跳至主要內容

自動化企業 WiFi 安全性:SCEP 憑證部署指南

本技術指南說明如何使用 SCEP 憑證部署來自動化企業 WiFi 安全性。本指南為在企業與訪客網路中部署 802.1X EAP-TLS 驗證提供了詳細的架構藍圖與實作步驟。

📖 5 分鐘閱讀📝 1,248 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收聽本次技術簡報。今天我將帶您深入了解我們最新的指南:《自動化企業 WiFi 安全性》,特別聚焦於 SCEP 憑證部署。如果您正在管理飯店、連鎖零售商或公共場所的網路,您一定知道,依賴預共用金鑰或簡單的 Captive Portal 來供員工存取,是一個巨大的安全漏洞。今天,我們要探討的是黃金標準:使用 EAP-TLS 的 802.1X 驗證。 讓我們深入探討其架構。EAP-TLS 的核心挑戰不在於協定本身,而是在於如何將唯一的用戶端憑證發送到數千台裝置上的物流作業——無論這些裝置是 Windows 筆記型電腦、iPad 還是端點銷售系統 (POS) 平板電腦。這就是行動裝置管理 (MDM) 平台(如 Microsoft Intune 或 Jamf)發揮作用的地方。但是,您要如何安全地傳遞這些憑證呢? You 通常有兩種選擇:PKCS 或 SCEP。在此我必須非常明確地指出:對於 WiFi 驗證,您需要的是 SCEP。這就是簡單憑證註冊協定。這之所以重要,原因如下:使用 SCEP 時,MDM 會指示端點裝置在本機產生自己的私鑰。該金鑰會一直鎖定在裝置的安全硬體中,絕不會透過網路傳輸。裝置只需透過閘道(通常是 NDES 伺服器)向您的憑證授權單位 (CA) 發送憑證簽署要求 (CSR)。 相比之下,使用 PKCS 時,憑證授權單位會在中央產生私鑰,並透過網路將其推送到裝置。雖然 PKCS 有其適用場景(例如需要金鑰託管的電子郵件加密),但透過網路傳輸私鑰是您在進行網路驗證時完全不需要冒的風險。請將金鑰保留在裝置上,並使用 SCEP。 現在,我們來談談實作。如果這次簡報您只能記住一件事,那就是這個經驗法則:「先信任,後驗證」。您不能只推送 WiFi 設定檔就期望它能正常運作。您必須遵循嚴格的三步驟部署順序。 第一步:部署信任的根憑證。在裝置要求用戶端憑證或信任您的 RADIUS 伺服器之前,它必須先信任發行憑證的憑證授權單位。請先推送此設定檔。 第二步:設定並推送 SCEP 憑證設定檔。這會告訴裝置如何與 SCEP 閘道通訊、其主體名稱要使用什麼格式,以及該憑證的實際用途——在此案例中為「用戶端驗證」。您必須將此設定檔連結至您在第一步中部署的信任根憑證。 第三步:部署 802.1X WiFi 設定檔。這就是您將所有內容整合在一起的地方。您指定 SSID、選擇 WPA3-Enterprise、將 EAP 類型設定為 EAP-TLS,並將其指向 SCEP 憑證以進行用戶端驗證。 這是我們經常看到的一個重大陷阱。客戶打電話給我們說:「憑證已經在裝置上了,但 WiFi 設定檔在 Intune 中顯示錯誤。」幾乎每一次,這都是群組目標對象不相符所致。如果您將 SCEP 設定檔指派給「使用者」群組,卻將 WiFi 設定檔指派給「裝置」群組,MDM 將無法解析相依性。請確保這三個設定檔的目標對象完全一致。 讓我們來看一個真實世界的場景。想像一家擁有 200 間客房的飯店。他們有 150 台受管的 iOS 裝置供房務人員使用。目前,他們使用標準的密碼網路,而員工經常與房客分享密碼。這簡直是一場災難。透過 SCEP 轉移到使用 EAP-TLS 的 WPA2-Enterprise,IT 總監完全消除了密碼。iOS 裝置會使用其憑證在背景安靜地進行驗證。 但是,如果房務人員遺失了裝置或離職了,該怎麼辦?僅停用他們的 Active Directory 帳戶是不夠的,因為該裝置上的憑證在密碼學上仍然有效。這就帶出了關鍵的安全控制:嚴格的 CRL 檢查。您必須設定您的 RADIUS 伺服器以檢查憑證撤銷清單。如果裝置遺失,您可以在 CA 撤銷該憑證。RADIUS 伺服器會在 CRL 上看到該撤銷記錄,並立即封鎖網路存取。如果沒有嚴格的 CRL 檢查,您的安全防護就是不完整的。 總結來說,過渡到自動化 SCEP 憑證部署能帶來巨大的投資報酬率 (ROI)。您將看到與 WiFi 相關的客服工單減少 70% 到 80%,因為使用者不會再被鎖定或輸入錯誤的密碼。更重要的是,您消除了憑據竊取的風險,確保您符合 PCI DSS 和 GDPR 等合規性框架。 自動化企業 WiFi 安全性不僅僅是為了鎖定資源,更是為了讓安全之路成為使用者最輕鬆的路徑。感謝您的收聽,請務必閱讀完整的書面指南,以獲取詳細的逐步設定說明。

header_image.png

执行摘要

对于酒店、零售和公共部门的企事业单位而言,依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证,以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说,挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成,您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别,详细介绍成功部署所需的精确步骤顺序,并概述实际的风险缓解策略,以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报:

技术深度解析:SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时,核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程,允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS),但它们的运行机制根本不同。在 SCEP 工作流中,MDM 服务指示终端生成自己的私钥和公钥对。然后,设备创建证书签名请求 (CSR),并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反,使用 PKCS 时,CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例(例如 S/MIME 邮件加密),而不是网络认证。

scep_vs_pkcs_comparison.png

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包,以便在客户端、接入点和认证服务器(通常是 RADIUS 服务器)之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证:客户端验证 RADIUS 服务器的证书,RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限,从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南:部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台,这都适用。

步骤 1:部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前,它必须信任颁发证书的证书颁发机构。

  1. 导出您的根 CA 证书和任何中间 CA 证书。
  2. 在您的 MDM 平台中,创建一个受信任的证书配置文件。
  3. 上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2:配置 SCEP 证书配置文件

建立信任后,配置 SCEP 配置文件以指示设备如何获取其客户端证书。

  1. 创建一个新的 SCEP 证书配置配置文件。
  2. 配置使用者名称格式。对于用户驱动的认证,使用用户主体名称 (UPN)。对于设备认证,使用设备 ID。
  3. 将密钥用法设置为数字签名和密钥加密。
  4. 为增强型密钥用法指定客户端认证。
  5. 将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
  6. 提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3:部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

  1. 创建一个 WiFi 配置配置文件。
  2. 输入与您的接入点广播完全一致的 SSID。
  3. 选择 WPA2-EnterpriseWPA3-Enterprise 作为安全类型。
  4. 将 EAP 类型设置为 EAP-TLS。
  5. 选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
  6. 指定用于服务器验证的受信任根证书,以确保设备仅连接到您合法的 RADIUS 服务器。

scep_architecture_overview.png

企业环境最佳实践

在实施 SCEP 证书部署时,请遵循以下与厂商无关的最佳实践,以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问,以便远程设备在到达现场之前能够配置证书。然而,将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问,并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半,吊销同样至关重要。如果员工离职,禁用其目录帐户可能无法立即撤销其 WiFi 访问权限(如果其客户端证书仍然有效)。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用;如果 RADIUS 服务器无法访问 CRL,身份验证将失败,从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划,证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书,但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组,而 WiFi 配置文件分配给设备组,则 MDM 无法解析该依赖关系。请审核您的分配,并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误,则服务帐户可能在证书模板上缺乏必要的权限,或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限,并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误,会产生大量的支持工单。基于证书的身份验证对用户是无感的,通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外,EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店,自动化此流程可确保从第一天起就获得统一、零接触的配置体验,在保障网络边界安全的同时,显著降低运营开销。

關鍵定義

SCEP

簡單憑證註冊協定。一種自動化在裝置上要求和安裝數位憑證流程的協定,其中私鑰是在本機產生的。

透過 MDM 平台大規模部署 WiFi 驗證憑證的推薦方法。

PKCS

公鑰密碼學標準。一種部署方法,由憑證授權單位產生公鑰和私鑰,並將其傳輸至端點。

常用於 S/MIME 電子郵件加密,但由於私鑰的網路傳輸,對於 WiFi 而言較不理想。

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準,為希望連線至 LAN 或 WLAN 的裝置提供驗證機制。

企業 WiFi 安全性的強制性基準,取代了易受攻擊的預共用金鑰。

EAP-TLS

可延伸驗證協定 - 傳輸層安全性。一種要求用戶端和伺服器皆須出示有效數位憑證的驗證協定。

被認為是 802.1X 網路最安全的驗證方法,消除了基於密碼的漏洞。

NDES

網路裝置註冊服務。一種伺服器角色,充當閘道,允許沒有網域認證的裝置透過 SCEP 取得憑證。

使用 Microsoft Intune 實作 SCEP 憑證部署時所需的基礎架構元件。

RADIUS

遠端使用者撥入驗證服務。一種提供集中式驗證、授權和計費管理的網路協定。

對照目錄驗證用戶端憑證並授予網路存取權限的伺服器。

CRL

憑證撤銷清單。由憑證授權單位發佈的清單,包含已撤銷憑證的序號。

RADIUS 伺服器必須檢查 CRL,以確保出示的憑證仍然有效且未遭到入侵。

CSR

憑證簽署要求。申請 SSL/TLS 憑證時提供給憑證授權單位的編碼文字區塊。

由裝置在 SCEP 註冊過程中產生,用以要求已簽署的憑證。

範例

一家擁有 200 間客房的飯店需要為房務和維修人員使用的 150 台受管 iOS 裝置部署安全的員工 WiFi。他們目前使用 WPA2-PSK 網路,但員工經常與房客分享密碼。IT 總監該如何實作安全且自動化的解決方案?

IT 總監應將員工 WiFi 轉移至使用 802.1X EAP-TLS 驗證的 WPA2-Enterprise。他們必須設定其 MDM(例如 Jamf)以將 SCEP 承載資料推送到 iOS 裝置。部署順序為:1) 推送根 CA 憑證,使裝置信任該網路。2) 推送 SCEP 設定檔,指示裝置透過 SCEP 閘道向 CA 要求用戶端憑證。3) 推送設定為 WPA2-Enterprise 和 EAP-TLS 的 WiFi 設定檔,並將其連結至 SCEP 憑證。網路無線基地台(例如 HPE Aruba)設定為對照中央 RADIUS 伺服器驗證用戶端。當員工到達時,其裝置會使用憑證自動進行驗證,無需輸入密碼。

考官評語: 此方法完全消除了共用密碼的漏洞。透過使用 SCEP 和 EAP-TLS,飯店可確保只有受管且獲得授權的裝置才能存取員工 WiFi。私鑰在 iOS 裝置上保持安全,如果裝置遺失或員工離職,可透過 CRL 集中撤銷憑證,立即終止網路存取。

一家連鎖零售商正在 50 個據點推廣新的端點銷售系統 (POS) 平板電腦。為了符合 PCI DSS 要求,平板電腦必須連線至安全的無線網路。網路架構師計劃使用 Microsoft Intune 進行部署。哪些架構選擇能確保合規性與安全性?

為了滿足 PCI DSS 對強式密碼學和驗證的要求,架構師必須部署 802.1X EAP-TLS。使用 Microsoft Intune 時,他們應選擇 SCEP 而非 PKCS 進行憑證部署。這可確保私鑰在 POS 平板電腦的 TPM 上產生,且絕不透過網路傳輸。他們必須設定一個透過 Azure AD 應用程式 Proxy 安全發佈的 NDES 伺服器。最後,他們必須設定 RADIUS 伺服器以強制執行嚴格的 CRL 檢查,確保在 POS 平板電腦遭到入侵時,可以立即撤銷其憑證並封鎖網路存取。

考官評語: 為了符合 PCI DSS 規範,選擇 SCEP 而非 PKCS 是此處的關鍵決定,因為這能防止私鑰傳輸。透過應用程式 Proxy 發佈 NDES 伺服器可確保註冊基礎架構的安全。嚴格的 CRL 檢查是強制性的;若沒有它,已撤銷的憑證仍可能允許受入侵的裝置存取付款網路。

練習題

Q1. 您正在使用 Microsoft Intune 為企業園區部署新的 802.1X WiFi 網路。您已設定信任的根設定檔、SCEP 設定檔和 WiFi 設定檔。然而,在測試期間,裝置收到了憑證,但 WiFi 設定檔在 Intune 主控台中顯示為「錯誤」。最可能的原因是什麼?

提示:考慮 MDM 如何解決設定檔之間的相依性。

查看標準答案

最可能的原因是群組目標對象不相符。Intune 要求相依的設定檔必須指派給完全相同的 Azure AD 群組。如果將 SCEP 設定檔指派給使用者群組,而將 WiFi 設定檔指派給裝置群組,Intune 將無法解析相依性,從而導致錯誤。

Q2. 某零售組織希望為其店長平板電腦自動進行憑證部署。他們正在爭論該使用 SCEP 還是 PKCS。安全性是他們最關心的問題,特別是保護私鑰。他們應該選擇哪種協定,為什麼?

提示:思考每個協定中私鑰是在哪裡產生的。

查看標準答案

他們應該選擇 SCEP。在 SCEP 工作流程中,私鑰是在平板電腦本機產生並儲存在其安全隔離區(Secure Enclave)中,絕不離開裝置。使用 PKCS 時,憑證授權單位會產生私鑰並透過網路傳輸至裝置,這會引入潛在的安全漏洞。

Q3. 一名員工離職,其 Active Directory 帳戶已被停用。然而,IT 團隊發現該員工的裝置仍連線至企業 WiFi 網路。該網路使用 EAP-TLS 驗證。RADIUS 伺服器上缺少了什麼設定?

提示:停用帳戶並不會自動使先前核發的憑證失效。

查看標準答案

RADIUS 伺服器缺少嚴格的憑證撤銷清單 (CRL) 檢查。即使目錄帳戶已被停用,用戶端憑證在過期或被明確撤銷之前,在密碼學上仍然有效。必須將 RADIUS 伺服器設定為檢查 CRL,以確保已撤銷的憑證被拒絕存取網路。