跳至主要內容
繁體中文

如何實施 SCEP 以實現自動化 WiFi 憑證登錄

本指南說明如何在企業場域中實施 SCEP(簡單憑證登錄協定)以實現自動化 WiFi 憑證登錄。內容涵蓋完整的架構藍圖——從 PKI 設計和 MDM 整合到強制性的三步驟部署流程——並向 IT 主管和網路架構師展示如何消除共享認證、自動化憑證生命週期管理,以及大規模滿足 PCI DSS 和 GDPR 的要求。

📖 10 分鐘閱讀📝 2,383 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
導言與背景介紹 - 0:00 至 1:00 哈囉,歡迎收看 Purple 的技術簡報。今天我們將深入解析 SCEP(簡單憑證註冊協定),以及如何實作該協定以進行自動化 WiFi 憑證註冊。如果您是網路架構師、IT 主管,或是負責管理零售連鎖店、醫院或體育館等大型場域基礎設施的人員,這場簡報就是為您量身打造。我們將直奔主題,探討如何大規模部署 EAP-TLS、為何 SCEP 是裝置識別的最佳選擇,以及您如何在實際環境中進行部署。讓我們直接進入正題。 技術深造 - 1:00 至 6:00 那麼,我們在這裡要解決的具體挑戰究竟是什麼?在企業級 WiFi 安全領域中,EAP-TLS 代表了黃金標準。與依賴使用者密碼的 PEAP 或 EAP-TTLS 等傳統方法不同,EAP-TLS 要求進行基於憑證的雙向驗證。這意味著用戶端裝置必須透過伺服器憑證驗證網路身分,而網路也必須透過唯一的用戶端憑證驗證用戶端身分。 想想密碼的脆弱性。它們可能會被分享、被釣魚竊取或直接被盜。在龐大複雜的企業環境中,一個遭到洩露的密碼就可能讓不法分子存取您的整個內部網路。EAP-TLS 完全消除了這個攻擊管道。其驗證依賴於由公鑰基礎設施(PKI)所核發的 X.509 憑證。 然而,EAP-TLS 的核心挑戰並非協定本身,而是將唯一的用戶端憑證部署到數千台裝置(無論是 Windows 筆記型電腦、iPad 還是 POS 收銀平板電腦)的後勤作業。您無法手動在數千台裝置上安裝憑證。這就是 Microsoft Intune 或 Jamf 等行動裝置管理(MDM)平台的用武之地。但是,您要如何安全地交付這些憑證呢? 一般來說,您有兩個選擇:PKCS 或 SCEP。在此,我必須非常明確地指出:對於 WiFi 驗證,您應該選擇 SCEP。原因如下:使用 SCEP 時,MDM 會指示終端裝置在本地端產生其專屬的金鑰。該金鑰會一直鎖在裝置的安全硬體中,絕不會在網路中傳輸。裝置只需透過閘道(通常是 NDES 伺服器)向您的憑證授權單位(CA)發送憑證簽署請求(CSR)。 相比之下,若使用 PKCS,憑證授權單位會在集中端產生私鑰,然後透過網路將其推送到裝置上。雖然 PKCS 有其適用場景(例如需要金鑰代管的電子郵件加密),但為了進行網路驗證而在網路上传輸私鑰,是您不需要冒的風險。請將金鑰保留在裝置上,並使用 SCEP。 現在,我們來談談實作。如果您要從這場簡報中帶走一個最重要的觀念,那就是這個經驗法則:「先建立信任,再進行驗證」。您不能只推送 WiFi 設定檔就指望它能正常運作。您必須遵循一個嚴格的三步驟部署順序。 步驟一:部署信任的根憑證。在裝置能夠申請用戶端憑證或信任您的 RADIUS 伺服器之前,它必須先信任發行憑證的憑證授權單位(CA)。請先推送此設定檔。 步驟二:設定並推送 SCEP 憑證設定檔。這會告知裝置如何與 SCEP 閘道進行通訊、其主體名稱應使用何種格式,以及該憑證的實際用途。在此案例中,為「用戶端驗證」。您必須將此設定檔連結至您在步驟一中部署的信任根憑證。 步驟三:部署 802.1X WiFi 設定檔。這是您將所有內容整合在一起的步驟。您需要指定 SSID、選取 WPA3-Enterprise、將 EAP 類型設定為 EAP-TLS,並將其指向用於用戶端驗證的 SCEP 憑證。 實作建議與常見陷阱 - 6:00 至 8:00 這是一個我們經常看到的重大陷阱。有用戶端聯絡我們並表示,憑證已存在於裝置上,但 WiFi 設定檔在 Intune 中顯示錯誤。幾乎每一次,這都是因為群組目標對應不匹配。如果您將 SCEP 設定檔指派給「使用者」群組,但將 WiFi 設定檔指派給「裝置」群組,MDM 就無法解析此相依性。請確保這三個設定檔的目標對象完全一致。 讓我們來看一個真實世界的場景。想像一家擁有 200 間客房的飯店。他們為房務人員提供了 150 台受控的 iOS 裝置。目前,他們使用的是標準密碼網路,而員工經常將密碼分享給房客。這是一個令人頭痛的實際營運問題。藉由透過 SCEP 轉移至帶有 EAP-TLS 的 WPA2-Enterprise,IT 總監可以完全消除密碼。iOS 裝置會使用其憑證在背景安靜地進行驗證。 但是,如果房務人員遺失了裝置或離職了會怎麼樣?僅停用其 Active Directory 帳戶是不夠的,因為該裝置上的憑證在密碼學上仍然有效。這帶領我們來到一個關鍵的安全控制:嚴格的 CRL 檢查。您必須設定您的 RADIUS 伺服器以檢查憑證撤銷清單(CRL)。如果裝置遺失,您可以在 CA 撤銷該憑證。RADIUS 伺服器會在 CRL 上看到撤銷狀態,並立即封鎖網路存取。如果沒有嚴格的 CRL 檢查,您的安全防護就稱不上完整。 快速問答 - 8:00 至 9:00 讓我們來解答一些我們經常從 CTO 那裡聽到的快速問答。 問題一:WPA3 Enterprise 是否需要 EAP-TLS?雖然 WPA3 Enterprise 支援其他方法,但強烈建議使用 EAP-TLS。如果您正在實作通常稱為 Suite B 的 WPA3 Enterprise 192 位元安全性套件,則必須使用 EAP-TLS。 問題二:我們可以使用公開憑證給用戶端嗎?不行。您必須使用私有的內部 CA 來核發用戶端憑證。公開 CA 是用於面向公眾的網頁伺服器。您的內部 RADIUS 伺服器需要信任您特定的內部根 CA,才能驗證您的企業裝置。 問題三:這與 OpenRoaming 如何搭配使用?OpenRoaming 依賴於 Passpoint 和 802.1X。Purple 在 Connect 授權下,為 OpenRoaming 等服務扮演免費身分識別提供者的角色,利用底層憑證和身分識別架構,促進跨場域的無縫、安全漫遊。 摘要與後續步驟 - 9:00 至 10:00 總結來說,過渡到自動化 SCEP 憑證部署能帶來真正、可衡量的回報。您將會看到與 Wi-Fi 相關的服務台工單減少 70% 到 80%,因為使用者不會再被鎖定或輸入錯誤的密碼。更重要的是,您消除了憑證收集的風險,確保符合 PCI DSS 和 GDPR 等合規框架。 自動化企業級 Wi-Fi 安全不僅僅是為了鎖定限制,更是為了讓安全之路成為使用者最輕鬆的路徑。您的後續步驟:審計您目前的 802.1X 部署。如果您仍在使用密碼,請設計您的 PKI 並規劃遷移至結合 SCEP 的 EAP-TLS。檢查您的 RADIUS 伺服器是否正在強制執行嚴格的 CRL 或 OCSP 檢查。並驗證您的三個部署設定檔是否都針對同一個群組。 感謝收聽 Purple 的技術簡報。如需更詳細的部署指南,並瞭解我們的分析與身分識別平台如何與您的安全網路整合,請造訪 purple.ai。

header_image.png

執行摘要

對於在飯店、零售物業、體育場館和會議中心運營 Guest WiFi 的場所營運商而言,依靠預先共用金鑰或基本 Captive Portal 來進行員工網路存取是一項安全性隱憂。現代網路架構要求使用 EAP-TLS(可延伸驗證通訊協定 - 傳輸層安全性)進行 802.1X 驗證,以確保每個裝置在接觸網路之前都經過密碼學驗證。挑戰在於分發:如何在不拖垮技術支援團隊的情況下,將唯一的用戶端憑證部署到數千台 Windows、iOS 和 Android 裝置上?

答案就是 SCEP — 簡易憑證登錄協定。IETF 於 2020 年將 SCEP 正式確立為 RFC 8894,它能自動化託管裝置群的憑證登錄。當與 Microsoft Intune 或 Jamf 等 MDM 平台整合時,SCEP 可實現零接觸憑證佈署:裝置無需任何 IT 人員介入,即可自行請求、接收和更新其專屬憑證。私密金鑰在裝置本機端產生且絕不在網路中傳輸 — 與基於 PKCS 的分發相比,這具有根本性的安全優勢。

本指南將逐步介紹完整的 SCEP 實作工作流程:PKI 架構、NDES 閘道設定、強制性的 MDM 三步驟部署程序,以及決定部署成功或停滯的營運控制(特別是 CRL 檢查和群組定位)。兩個真實案例將說明在餐旅和零售環境中的應用方法。Purple 的營運範圍涵蓋 80,000 多個實體場所和 3.5 億不重複使用者;此處描述的模式反映了在此等規模下行之有效的解決方案。

技術深度剖析

SCEP 的實際運作方式

SCEP 介於您的 MDM 平台和憑證授權單位 (CA) 之間。它提供了一種標準化且基於 HTTP 的機制,讓裝置能夠請求、接收和更新 X.509 憑證,而不需要加入網域的認證或手動的管理員參與。該協定最初於 2000 年代初期開發,並在 IETF 於 2020 年正式將其發布為 RFC 8894 之前,已在企業 MDM 環境中獲得廣泛採用。

六步驟的註冊流程如下:第一,受管理裝置連線至其 MDM 設定檔中預先設定的 SCEP 閘道器 URL。第二,裝置在本機產生私鑰/公鑰對,並建立憑證簽署要求 (CSR)。第三,SCEP 閘道器使用內嵌於 MDM 原則中的挑戰密碼或 OTP 來驗證裝置的授權。第四,閘道器將驗證過的 CSR 轉發給 CA。第五,CA 簽署憑證並將其傳回閘道器。第六,閘道器將簽署後的憑證傳遞給裝置。未來的更新流程也遵循相同的自動化路徑:裝置在過期前重新註冊,無需任何使用者或管理員的操作。

scep_architecture_overview.png

SCEP 對決 PKCS:至關重要的抉擇

Microsoft Intune 與大多數 MDM 平台支援兩種憑證傳遞機制:SCEP 與 PKCS。兩者的差異在於架構,而非僅是形式。

採用 SCEP 時,私鑰在裝置上產生並保留在該處,CA 永遠不會接觸到它。裝置的 TPM(Windows 系統)或 Secure Enclave(iOS/macOS 系統)會在硬體層級保護該金鑰。而採用 PKCS 時,CA 會集中產生金鑰對,並透過網路將其傳輸到裝置。CA 會保留一份備份以支援金鑰託管——這對 S/MIME 電子郵件加密很有幫助,但對網路驗證而言則引入了不必要的風險。

針對 802.1X WiFi 驗證,請使用 SCEP。私鑰絕不離開裝置,這是基本原則。

scep_vs_pkcs_comparison.png

評估標準 SCEP PKCS
私鑰產生於 裝置 CA (集中式)
私鑰透過網路傳輸
支援 TPM / Secure Enclave
推薦用於 WiFi 驗證
推薦用於郵件加密 (S/MIME)
可行金鑰託管

802.1X 與 EAP-TLS:驗證架構

IEEE 802.1X 是奠定企業級 WiFi 安全基礎的連接埠型網路存取控制標準。它定義了三種角色:要求端(用戶端裝置)、驗證器(無線基地台,例如 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet),以及驗證伺服器(RADIUS 伺服器,例如 Microsoft NPS、FreeRADIUS 或 Cisco ISE)。

EAP-TLS 是 802.1X 中最安全的 EAP 方法。雙方均需出示憑證:RADIUS 伺服器向用戶端出示其憑證,而用戶端則向 RADIUS 伺服器出示其透過 SCEP 配置的憑證。在沒有來自受信任 CA 階層架構且有效、未經撤銷的憑證情況下,任何一方都無法冒充另一方。這種雙向驗證模式透過單一架構決策,徹底消除了憑證竊取、邪惡雙生仔(Evil Twin)攻擊以及惡意存取點的風險。

EAP-TLS 符合 PCI DSS 4.0 規範 8.6 中關於網路層多因素驗證的要求。它是 WPA3 Enterprise 192 位元 (Suite B) 部署的必要條件。對於處理持卡人資料之範圍內的所有無線網路(例如零售收銀點、飯店櫃檯、體育場售票處),EAP-TLS 都是正確的選擇。

若想深入瞭解 安全 WiFi 架構以及憑證式驗證如何融入更廣泛的安全防護體系,請參閱我們的基本指南。

實作指南

部署順序不可調整。Intune 和 Jamf 會按順序解析設定檔相依性:WiFi 設定檔取決於 SCEP 設定檔,而 SCEP 設定檔又取決於受信任根(Trusted Root)設定檔。若未按順序部署,WiFi 設定檔將無法成功套用。

步驟 1:設計您的 PKI

在您操作 MDM 主控台之前,請先設計好您的憑證階層架構。雙層 PKI 是標準做法:包含一部離線根 CA 與一部線上發行 CA。根 CA 的私鑰是您整個憑證基礎架構的核心信任起點(Master Trust Anchor),請務必保持實體隔離(Air-gapped)。發行 CA 則負責處理日常的憑證簽發,並發佈憑證撤銷清單 (CRL) 及 OCSP 回應程式。

對於大多數企業場域的部署,在 Windows Server 上執行的 Microsoft Active Directory 憑證服務 (AD CS) 可提供發行 CA。來自 SCEPman 或 SecureW2 等供應商的雲端代管 PKI 服務可完全消除對地端基礎架構的需求,非常值得連鎖飯店、零售連鎖店或多據點公共部門組織等分散式資產部署進行評估。

步驟 2:部署 NDES 伺服器(或雲端 SCEP 閘道)

NDES(網路裝置註冊服務)是 Microsoft Windows Server 的角色,可作為 MDM 與 CA 之間的 SCEP 閘道。關鍵組態要求包括:

  • 透過 Azure AD Application Proxy(或同等的反向代理)將 NDES URL 發佈至外部。這可讓遠端裝置在抵達現場之前完成註冊,而無需開啟連入的防火牆連接埠。
  • NDES 服務帳戶需要對 CA 憑證範本擁有「讀取」與「註冊」權限。
  • 設定憑證範本,將金鑰用途(Key Usage)設為「數位簽章」與「金鑰加密」,並將延伸金鑰用途(Extended Key Usage)設為「用戶端驗證」(OID: 1.3.6.1.5.5.7.3.2)。
  • 設定適當的憑證有效期。用戶端憑證標準為一年;對於穩定裝置群中的裝置憑證,兩年是可以接受的。 如果您希望避免在內部部署 NDES 基礎架構,雲端 SCEP 閘道可以直接透過 API 與 Intune 及您的 CA 進行整合,從而完全免除對 IIS 的依賴。

步驟 3:部署信任的根憑證設定檔

在您的 MDM 平台中,建立一個「信任的憑證」設定檔,並將您的根 CA 憑證(以及任何中介 CA 憑證)以 .cer 檔案格式上傳。請在部署任何其他憑證或 WiFi 設定檔之前,先將此設定檔部署到您的目標裝置群組。若少了此步驟,裝置在 EAP-TLS 握手期間將無法驗證 RADIUS 伺服器的憑證,且在要求自身的 SCEP 憑證時也無法信任發行 CA。

經驗法則: 在所有三個相關的設定檔中,務必一律鎖定相同的 Azure AD 群組(使用者或裝置)。此處的配置不一致是導致 WiFi 設定檔部署失敗最常見的單一原因。

步驟 4:設定 SCEP 憑證設定檔

在您的 MDM 中建立 SCEP 憑證組態設定檔:

  • 主體名稱格式: 針對使用者驅動的驗證,使用 CN={{UserPrincipalName}}。針對裝置驗證(建議用於共用裝置與物聯網),使用 CN={{AAD_Device_ID}}
  • 金鑰用途: 數位簽章(Digital Signature)、金鑰加密(Key Encipherment)。
  • 延伸金鑰用途: 用戶端驗證(Client Authentication,OID: 1.3.6.1.5.5.7.3.2)。
  • SCEP 伺服器 URL: 外部發佈的 NDES URL。
  • 根憑證: 連結至步驟 3 中信任的根憑證設定檔。
  • 憑證有效期: 與 CA 上設定的範本保持一致。

步驟 5:部署 802.1X WiFi 設定檔

建立 WiFi 組態設定檔:

  • SSID: 輸入與您的存取點所廣播完全相同的網路名稱。
  • 安全性類型: WPA2-EnterpriseWPA3-Enterprise
  • EAP 類型: EAP-TLS。
  • 用戶端驗證憑證: 選取步驟 4 中的 SCEP 憑證設定檔。
  • 伺服器驗證: 指定步驟 3 中信任的根憑證,並輸入預期的 RADIUS 伺服器名稱。這可防止裝置連線到呈現詐騙憑證的惡意存取點。

最佳實踐

在您的 RADIUS 伺服器上強制執行嚴格的 CRL 檢查

憑證撤銷是一項維運管理控制措施,用以消除「停用帳戶」與「封鎖網路存取」之間的時間差。當裝置遺失、遭竊或員工離職時,請停用 AD 帳戶並在 CA 撤銷該憑證。您的 RADIUS 伺服器必須設定為在每次驗證嘗試時皆檢查 CRL。如果因無法連線到 CDP(CRL 分發點)而導致 CRL 無法使用,大多數 RADIUS 伺服器預設會採取「允許通行(Fail-open)」,這會帶來安全風險。請確保您的 CDP 具備高可用性,且您的 RADIUS 伺服器設定為在無法取得 CRL 時採取「預設阻止(Fail-closed)」。

如需即時撤銷,除了 CRL 之外,亦可設定 OCSP(線上憑證狀態協定)。OCSP 可提供單一憑證的狀態回應,而無需 RADIUS 伺服器下載並剖析整個 CRL。### 針對共用與 IoT 裝置使用裝置憑證

對於共用裝置 — 飯店房務平板電腦、零售 POS 終端機、體育場門禁讀卡機 — 請使用裝置憑證而非使用者憑證。裝置憑證與機器身分綁定,而非使用者帳戶。這表示無論哪位使用者登入,裝置都能進行驗證,且撤銷作業是與裝置記錄綁定,而非員工的離職。

對於 零售 部署,POS 硬體上的裝置憑證也符合 PCI DSS 對網路層裝置身分的要求,而不會在銷售點引入複雜的使用者憑證。

自動化憑證更新

SCEP 支援自動更新:MDM 會在憑證過期前指示裝置重新註冊。請將您的 SCEP 設定檔配置為在憑證剩餘有效期為 20% 時觸發更新。對於一年期的憑證,更新大約會在過期前 73 天開始。這個時間窗口提供了足夠的時間來解決任何更新失敗,避免憑證過期導致裝置失去網路連線。

憑證過期導致大規模驗證失敗是 802.1X 部署中常見的維運事件。透過 SCEP 進行自動化更新可以完全消除此風險。

按憑證屬性進行網路區隔

RADIUS 伺服器可以讀取憑證屬性 — 主體(Subject)、SAN 或自訂 OID — 並使用它們將裝置動態分配到 VLAN。從 HousekeepingDevices 範本發行憑證的房務平板電腦會進入房務 VLAN。從 RetailPOS 範本發行憑證的 POS 終端機則會進入 PCI 範圍內的 VLAN。這是透過密碼學強制執行的網路區隔 — 比基於 SSID 或 MAC 的方法可靠得多。

對於在同一實體基礎架構上同時運行 Guest WiFi 與 Staff WiFi旅宿業 業者而言,透過憑證屬性進行 VLAN 分配可確保賓客和員工始終處於獨立的網路區段,無論裝置連接到哪個 SSID。

疑難排解與風險緩釋

WiFi 設定檔在 Intune 中顯示「錯誤」或「不適用」

根本原因: 群組定位不符。SCEP 設定檔指派給了與 WiFi 設定檔不同的群組。Intune 無法解析憑證相依性。

解決方法: 稽核所有三個設定檔(信任的根、SCEP、WiFi)。確保它們都指派給完全相同的 Azure AD 群組。如果您是部署到「使用者」,這三個設定檔都必須定位到「使用者」群組。如果是部署到「裝置」,則三個都必須定位到「裝置」群組。

NDES 傳回 HTTP 403 錯誤

根本原因: Intune Certificate Connector 服務帳戶對 CA 憑證範本缺少「讀取」或「註冊」權限,或者防火牆 URL 篩選封鎖了 SCEP 查詢字串。

**修正方法:**驗證連接器帳戶在 CA 主控台的範本上具有「讀取」與「註冊」權限。檢查防火牆記錄,確認是否有包含 ?operation=GetCACaps?operation=PKIOperation 的請求遭到封鎖。這些查詢字串必須在未經修改的情況下通過。

裝置在憑證過期前無法更新

**根本原因:**SCEP 更新窗口太短,或是在更新時無法連線至 NDES 伺服器。

**修正方法:**將更新閾值設定為憑證有效期的 20%。確保 NDES URL 已透過高可用性的反向代理發佈。監控 NDES IIS 記錄以尋找更新請求失敗,並主動對其發出警報。

RADIUS 拒絕有效的憑證

**根本原因:**RADIUS 伺服器的受信任 CA 存放區不包含核發 CA 的憑證,或者 CRL 已過期。

**修正方法:**將完整的 CA 鏈(根 CA + 核發 CA)匯入 RADIUS 伺服器的受信任存放區。驗證是否已成功提取 CRL,且可從 RADIUS 伺服器連線至 CDP URL。檢查 CRL 的下一次更新時間戳記 - 如果已經過期,CA 則需要發佈新的 CRL。

如需同時考慮更廣泛的網路效能與安全性,請參閱我們的 頻寬管理指南

ROI 與商業效益

採用基於 SCEP 的憑證註冊之商業案例非常明確。基於密碼的 WiFi 會產生可預測的技術支援工單量:密碼過期、鎖定、員工與訪客共用憑證,以及新進員工的入職摩擦。而基於憑證的驗證對終端使用者而言是完全無感的。裝置會自動連線。沒有密碼會過期、共用或遺忘。

從基於密碼的 WiFi 遷移到採用 SCEP 的 EAP-TLS 的企業組織,通常會報告 WiFi 相關技術支援工單減少了 70-80%(Purple 內部數據,2024 年,基於餐旅與零售物業的部署情況)。光是技術支援服務省下的成本,通常在第一年內就能攤平實施成本。

合規性方面的影響同樣具體。EAP-TLS 符合 PCI DSS 4.0 規範 8.6 中關於網路層多因素驗證的要求。對於 醫療保健 環境,它符合 HIPAA 對於無線網路存取的技術安全防護要求。對於公共部門組織,它支援 NCSC Cyber Essentials Plus 網路存取控制的認證要求。

對於 交通運輸 營運商(鐵路特許經營商、機場營運商、公車路網)而言,在員工裝置上使用基於憑證的驗證,可確保傳輸安全關鍵資料的營運網路與乘客 WiFi 隔離,並免受基於憑證的攻擊。

Purple 的 WiFi Analytics 平台與 802.1X 安全網路整合,在不損及底層基礎架構安全狀況的情況下,提供第一方數據洞察。在 Purple 網路中收集的 290 億個數據點證明,安全與分析是互補而非競爭的目標。

如需在部署安全網路的同時進行回饋與體驗管理,請參閱我們的 場域回饋攻略

關鍵定義

SCEP (Simple Certificate Enrollment Protocol)

一項 IETF 標準化協定 (RFC 8894),可針對受管理裝置自動進行 X.509 憑證註冊。裝置在本地生成自己的私鑰,並僅透過閘道向 CA 發送憑證簽署請求。私鑰絕不會離開裝置。

IT 團隊在配置 MDM 平台(Intune、Jamf)以大規模部署 WiFi 驗證憑證時,會遇到 SCEP。這是 802.1X EAP-TLS 部署的推薦機制,因為私鑰在端點上受到硬體保護。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

最安全的 802.1X 驗證方法。用戶端裝置和 RADIUS 伺服器都會出示 X.509 憑證。若沒有來自受信任 CA 階層的有效且未撤銷憑證,任何一方都無法進行驗證。

EAP-TLS 是 SCEP 憑證部署所啟用的目標驗證協定。它符合 PCI DSS 4.0 要求 8.6,並且是 WPA3 Enterprise 192 位元 (Suite B) 部署的必要條件。

PKCS (Public Key Cryptography Standards)

一種憑證派發機制,由 CA 集中生成公鑰和私鑰組,並將其傳輸至端點。CA 會保留私鑰的複本,以實現金鑰託管。

IT 團隊在 Intune 中設定憑證設定檔時,需在 SCEP 和 PKCS 之間做出選擇。PKCS 適用於需要金鑰託管的 S/MIME 電子郵件加密。不建議將其用於 WiFi 驗證,因為私鑰會透過網路傳輸。

NDES (Network Device Enrollment Service)

一種 Microsoft Windows Server 角色,充當 MDM 平台與憑證授權單位 (CA) 之間的 SCEP 閘道。它負責驗證裝置註冊請求並將 CSR 轉發給 CA。

NDES 是使用 Microsoft Intune 進行地端 SCEP 部署時所需的基礎架構元件。它必須透過應用程式 Proxy 對外發佈,以允許遠端裝置進行註冊。雲端 SCEP 閘道是另一種選擇,可消除對地端 NDES 的依賴。

CRL (Certificate Revocation List)

由 CA 發佈的清單,其中包含在到期日之前已被撤銷的憑證序號。RADIUS 伺服器會檢查 CRL,以確保持有已撤銷憑證的裝置無法進行驗證。

CRL 檢查是執行憑證撤銷的維運控制措施。IT 團隊必須設定其 RADIUS 伺服器,在每次驗證嘗試時檢查 CRL,並確保 CRL 散佈點 (CDP) 具有高可用性。

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準。它定義了企業 WiFi 和有線網路中使用的三方驗證框架(申請者、驗證者、驗證伺服器)。

802.1X 是 EAP-TLS 和 SCEP 運作的框架。IT 團隊在配置 WPA2-Enterprise 或 WPA3-Enterprise SSID 以及設定 RADIUS 伺服器原則時會遇到它。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為網路存取提供集中式驗證、授權和計費 (AAA)。在 802.1X 部署中,RADIUS 伺服器負責驗證用戶端憑證並執行 VLAN 分配原則。

RADIUS 伺服器是每個 802.1X 部署中的驗證決策點。常見的實作包括 Microsoft NPS、FreeRADIUS 和 Cisco ISE。它必須配置受信任的 CA 鏈以及嚴格的 CRL 或 OCSP 檢查。

CSR (Certificate Signing Request)

由裝置生成的編碼文字區塊,其中包含裝置的公鑰和識別資訊。裝置將 CSR 發送給 CA(透過 SCEP 閘道)以請求簽署憑證。對應的私鑰則在裝置上生成並保留。

CSR 是 SCEP 註冊流程中的核心產物。IT 團隊在 MDM 平台的 SCEP 憑證設定檔中設定 CSR 格式(主體名稱、金鑰用途、EKU)。

PKI (Public Key Infrastructure)

建立、管理、分發和撤銷數位憑證所需的硬體、軟體、原則和程序的組合。標準的企業 PKI 由一個離線根 CA 和一個線上發行 CA 組成。

PKI 是任何 EAP-TLS 部署的前提條件。IT 團隊在設定 SCEP 之前,必須設計並部署雙層 CA 階層。雲端託管的 PKI 服務可減輕分散式資產部署的基礎架構負擔。

VLAN (Virtual Local Area Network)

在第 2 層隔離流量的邏輯網路區段。在 802.1X 部署中,RADIUS 伺服器會根據憑證屬性、使用者識別或原則,動態地將裝置分配到指定的 VLAN。

透過 RADIUS 進行 VLAN 分配是在企業 WiFi 中執行網路區隔的機制。IT 團隊使用它來將 POS 裝置劃分到 PCI 範圍的 VLAN、將訪客裝置劃分到僅限網際網路的 VLAN,以及將員工裝置劃分到企業 VLAN,而這一切都只需透過單一實體基礎架構即可實現。

範例

一家擁有 200 間客房的 Premier Inn 飯店需要為 150 台 iOS 房務裝置部署安全的 WiFi。員工目前與賓客共用 WPA2-Personal 密碼,這造成了合規性與營運風險。IT 總監需要在不中斷日常營運的情況下消除共用密碼。

IT 總監分三個階段實施由 Jamf 驅動的 SCEP 部署。第一階段:透過 Jamf 信任的憑證設定檔,將 Root CA 憑證推送到所有 150 台 iOS 裝置,目標鎖定「房務裝置」智慧群組。第二階段:部署 SCEP 憑證設定檔,將裝置導向發行於 Azure AD App Proxy 的 NDES 伺服器。主體名稱使用 CN={{SERIALNUMBER}},將憑證與裝置硬體綁定。第三階段:推送 WPA2-Enterprise WiFi 設定檔,指定 EAP-TLS 並連結至 SCEP 憑證。裝置進行無感驗證。除役共用密碼的 SSID。RADIUS 伺服器配置了嚴格的 CRL 檢查與 VLAN 分配:房務裝置分配至 VLAN 20(營運),賓客裝置分配至 VLAN 10(僅限網際網路)。

考官評語: 此處的關鍵設計決策是針對共用硬體採用裝置憑證(而非使用者憑證),並透過憑證屬性而非 SSID 進行 VLAN 分配。這意味著即使裝置不知何故連接到賓客 SSID,仍會被分配至正確的 VLAN。CRL 檢查配置是不容妥協的:當房務人員離職時,裝置憑證會在 CA 被撤銷,而 RADIUS 伺服器會在 CRL 重新整理間隔內(通常在使用 OCSP 時為 15 分鐘,使用 CRL 時最長為 1 小時)封鎖存取。

一家擁有 500 個據點的連鎖零售商需要為執行付款處理軟體的 Windows POS 平板電腦保護企業 WiFi 安全。PCI DSS 4.0 合規性要求在網路層進行多因素驗證。現有的 WPA2-Personal 設定未能通過 PCI DSS 規範 8.6 的評估。

網路架構師在所有 500 個據點透過 Microsoft Intune 和 SCEP 部署 EAP-TLS。部署使用主體名稱為 CN={{AAD_Device_ID}} 的裝置憑證,將每個憑證與 Intune 裝置記錄綁定。這三個設定檔序列(信任的根憑證、SCEP、WiFi)被部署至「POS 裝置」Azure AD 群組——這三個設定檔均使用相同的群組。RADIUS 伺服器根據憑證的核發範本,將 POS 裝置分配至專用的 PCI 範圍 VLAN(VLAN 100)。CRL 發布至高可用性的 CDN 代管端點,有效期為四小時。啟用 OCSP 以進行即時撤銷檢查。此部署已通過 QSA 針對 PCI DSS 4.0 規範 8.6 的驗證。

考官評語: PCI DSS 的符合是透過 EAP-TLS(您擁有的東西——憑證)以及綁定到 Intune 記錄的裝置身分(您的身分——已註冊的受控裝置)相結合來實現的。透過憑證範本進行的 VLAN 分配可確保 POS 裝置始終處於 PCI 範圍的網路區段中,無論其位於 500 個據點中的哪個實體位置。CDN 代管的 CRL 端點是一項關鍵的可靠性決策:如果無法存取 CRL,驗證將會失敗,從而導致整個據點斷網。CRL 的高可用性與 RADIUS 伺服器本身的高可用性同樣重要。

練習題

Q1. 您已將「信任的根」和 SCEP 憑證設定檔部署到 Intune 中的「全體員工」使用者群組。接著,您將 WiFi 設定檔部署到「公司裝置」裝置群組。裝置收到了憑證,但 WiFi 設定檔在 Intune 主控台中顯示「錯誤」。最可能的原因是什麼,您該如何解決?

提示:考慮 Intune 如何解析設定檔之間的相依性,以及當設定檔針對不同群組類型時會發生什麼事。

查看標準答案

根本原因是群組目標不匹配。WiFi 設定檔相依於 SCEP 設定檔,而 SCEP 設定檔又相依於「信任的根」設定檔。當設定檔針對不同的群組類型(使用者與裝置)時,Intune 無法解析這些相依性。解決方法:將所有三個設定檔重新部署到同一個群組。如果 WiFi 設定檔針對「公司裝置」(裝置群組),則 SCEP 和「信任的根」設定檔也必須針對「公司裝置」。或者,如果需要以使用者為基礎的驗證,請將這三個設定檔都移至使用者群組。

Q2. 據報一名飯店房務人員的 iPad 被盜。您立即停用了該房務人員的 Active Directory 帳戶。隔天早上,被盜的 iPad 仍連線到飯店的 WPA2-Enterprise 網路。為什麼會這樣?您需要採取哪兩項行動來防止這種情況?

提示:思考 RADIUS 伺服器在 EAP-TLS 驗證期間實際驗證了什麼,以及哪些控制措施管理著憑證的有效性。

查看標準答案

停用 AD 帳戶並不會撤銷儲存在 iPad 上的用戶端憑證。在 EAP-TLS 驗證期間,RADIUS 伺服器驗證的是憑證,而不是 AD 帳戶狀態。需要採取的兩項行動是:(1) 在 CA 撤銷該裝置憑證 - 這會將憑證序號新增到 CRL 中;(2) 確保 RADIUS 伺服器設定了嚴格的 CRL 檢查,以便其在下次驗證嘗試時抓取更新的 CRL 並拒絕已撤銷的憑證。若要更快速地撤銷,請在 RADIUS 伺服器上設定 OCSP 以進行即時憑證狀態檢查。

Q3. 某零售連鎖店正在向 500 個 POS 據點部署 802.1X WiFi。安全架構師建議使用 PKCS 憑證傳遞代替 SCEP,以避免部署 NDES 伺服器。審查 PCI DSS 4.0 評估的 QSA 提出了疑慮。該疑慮是什麼?正確的建議又是什麼?

提示:考慮 PCI DSS 對私鑰處理的規定,以及 PKCS 在傳遞過程中對私鑰進行了什麼操作。

查看標準答案

QSA 的疑慮在於 PKCS 會透過網路將私鑰從 CA 傳輸到裝置。PCI DSS 4.0 要求 3.5 規定,用於驗證的私鑰必須受到保護以防洩露。透過網路傳輸私鑰(即使加密)會引入 SCEP 完全消除的風險。正確的建議是使用 SCEP,其中私鑰是在 POS 裝置上產生且絕不離開該裝置。為了避免內部部署的 NDES 基礎架構,架構師應評估直接透過 API 與 Intune 和 CA 整合的雲端 SCEP 閘道服務。

Q4. 您正在為一個每年舉辦 50 多場活動的大型會議中心設計 WiFi 網路。工作人員的裝置需要加入安全的 802.1X 網路。您希望確保在承包商的裝置遭到入侵時,能在 15 分鐘內將其與網路隔離。您會設定哪種憑證撤銷機制,為什麼?

提示:比較 CRL 和 OCSP 在撤銷延遲方面的差異,以及什麼決定了 RADIUS 伺服器對撤銷做出反應的速度。

查看標準答案

在 RADIUS 伺服器上設定 OCSP (線上憑證狀態協定)。基於 CRL 的撤銷其延遲取決於 CRL 的有效期(通常為 1 到 24 小時),這意味著在 RADIUS 伺服器抓取下一個 CRL 之前,已撤銷的憑證可能仍可通過驗證。OCSP 提供即時的單一憑證狀態回應:當憑證在 CA 被撤銷時,OCSP 回應程式會在下一次查詢時立即返回「已撤銷」狀態。在 RADIUS 伺服器上設定 OCSP 後,已撤銷的承包商憑證將在下一次驗證嘗試時被封鎖,通常在幾秒鐘內。確保 OCSP 回應程式具有高可用性 - 如果無法連線且 RADIUS 伺服器設定為失敗時關閉,則所有驗證都將失敗。

繼續閱讀本系列

如何設定 SCEP 以實現自動化企業級 WiFi 憑證註冊

本指南說明如何設定 SCEP(簡單憑證註冊協定)以實現自動化企業級 WiFi 憑證註冊,涵蓋從 PKI 和 NDES 到 MDM 設定檔部署以及 RADIUS 驗證的完整架構。本指南專為飯店、零售連鎖店、體育場館、會議中心和公共部門組織的 IT 經理、網路架構師和 CTO 所設計,旨在協助他們淘汰預先共用金鑰,並實作具擴充性、基於身分識別的 802.1X EAP-TLS 驗證。Purple 獨立於硬體的雲端重疊平台可直接與此架構整合,提供與憑證驗證員工網路並行的訪客和 BYOD WiFi 層。

閱讀指南 →

企業 SCEP 指南:部署簡單憑證登錄協定以實現自動化校園 WiFi 安全

本技術參考指南為使用 SCEP 的企業 WiFi 憑證部署提供了權威的架構藍圖和逐步實施策略。內容涵蓋 SCEP 與 PKCS 之間的核心差異、成功部署所需的確切順序,以及 IT 主管的實際風險緩釋策略。

閱讀指南 →

深入瞭解 Cisco SUDI:網路存取控制中的硬體型裝置識別

本指南詳細介紹 Cisco SUDI 的技術架構,說明以硬體為錨點的識別如何確保網路存取控制的安全。它為 IT 主管提供了具體可行的實作步驟,以便在企業場域中部署 802.1X EAP-TLS 驗證並自動執行零接觸部署 (Zero Touch Provisioning)。

閱讀指南 →