如何在 Android 裝置上使用 EAP-TLS 設定企業級 WiFi

如何在 Android 裝置上使用 EAP-TLS 設定企業級 WiFi Purple 技術簡報 — 全程約 10 分鐘 --- 引言與背景 — 全程約 1 分鐘 歡迎收看 Purple 技術簡報系列。我是您的主持人，今天我們將深入探討在 Android 裝置上部署 802.1X EAP-TLS 驗證的具體細節 — 無論您管理的是飯店物業、零售連鎖店、體育場館還是公共部門園區。 如果您負責的網路需要驗證企業或 BYOD Android 裝置，且不希望依賴共用密碼，那麼本期內容非常適合您。EAP-TLS 是企業級 WiFi 安全性的黃金標準 — 它採用雙向憑證驗證，這意味著沒有可被網路釣魚的憑證、無需定期更換密碼，且合規性態勢符合 PCI DSS、ISO 27001 和大多數公共部門的安全框架。 在本簡報結束時，您將完全瞭解 EAP-TLS 在 Android 上的運作原理、您的部署選項有哪些，以及導致部署失敗的三個最常見錯誤。讓我們開始吧。 --- 技術深潛 — 全程約 5 分鐘 我們首先從架構開始。802.1X 是規範基於連接埠之網路存取控制的 IEEE 標準。當 Android 裝置連線到企業級 WiFi 網路（設定為 WPA2-Enterprise 或 WPA3-Enterprise 的網路）時，無線基地台會充當所謂的「驗證者」（authenticator）。它本身不做出驗證決策，而是將對話在裝置與 RADIUS 伺服器（即實際的驗證伺服器）之間進行傳遞。 EAP-TLS — 即傳輸層安全可延伸驗證通訊協定 — 是在該 802.1X 框架內運行的驗證方法。它與在 TLS 通道內使用使用者名稱和密碼的 EAP-PEAP 或 EAP-TTLS 不同，EAP-TLS 在雙方都使用 X.509 憑證。RADIUS 伺服器向裝置出示伺服器憑證，而裝置則向 RADIUS 伺服器回傳用戶端憑證。雙方互相驗證。這就是雙向驗證，也是 EAP-TLS 成為目前最安全選擇的原因。 現在，特別針對 Android 系統，有幾件事您需要瞭解。Android 11 及更高版本引入了更嚴格的憑證驗證要求。如果您部署在 Android 11 或更高版本上（目前這已佔您裝置的大多數），除非 RADIUS 伺服器憑證受到明確信任，否則裝置將拒絕連線。您不能僅依賴系統信任存放區；您必須將根 CA 憑證推送到裝置，或者設定 WiFi 設定檔以明確引用該憑證。 讓我們來談談憑證鏈。在單一 Android 裝置可以透過 EAP-TLS 進行驗證之前，您需要準備好三個元件。第一，憑證授權單位（CA）——可以是您的內部 PKI、Microsoft Active Directory 憑證服務，或是像透過 Intune 進行 SCEP 的雲端 PKI。第二，發行給您的 RADIUS 伺服器並由該 CA 簽署的伺服器憑證。第三，發行給每個裝置或使用者且同樣由該 CA 簽署的唯一用戶端憑證。裝置在 TLS 握手期間出示其用戶端憑證，而 RADIUS 伺服器會根據 CA 的憑證撤銷清單（CRL）或透過 OCSP（線上憑證狀態協定）來驗證該憑證。 對於 Android，用戶端憑證和私鑰通常會封裝為 PKCS12 檔案（即 .p12 或 .pfx 檔案），其中包含憑證和加密的私鑰。在手動設定的裝置上，使用者透過「設定」、「安全性」，然後「安裝憑證」來匯入此檔案。在 MDM 管理的裝置上，憑證會以無聲方式推送到裝置的管理金鑰庫中，無需使用者互動。 現在讓我們來談談 WiFi 設定檔本身。在 Android 上設定企業級 WiFi 連線時，您需要指定：SSID、安全性類型（WPA2-Enterprise 或 WPA3-Enterprise）、EAP 方法（即 TLS）、用於伺服器驗證的 CA 憑證、用於裝置驗證的用戶端憑證，以及識別字串（通常是裝置的通用名稱或使用者的 UPN）。在 Android 11 及以上版本中，您還需要指定網域尾碼比對或伺服器憑證主旨，以防止中間人攻擊。 對於 MDM 部署（這才是真正實現規模化的地方），您會將所有這些內容作為結構化設定檔進行推送。在 Microsoft Intune 中，您建立一個 SCEP 憑證設定檔，該設定檔會自動在每部註冊的 Android 裝置上要求並安裝唯一的用戶端憑證。然後，您建立一個參照該憑證設定檔的 WiFi 設定檔。當裝置進行報到時，它會同時收到憑證和 WiFi 設定檔，並自動連線到您的 802.1X 網路。無需使用者互動，也無需支援通話。如果您正在為此使用 Intune，我們關於如何使用 Microsoft Intune 向裝置推送 WiFi 憑證的隨附指南將逐步引導您完成確切的設定步驟——我建議您在閱讀本簡報的同時閱讀該指南。 對於 VMware Workspace ONE 和 Jamf Connect，其程序在架構上是完全相同的——先是 SCEP 或 PKCS 憑證設定檔，接著是參照該設定檔的 WiFi 設定檔。具體的使用者介面有所不同，但憑證鏈和 RADIUS 設定要求是相同的。 在 RADIUS 方面，有一點非常值得注意：如果您使用的是 FreeRADIUS、Microsoft NPS 或 Cisco ISE，請確保您的伺服器憑證包含正確的「延伸金鑰用途」（EKU）屬性，特別是「伺服器驗證」（OID 1.3.6.1.5.5.7.3.1）。Android 對此要求非常嚴格。如果缺少 EKU 或設定錯誤，在 Windows 用戶端上運作正常的憑證在 Android 上可能會失敗。 --- 實作建議與常見陷阱 — 約 2 分鐘 好，我們來談談實際部署中會遇到哪些問題，因為這正是大多數部署遭遇挫折的地方。 第一個也是最常見的失敗原因是憑證信任。如果無法驗證 RADIUS 伺服器的憑證鏈，Android 11 及以上版本將無法連線。解決方法很簡單：透過 MDM 將您的根 CA 憑證推送到裝置的使用者憑證存放區，並在 WiFi 設定檔的 CA 憑證欄位中明確引用它。不要將其保留為「不驗證」——這是一個安全性漏洞，而且在某些 Android 版本上無論如何都會失敗。 第二個陷阱是憑證過期。用戶端憑證的有效期通常為一到兩年。如果您沒有透過 SCEP 或 NDES 建立自動更新機制，某天早上醒來您會發現有一半的裝置同時失去了 WiFi 存取權限。請從第一天起就將憑證自動更新納入您的 MDM 工作流程中，而不是事後才想辦法。 第三個問題是 RADIUS 伺服器的容量。由於需要進行完整的雙向憑證交換，EAP-TLS 握手在運算上比 PEAP 握手更耗費資源。在有數千個同時驗證需求的體育場或會議中心，規格不足的 RADIUS 伺服器將會成為瓶頸。請根據尖峰時段的同時驗證量來規劃您的 RADIUS 基礎架構規模，而不是根據平均負載。 最後，在 Android 方面，請注意不同的製造商（如 Samsung、Google、Xiaomi）在 WiFi 設定 API 的實作上略有不同。在大規模部署之前，請在您企業中各製造商的代表性裝置上，測試您透過 MDM 推送的設定檔。特別是 Samsung 裝置，過去一直需要明確設定身分（identity）欄位，即使該欄位可以從憑證中推導出來也是如此。 --- 快速問答 — 約 1 分鐘 以下是我經常被問到的幾個快速問題。 我可以在 BYOD 裝置上使用 EAP-TLS 嗎？可以，但這需要使用者在個人裝置上安裝用戶端憑證。對於大規模的 BYOD，請評估採用 PAP 的 EAP-TTLS 或 PEAP-MSCHAPv2 是否是更實際的折衷方案，並將 EAP-TLS 保留給公司資產裝置。 EAP-TLS 支援 WPA3-Enterprise 嗎？支援，而且 192 位元模式的 WPA3-Enterprise 實際上強制要求使用 EAP-TLS。如果您在高安全性環境中部署 WPA3-Enterprise，EAP-TLS 是您唯一符合規範的選擇。 我應該以哪個最低 Android 版本為目標？Android 8 及以上版本原生支援 EAP-TLS。對於 Android 11 及以上版本，請強制執行明確的 CA 憑證驗證。對於 Android 13 及以上版本，您可以利用改進的憑證管理 API 進行更精細的控制。 Purple 的平台可以與 EAP-TLS 網路整合嗎？Purple 的訪客 WiFi 和分析平台與您的 802.1X 企業網路在不同的 SSID 上運作。您的企業裝置在安全 SSID 上透過 EAP-TLS 進行驗證，而訪客裝置則在訪客 SSID 上使用 Purple 的 Captive Portal。兩者共存於同一個存取點基礎架構中，並透過 VLAN 隔離提供安全邊界。 --- 摘要與後續步驟 — 大約 1 分鐘 總結來說：Android 上的 EAP-TLS 是目前最安全的企業 WiFi 驗證方法，而且搭配現代 MDM 工具，大規模部署完全切實可行。需要做對的三件事是：配置妥當且具備自動憑證更新功能的 PKI、在 Android 11 及以上版本上明確信任 CA 憑證，以及針對尖峰負載調整大小的 RADIUS 基礎架構。 如果您是在混合了企業和訪客流量的場域進行部署，Purple 的平台可在訪客網路上為您提供分析和互動層，同時由您的 EAP-TLS 基礎架構保護企業端。兩者相輔相成。 您的後續步驟：請閱讀完整指南中的架構圖，逐步完成 Intune 部署演練，並在推廣到整個場域之前，先在部分裝置上進行試點。從五十台裝置的受控群組開始，驗證憑證傳遞和 WiFi 連線能力，然後信心十足地進行擴展。 感謝收聽 Purple 技術簡報。您可以在 purple.ai 找到完整的書面指南、圖表和配置參考。我們下次見。