使用者介入的情況下,自動向受管理裝置發行數位憑證。

自動化生命週期的起點。SCEP 發行憑證,隨後在裝置停用時,MDM 會觸發憑證授權單位撤銷該憑證。

範例

一家擁有 500 張病床的醫院網路正在將所有醫療 IoT 設備和員工筆記型電腦從基於憑證的 802.1X 遷移到基於憑證的 EAP-TLS。CISO 要求,如果收到設備遭竊的報告,必須在 5 分鐘內終止其網路存取。網路團隊擔心如果 RADIUS 伺服器必須不斷查詢外部服務,會造成負載過重。此撤銷架構應如何設計?

醫院必須部署 OCSP 以滿足 5 分鐘撤銷的 SLA,因為 CRL 更新間隔在不造成嚴重網路開銷的情況下,無法可靠地達到此目標。為了解決網路團隊對負載的擔憂,該架構應在醫院資料中心內部部署本地的 OCSP 應答器 (OCSP Responders),並鄰近 RADIUS 伺服器以將延遲降至最低。RADIUS 伺服器應設定為查詢本地的 OCSP VIP。為確保彈性,RADIUS 伺服器必須設定在容錯時回復到本地快取的 CRL(每小時更新一次)。由於醫療環境的嚴格合規性要求,失敗策略必須設定為「失敗關閉」(fail closed)。

考官評語: 此方法正確地平衡了嚴格的安全要求(5 分鐘 SLA)與維運穩定性。透過將 OCSP 應答器本地化,該設計減輕了延遲和對 WAN 的依賴。加入 CRL 回復機制展現了對高可用性設計的成熟理解,確保暫時的 OCSP 中斷不會立即觸發「失敗關閉」策略並干擾臨床維運。

一家擁有 1,200 家門市的全球連鎖零售商使用 SCEP 向銷售點 (POS) 平板電腦發放憑證。這些門市的 WAN 頻寬有限。IT 總監希望實作憑證撤銷,但擔心在 1,200 個分支機構的 RADIUS 伺服器上下載大型 CRL 檔案會使 WAN 鏈路飽和。最佳部署策略是什麼?

該零售連鎖店應採用結合 Delta CRL 和 OCSP 裝訂 (OCSP Stapling) 的混合方法。首先,CA 應設定為每週發布一次 Base CRL,並每 4 小時發布一次 Delta CRL(僅包含最近的撤銷)。分支機構的 RADIUS 伺服器在白天只需下載容量極小的 Delta CRL,從而將 WAN 影響降至最低。或者,如果 POS 平板電腦的 EAP 請求方 (supplicant) 支援,則應啟用 OCSP 裝訂。這將獲取 OCSP 回應的負擔從分支機構 RADIUS 伺服器轉移到平板電腦本身,平板電腦可以直接透過標準 HTTPS 從中央 CA 獲取回應,完全繞過 RADIUS 伺服器的處理開銷。

考官評語: 此解決方案有效地解決了特定的限制:邊緣的 WAN 頻寬。針對此情境,推薦 Delta CRL 是標準的業界做法。次要推薦的 OCSP 裝訂展示了對 EAP-TLS 機制的進階知識,不過關於請求方支援的警告至關重要,因為許多舊型的 IoT 或 POS 設備並不支援裝訂。

練習題

Q1. 貴組織正在 50 個遠端分支機構部署 802.1X。連接到中央資料中心的 WAN 連結高度擁塞,且經常遺失封包。您需要為分支機構的企業筆記型電腦實作憑證撤銷。您應該選擇哪種架構?

提示:請考慮封包遺失對即時協定與快取資料彈性之間的影響。

查看標準答案

您應該實作基於 CRL 的架構,特別是使用 Base 和 Delta CRL。由於 WAN 連結擁塞且不可靠,即時 OCSP 查詢將經常逾時,從而導致驗證延遲或失敗。透過將分支機構的 RADIUS 伺服器設定為在離峰時段下載並快取 Delta CRL,即使 WAN 連結在驗證期間完全中斷,本機 RADIUS 伺服器也可以立即針對其快取進行撤銷檢查。

Q2. 安全審計顯示,當您的主要 OCSP 響應器因維護而離線時,所有企業使用者都會被完全鎖定在 WiFi 網路之外。業務部門要求維護不應影響使用者連線,但 CISO 拒絕將原則變更為「故障開啟」。您該如何解決此問題?

提示:如果您無法變更失敗原則,則必須變更服務的可用性。

查看標準答案

您必須為 OCSP 服務實作高可用性。部署至少一個額外的 OCSP 響應器,並將兩者置於負載平衡器後方。將 RADIUS 伺服器設定為查詢負載平衡器的虛擬 IP (VIP)。在維護期間,您可以排空主要響應器的連線並將其離線,負載平衡器將無縫地將所有 OCSP 查詢路由到次要響應器,從而同時滿足業務正常執行時間要求與 CISO 的「故障關閉」授權。

Q3. 您已配置 MDM 在裝置被標記為「遺失」時自動撤銷憑證。您將一部測試 iPad 標記為遺失以測試系統。MDM 確認了撤銷,但 10 分鐘後,該 iPad 仍成功連線到企業 WiFi。RADIUS 伺服器配置為使用每 24 小時發布一次的 CRL。根本原因是什麼?您該如何解決?

提示:追蹤撤銷資料從憑證授權單位到 RADIUS 伺服器執行引擎的時間線。

查看標準答案

根本原因是 CRL 發布與更新週期的延遲。雖然 MDM 成功通知 CA 撤銷憑證,但 CA 在下一個 24 小時週期之前不會將更新後的狀態發布到 CRL 發布點,且 RADIUS 伺服器在其自身的快取過期之前不會下載它。要解決此問題,您必須遷移至 OCSP 以進行即時檢查,或大幅縮短 CRL 發布與下載間隔(例如縮短至 1 小時),以滿足您的強制執行時間表需求。