跳至主要內容

如何為安全企業 WiFi 與 BYOD 佈署設定 SCEP

本技術指南說明如何設定簡單憑證註冊協定 (SCEP),以自動化安全 802.1X 企業 WiFi 驗證與 BYOD 佈署。它為網路架構師和 IT 經理提供了權威的佈署順序、來自餐旅和零售業的實際執行案例,以及風險緩釋策略,以消除企業網路中脆弱的預先共用金鑰與 MAC 驗證旁路 (MAC Authentication Bypass)。

📖 8 分鐘閱讀📝 1,754 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收看 Purple 的技術簡報。我是今天的主持人,我們今天將深入探討 SCEP 的設定,以實現安全的企業級 WiFi 和 BYOD 佈署。 對於在餐旅、零售和公共部門營運的 IT 經理、網路架構師和 CTO 而言,管理網路存取是一場在安全性與營運效率之間不斷進行的平衡拉鋸。您每天都要處理數百、甚至數千台連接到您網路的裝置,包括員工智慧型手機、承包商筆記型電腦、銷售點平板電腦等。而過去處理這些問題的舊方法,現在已經完全不夠用了。 依賴預共用金鑰(PSK)來提供員工和 BYOD WiFi,是個隨時可能被利用的安全性漏洞。共用密碼一旦外洩,任何人都能存取您的網路。而 MAC 位址驗證略過(MAB)也沒有好到哪裡去。現代智慧型手機預設會使用隨機化 MAC 位址,這會徹底使 MAB 失效,而且 MAC 位址在幾秒鐘內就能被偽造。 現代網路架構需要使用 EAP-TLS 的 802.1X 驗證。這能確保每台裝置在接觸網路前都經過密碼編譯驗證。但挑戰來了:您要如何在不讓服務台工作量載的情況下,將唯一的用戶端憑證分發到數千台非託管裝置上?答案就是簡單憑證登冊協定,即 SCEP。 讓我們從架構開始。SCEP 是 RFC 8894 中定義的企業裝置登冊產業標準。它自 1999 年由 VeriSign 建立以來一直存在,並且禁得起時間的考驗,因為它優雅地解決了真正棘手的問題。 在 SCEP 工作流程中,裝置會在本地產生自己的私鑰和公鑰組。它會建立一個憑證簽署要求(CSR),並透過網路裝置登冊服務(NDES)傳送到您的憑證授權單位(CA)。CA 會驗證該要求,並將已簽署的公鑰憑證傳回給裝置。 這裡關鍵的安全性優勢在於,私鑰永遠不會離開裝置。它是在本地產生並儲存在裝置的金鑰安全記憶體硬體中。在 Windows 筆記型電腦上,那是信賴平台模組(TPM)。在 iPhone 上,則是安全隔離區(Secure Enclave)。私鑰永遠不會在網路上傳輸。這就是 SCEP 在網路驗證方面遠優於 PKCS 等替代方案的原因,因為在 PKCS 中,CA 是集中產生金鑰組並將其傳輸到裝置上。 現在,讓我們來談談 BYOD。從營運的角度來看,這是真正有趣的地方。您希望員工能夠使用他們的個人裝置來存取內部工具,但您不想強迫他們在您的企業 MDM 中登冊。這涉及隱私疑慮,且會遭到員工的強烈反對。 此解決方案是一個自助式註冊入口網頁。運作方式如下。使用者將其個人裝置連接到專用的設定 SSID。此網路是一個圍牆花園(walled garden),限制存取除了註冊入口網頁和您的身分識別提供者以外的所有內容。使用者使用其企業憑證進行驗證,通常是透過與 Microsoft Entra ID、Okta 或 Google Workspace 的 SAML 整合。驗證成功後,系統會透過 SCEP 產生一個唯一的、裝置專屬的用戶端憑證。組態設定檔會推送到裝置,其中包含該憑證、根 CA 憑證和網路設定。接著,裝置會使用 EAP-TLS 自動連接到安全的企業 SSID。 這對使用者來說是無縫的,對企業來說是安全的。他們不需要了解任何關於憑證或 802.1X 的知識。他們只需登入一次即可連線。 現在,讓我們詳細瞭解實作步驟。部署順序至關重要,順序錯誤是導致失敗最常見的原因。 步驟一:部署信任的根憑證。在任何裝置可以要求用戶端憑證或信任您的 RADIUS 伺服器之前,它必須信任發行憑證機構。將您的根 CA 憑證匯出為 .cer 檔案,並將其部署到您的目標裝置群組。此步驟不容妥協。沒有它,整個鏈結都會失敗。 步驟二:組態設定 SCEP 憑證設定檔。這會指示裝置如何取得其用戶端憑證。您需要組態設定主旨名稱格式。對於使用者驅動的驗證,標準是 CN 等於 UserPrincipalName。對於裝置驗證,請使用 CN 等於 Azure AD 裝置 ID。將金鑰用途設定為數位簽章和金鑰加密。在延伸金鑰用途下,指定 OID 為 1.3.6.1.5.5.7.3.2 的用戶端驗證。將此設定檔連結至步驟一中信任的根憑證設定檔。並提供 NDES 伺服器的外部 URL。 步驟三:部署 802.1X WiFi 設定檔。這會將憑證與網路 SSID 繫結。輸入與您的無線基地台廣播完全相同的網路名稱。將安全性類型設定為 WPA2-Enterprise 或 WPA3-Enterprise。將 EAP 類型設定為 EAP-TLS。選取 SCEP 憑證設定檔作為用戶端驗證憑證。並指定伺服器驗證的信任根憑證。 這個順序是整個簡報中最需要記住的關鍵。信任、憑證,然後 WiFi。每次都必須遵循這個順序。 現在,讓我帶您瞭解一些最佳實務,這些實務將為您在生產環境中省去大量的麻煩。 第一,透過 Azure AD Application Proxy 發行您的 NDES 伺服器。NDES 伺服器必須可以從網際網路存取,以便遠端裝置在抵達現場之前就能完成憑證佈署。但將內部伺服器直接暴露於網際網路上是一個重大的安全性風險。Application Proxy 可為您提供安全的遠端存取,而無需開啟連入的防火牆連接埠。 其次,為個人自攜設備(BYOD)實施短期憑證。不要核發有效期為三年的憑證,而是核發有效期為 90 天的憑證。當憑證過期時,使用者必須透過上線入口網頁重新進行驗證。這會自然地從網路中清除過期的設備。90 天內未使用的設備會直接斷開連接,無需進行手動清理。 第三,這也是絕對關鍵的一點,請設定您的 RADIUS 伺服器以執行嚴格的憑證撤銷清單(CRL)檢查。當員工離職時,如果其用戶端憑證仍然有效,停用其 Active Directory 帳戶可能無法立即撤銷其 WiFi 存取權限。您的 RADIUS 伺服器在授予存取權限之前必須檢查 CRL。請確保您的 CRL 發佈點具有高可用性。如果 RADIUS 伺服器無法連線到 CRL,所有人的驗證都將失敗,這將導致大規模的服務中斷。 現在,讓我們來看看一些常見的失敗模式以及如何避免它們。 最常見的問題是 WiFi 設定檔套用失敗。設備接收到了信任的根憑證和 SCEP 憑證,但 WiFi 設定檔在 MDM 主控台中顯示為錯誤。十之八九,這是群組目標鎖定不匹配所致。如果 SCEP 設定檔指派給「使用者群組」,而 WiFi 設定檔指派給「設備群組」,MDM 則無法解析此相依性。請審計您的指派設定,確保這三個設定檔鎖定完全相同的群組。 第二個常見問題是 NDES 403 Forbidden 錯誤。設備無法取得 SCEP 憑證,且 NDES IIS 記錄顯示 HTTP 403 錯誤。這通常是由於連接器服務帳戶在憑證範本上缺乏必要的權限,或者防火牆封鎖了 SCEP 所使用的特定查詢字串參數。請驗證連接器帳戶在 CA 範本上具有「讀取」與「登冊」權限。檢查您的防火牆記錄,確保包含 operation equals GetCACaps 參數的 URL 未被封鎖。 讓我提供兩個真實世界的案例,以說明這在實務中是如何運作的。 案例一:一家擁有 200 間客房的飯店,有 50 名房務清潔人員使用個人智慧型手機存取班表應用程式。IT 經理希望避免完整的 MDM 登冊以尊重員工隱私。解決方案是採用與 Microsoft Entra ID 整合的自助服務入口網頁。員工連線到佈署 SSID,使用其 Entra ID 認證登入,並下載 SCEP 設定檔。SCEP 伺服器直接向設備核發 30 天的用戶端憑證。設備使用 EAP-TLS 連線到員工 WiFi SSID。RADIUS 伺服器將這些設備指派給受限的 VLAN,僅允許存取班表應用程式。當員工離職時,其 Entra ID 帳戶會被停用,RADIUS 伺服器會立即拒絕其網路存取。 情境二:一家擁有 500 家門市的連鎖零售企業,正為公司自有的端點銷售(POS)平板電腦部署安全 WiFi。網路架構師需要確保即使平板電腦被盜,憑證也無法被竊取。解決方案是使用 Microsoft Intune 透過 SCEP 部署憑證。Intune 推送受信任的根憑證,隨後推送 SCEP 設定檔,指示平板電腦在硬體安全記憶體(Secure Enclave)中生成自己的私鑰。平板電腦向 NDES 伺服器提交 CSR,接收用戶端憑證,並使用 EAP-TLS 連接到零售 POS SSID。由於私鑰是在本地生成且從不傳輸,因此被盜平板電腦的憑證無法在其他地方使用。這符合 PCI DSS 合規性要求。 現在,讓我們談談商業案例。過渡到 SCEP 802.1X 憑證部署,在安全性和營運方面都能帶來顯著的投資報酬率。 基於密碼的 WiFi 會產生大量的技術支援工單。例如密碼過期、鎖定、輸入錯誤等。而基於憑證的驗證對使用者來說是無感的。裝置會自動連線。這通常可以減少 70% 與 WiFi 相關的技術支援工單量。這是營運成本的實質降低。 EAP-TLS 消除了解析憑證和中間人攻擊的風險。這對於零售環境中的 PCI DSS 以及所有行業的 GDPR 合規性至關重要。資料外洩的成本遠高於部署完善的 PKI 基礎設施的成本。 對於已經運行 Purple 的 Guest WiFi 和分析平台的組織來說,將安全上網引導延伸到員工的 BYOD 裝置,提供了一套統一的網路管理策略。Purple 的硬體獨立雲端平台可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 整合,因此您不會被單一硬體廠商綁定。Purple 在全球 80,000 個即時場地營運,並在 2024 年處理了 4.4 億次登入,持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證。 最後,我用快速問答來總結您需要做出的關鍵決策。 您應該使用 SCEP 還是 PKCS?WiFi 驗證請使用 SCEP。私鑰會保留在裝置上。只有在需要金鑰託管的電子郵件加密時,才使用 PKCS。 憑證效期應該設定多長?BYOD 裝置為 90 天。企業託管裝置為一到兩年。 您應該在 MDM 中使用使用者目標定位還是裝置目標定位?對於需要在使用者登入前連線的企業裝置,請使用裝置目標定位。對於需要將憑證與個人綁定的 BYOD 裝置,請使用使用者目標定位。 您如何處理 Android 碎片化問題?盡可能使用 Passpoint(也稱為 Hotspot 2.0)。它在不同的 Android 製造商之間提供了致的連線體驗。 最後,最重要且必須做對的一件事是什麼?在您的 RADIUS 伺服器上啟用 CRL(憑證撤銷清單)檢查。如果沒有它,已被撤銷的憑證仍可能獲得網路存取權限。 今天的簡報到此結束。如果您想深入瞭解其中任何主題,Purple 關於企業 WiFi 安全和 EAP-TLS 憑證驗證的技術指南已發佈在 Purple 官方網站 purple.ai。感謝您的收聽。

header_image.png

執行摘要

對於在餐旅、零售和公共部門營運的企業場所而言,依賴預先共用金鑰 (PSK) 或 MAC 驗證繞過 (MAB) 來提供員工和 BYOD 裝置的 WiFi 存取權限是一項安全隱憂。現代網路架構需要使用 EAP-TLS802.1X 驗證,以確保每個裝置在存取網路前都經過密碼編譯驗證。然而,營運上的挑戰在於如何向數千個非託管裝置分發唯一的用戶端憑證,而不會讓您的 IT 服務台淹沒在支援工單中。

簡單憑證登冊協定 (SCEP)(定義於 RFC 8894)透過自動化的憑證生命週期管理解決了這項分發難題。藉由利用 SCEP,IT 團隊可以將受信任的根憑證和用戶端憑證推送到終端裝置,並確保私密金鑰永遠不會離開該裝置。本指南提供了 SCEP WiFi 憑證部署的權威架構藍圖和逐步實作策略。我們涵蓋了成功部署所需的關鍵部署順序、餐旅和零售業的實際應用情境,以及可確保您的 Guest WiFi 與企業網路安全且高效能的風險緩減策略。

技術深入探討:SCEP 架構

SCEP 是企業裝置登冊的業界標準,由 VeriSign 建立並於 1999 年作為 IETF 網際網路草案發表。它可在公鑰基礎建設 (PKI) 環境中自動核發 X.509 憑證,從而消除大規模手動管理憑證的需求。

scep_architecture_overview.png

在 SCEP 工作流程中,裝置會在本機產生其私密金鑰和公開金鑰對。它會建立一個憑證簽署要求 (CSR),並透過網路裝置註冊服務 (NDES) 伺服器將其傳送到您的憑證授權單位 (CA)。CA 使用共用密碼驗證要求,並將已簽署的公開憑證傳回給裝置。這項關鍵的安全優勢在於私密金鑰永遠不會離開裝置。它是在本機產生並儲存在裝置的硬體安全保護區中 — 意即 Windows 上的信賴平台模組 (TPM) 或 iOS 上的 Secure Enclave。這使得 SCEP 成為 802.1X 驗證強烈建議採用的方法,相較於 PKCS (公開金鑰密碼學標準),後者的 CA 會集中產生金鑰對並透過網路進行傳輸。

SCEP 憑證註冊的四個步驟如下。首先,裝置連線到由 NDES 伺服器代管的 SCEP 端點 URL。其次,裝置出示 SCEP 共用密碼 (靜態密碼或由 MDM 平台產生的動態挑戰) 以驗證註冊要求。第三,裝置產生一個包含其公開金鑰和識別資訊的 CSR。第四,CA 驗證 CSR 並核發已簽署的 X.509 憑證,然後傳回給裝置。

SCEP 對比 PKCS:選擇正確的機制

在設計您的憑證部署策略時,選擇 SCEP 還是 PKCS 會直接影響安全性。下表總結了關鍵差異。

屬性 SCEP PKCS
私密金鑰產生 在裝置上 (安全保護區) 在 CA 伺服器上
私密金鑰傳輸 從不傳輸 透過網路傳輸
基礎架構需求 需要 NDES 伺服器 不需要 NDES
最適合用於 WiFi 與 VPN 驗證 S/MIME 電子郵件加密
802.1X 的安全狀態 建議使用 不建議使用

對於使用 SCEP 的企業級 WiFi,請務必選擇 SCEP。將私密金鑰保留在裝置上是核心的安全屬性,這使得基於憑證的 802.1X 驗證優於任何基於憑證的驗證方法。

BYOD 自助引導上網流程

安全 BYOD 引導上網的基礎,是在不需要完整行動裝置管理 (MDM) 註冊的情況下,從舊版驗證過渡到 EAP-TLS。強迫員工將個人智慧型手機註冊到企業 MDM 會引發合理的隱私疑慮,並面臨強烈反對。自助引導上網入口網頁解決了這個問題。

使用者將其個人裝置連接到專用的佈署 SSID,該 SSID 做為圍牆花園(walled garden),限制僅能存取上線入口網站和身分識別提供者。使用者透過與 Microsoft Entra ID、Okta 或 Google Workspace 的 SAML 或 OAuth 整合進行身分驗證。身分驗證成功後,系統會透過 SCEP 產生唯一的、裝置專屬的用戶端憑證。設定設定檔(Apple 的 .mobileconfig 檔案或 Android Passpoint 設定檔)會推送到該裝置。接著,裝置會使用 EAP-TLS 自動連接到安全的企業 SSID。使用者完全不需要瞭解任何關於憑證或 802.1X 的資訊。

實作指南:部署順序

成功為 802.1X 設定 SCEP 需要嚴格遵守特定的部署順序。在設定身分驗證之前,必須先建立信任。偏離此順序是部署失敗最常見的原因。

步驟 1:部署信任的根憑證。 在任何裝置可以要求用戶端憑證或信任您的 RADIUS 伺服器之前,它必須先信任核發憑證機構 (CA)。將您的根 CA 憑證(以及任何中介 CA 憑證)匯出為 .cer 檔案。透過您的 MDM 平台將此設定檔部署到您的目標裝置群組。此步驟是不可妥協的。

步驟 2:設定 SCEP 憑證設定檔。 這會指示裝置如何取得其用戶端憑證。設定主體名稱格式 - 對於使用者驅動的身分驗證,標準為 CN={{UserPrincipalName}};對於裝置身分驗證,請使用 CN={{AAD_Device_ID}}。將金鑰用途設定為 Digital signatureKey encipherment。在延伸金鑰用途下,指定 Client Authentication (OID: 1.3.6.1.5.5.7.3.2)。將此設定檔連結到步驟 1 中信任的根憑證設定檔。提供您 NDES 伺服器的外部 URL。

步驟 3:部署 802.1X WiFi 設定檔。 推送將憑證綁定到網路 SSID 的 WiFi 設定。輸入與您的存取點 (AP) 廣播完全相同的網路名稱。將安全性類型設定為 WPA2-EnterpriseWPA3-Enterprise。將 EAP 類型設定為 EAP-TLS。選擇 SCEP 憑證設定檔做為用戶端驗證憑證。指定用於伺服器驗證的信任根憑證,以確保裝置僅連接到您合法的 RADIUS 伺服器。

此順序適用於所有支援的硬體平台:Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 與硬體無關的雲端重疊網路與所有這些平台整合,這意味著您的憑證基礎架構不會被鎖定在單一硬體廠商。

最佳實踐

透過 Azure AD Application Proxy 發佈 NDES。 NDES 伺服器必須能夠從網際網路存取,以便遠端裝置在抵達現場前即可佈署憑證。將內部伺服器直接暴露於網際網路會帶來顯著的安全風險。透過 Azure AD Application Proxy 發佈可提供安全的遠端存取,而無需開啟入站防火牆連接埠,並允許您將條件式存取原則套用於註冊流程。

為 BYOD 發行短期憑證。 由於 BYOD 裝置未受託管,因此遭入侵的裝置留在網路上的風險較高。請發行有效期為 90 天而非數年之久的憑證。憑證過期時,使用者必須透過上線入口網站重新進行驗證。這會自然地將過期裝置從網路中清除,而無需 IT 手動干預。

在 RADIUS 伺服器上強制執行嚴格的 CRL 檢查。 憑證部署僅是安全對策的一半。如果員工離職,停用其 Active Directory 帳戶可能無法在其實體用戶端憑證仍有效時,立即撤銷其 WiFi 存取權限。請設定您的 RADIUS 伺服器以強制執行嚴格的憑證撤銷清單 (CRL) 檢查。確保您的 CRL 發佈點 (CDP) 具有高可用性。如果 RADIUS 伺服器無法存取 CRL,所有使用者的驗證都將失敗,從而導致大規模斷線。

將 BYOD 隔離到專用的 VLAN。 BYOD 裝置未受託管。您無法控制其作業系統更新、防毒軟體狀態或已安裝的應用程式。請將 BYOD 裝置放置在僅提供網際網路存取、且僅限於員工角色所需之特定內部應用程式的專用 VLAN 上。切勿將 BYOD 裝置與企業伺服器或受管裝置放在同一個 VLAN 上。

byod_vs_psk_comparison.png

疑難排解與風險緩釋

WiFi 設定檔套用失敗。 裝置已收到信任的根憑證和 SCEP 憑證,但 WiFi 設定檔在 MDM 主控台中顯示為「錯誤」。這幾乎總是由群組目標不匹配所致。如果 SCEP 設定檔指派給「使用者群組」,而 WiFi 設定檔指派給「裝置群組」,則 MDM 無法解析此相依性。請稽核您的指派,並確保信任的根憑證、SCEP 和 WiFi 設定檔都以同一個 Azure AD 群組為目標。 NDES 403 Forbidden 錯誤。 裝置無法擷取 SCEP 憑證,且 NDES IIS 記錄顯示 HTTP 403 錯誤。這很可能是因為連接器服務帳戶在憑證範本上缺乏必要的權限,或者您的防火牆封鎖了 SCEP 所使用的特定查詢字串參數。請驗證連接器帳戶在 CA 範本上是否具有「讀取」與「註冊」權限。檢查防火牆記錄,確保未封鎖包含 ?operation=GetCACaps 的 URL。

Android 碎片化。 Apple iOS 裝置處理 .mobileconfig 設定檔的方式非常一致。然而,Android 系統高度碎片化 - 不同的製造商和作業系統版本處理 WiFi 設定檔和憑證安裝的方式各不相同。請在引導上網入口網頁上提供清晰、針對特定作業系統的說明。使用 Passpoint (Hotspot 2.0) 能在不同製造商之間提供一致的連線流程,進而大幅提升 Android 使用體驗。

憑證撤銷延遲。 當員工離職時,必須立即撤銷其存取權限。停用其 IdP 帳戶是第一步,但 RADIUS 伺服器也必須驗證憑證狀態。請將您的 RADIUS 伺服器設定為除了 CRL 檢查外,也使用線上憑證狀態協定 (OCSP)。OCSP 可提供即時撤銷狀態,而無需依賴定期更新的清單。

投資報酬率 (ROI) 與業務影響

過渡至 SCEP 802.1X 憑證部署,不論在安全還是營運方面,都能帶來可衡量的回報。使用密碼的 WiFi 常常因為密碼過期、鎖定和輸入錯誤而產生大量的客服工單。基於憑證的驗證對使用者而言是無感的 - 裝置會自動連線。這通常能減少 70% 的 WiFi 相關客服工作量,讓 IT 人員得以專注於策略性工作。

EAP-TLS 消除了解析憑證與中間人 (MitM) 攻擊的風險。這對於 零售 環境中的 PCI DSS 合規,以及所有產業的 GDPR 合規至關重要。在 旅宿 業中,員工需要處理付款資料和顧客的個人資訊,資料外洩的代價遠高於部署架構完善的 PKI 基礎設施。相同的合規驅動因素也適用於 交通運輸 營運商和 醫療保健 場所。

對於已經使用 Purple 的 Guest WiFiWiFi Analytics 平台的場所,將安全引導上網擴展至員工 BYOD 裝置,能提供統一且強大的網路管理策略。Purple 全球實體場所服務點超過 80,000 個,在 2024 年處理了 4.4 億次登入(Purple 內部數據),並擁有 ISO 27001, GDPR, CCPA 和 Cyber Essentials 認證。我們的 SecurePass 和 Shield 安全附加元件可直接與本指南中說明的憑證驗證架構整合。

若要更廣泛地瞭解企業網路安全性,請參閱我們的 Enterprise WiFi Security:2026 完整指南 。針對網路管理員特有的 GDPR 合規性考量,請參閱 網路管理員的 GDPR 與訪客數據隱私合規指南

關鍵定義

SCEP (簡單憑證註冊協定)

RFC 8894 中定義的協定,可在 PKI 環境中自動向裝置簽發 X.509 數位憑證。裝置在本地生成自己的私鑰,且該私鑰永遠不會離開裝置。

用於在大規模情況下將 WiFi 驗證憑證佈署到企業和 BYOD 裝置,無需手動 IT 干預。這是 802.1X 憑證佈署的產業標準。

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準(IEEE Std 802.1X-2020)。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制,然後才授予其存取網路資源的權限。

安全企業級 WiFi 的基石,取代了易受攻擊的預共用金鑰。需要 RADIUS 伺服器、用戶端裝置上的 Supplicant(請求項)以及存取點(Access Point)上的 Authenticator(驗證器)。

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

一種要求伺服器和用戶端皆須出示有效數位憑證的驗證架構。提供雙向驗證,確保裝置信任網路,且網路也信任裝置。

最安全的 802.1X 驗證方法。消除憑證遭竊取和中間人攻擊的風險。這是 SCEP 憑證部署旨在實現的目標驗證協定。

NDES (Network Device Enrolment Service)

一項 Microsoft Windows Server 角色,充當橋樑角色,允許沒有網域認證的裝置透過 SCEP 從 Active Directory 憑證服務 CA 取得憑證。

搭配 Microsoft Intune 實作 SCEP 時所需的基礎架構元件。應透過 Azure AD Application Proxy 發佈,以允許安全的遠端憑證佈署。

BYOD (Bring Your Own Device)

允許員工使用其個人智慧型手機、平板電腦或筆記型電腦存取企業網路和應用程式的作法。

需要仔細的網路分段和安全引導,以防止未受管理的裝置危害企業網路。由於隱私考量,對個人裝置進行完整的 MDM 註冊通常是不切實際的。

CRL (Certificate Revocation List)

由憑證授權單位(CA)發佈的列表,其中包含在到期日之前已被撤銷的憑證序號。

在每次驗證嘗試期間,RADIUS 伺服器必須檢查此列表,以確保離職員工或受危害的裝置無法存取網路。CRL 發佈點必須保持高度可用性。

CSR (Certificate Signing Request)

由裝置生成並發送到憑證授權單位(CA)以申請數位身分憑證的訊息。包含裝置的公鑰和身分資訊。

由裝置在 SCEP 過程中生成。用於簽署 CSR 的私鑰保留在裝置上,絕不會被傳輸。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接到網路的使用者和裝置提供集中式驗證、授權和記帳(AAA)管理。

在 802.1X 驗證期間驗證用戶端憑證並授予或拒絕網路存取的伺服器。必須設定為執行嚴格的 CRL 或 OCSP 檢查。

PKCS (Public Key Cryptography Standards)

一組標準,其中公鑰和私鑰皆由憑證授權單位(CA)生成,然後安全地交付給終端節點。

在 WiFi 驗證方面的適用性不如 SCEP,因為私鑰會透過網路傳輸。更適合需要金鑰託管的 S/MIME 電子郵件加密。

OCSP (Online Certificate Status Protocol)

一種提供即時憑證撤銷狀態的協定,作為定期更新之 CRL 的替代方案。

在高安全性環境中比 CRL 更受青睞,因為它能提供即時的撤銷狀態,而不是依賴可能已過期數小時的列表。

範例

一家擁有 200 間客房的飯店需要為 50 名房務人員提供安全的 WiFi 存取,讓他們使用個人智慧型手機 (BYOD) 存取房務排班應用程式。IT 經理希望避免完整的 MDM 註冊以尊重員工隱私,但需要確保在員工離職時能立即撤銷其存取權限。

該飯店佈署了一個與 Microsoft Entra ID 整合的自助式導引入口網站。員工連線至開放的佈署 SSID,使用其 Entra ID 憑據進行驗證,並下載 SCEP 設定檔。SCEP 伺服器直接向裝置發行有效期 30 天的用戶端憑證,且私鑰在智慧型手機的安全記憶區 (secure enclave) 本地產生並儲存。裝置會使用 EAP-TLS 自動連線至 'Staff_WiFi' SSID。RADIUS 伺服器將這些裝置分配到受限制的 VLAN,僅允許存取排班應用程式和網際網路。當員工離職時,其 Entra ID 帳戶會被停用。設定了嚴格 CRL 檢查的 RADIUS 伺服器將在下一次驗證嘗試時拒絕其網路存取。30 天的憑證有效期確保即使 CRL 檢查有所延遲,存取權限也會在一個月內失效。

考官評語: 這種方法在安全性與員工隱私之間取得了平衡。透過 Captive Portal 而非完整的 MDM 註冊來使用 SCEP,飯店避免了在個人裝置上安裝管理設定檔。30 天的憑證有效期和嚴格的 CRL 檢查提供了分層的存取控制。VLAN 區隔確保了即使是受安全威脅的 BYOD 裝置也無法接觸到企業伺服器或付款系統。

一家擁有 500 家門市的全國連鎖零售商需要為執行 Windows 的企業專用銷售點 (POS) 平板電腦佈署安全 WiFi。網路架構師必須確保即使平板電腦失竊,也無法提取網路憑據並用於從其他裝置存取企業網路。PCI-DSS 合規性是強制性的。

網路架構師設定 Microsoft Intune 以透過 SCEP 佈署憑證。Intune 將信任的根憑證推送到 'POS Devices' 群組,隨後推送一個 SCEP 設定檔,指示每台平板電腦在 Windows TPM 中產生自己的私鑰。平板電腦向 NDES 伺服器提交 CSR,接收用戶端憑證,並使用 WPA3 和 EAP-TLS 連線至 'Retail_POS' SSID。RADIUS 伺服器驗證該憑證並將裝置置於隔離的 POS VLAN 中,該 VLAN 僅允許流量傳輸到付款處理商和庫存管理系統。所有三個 Intune 設定檔 - 信任的根憑證、SCEP 和 WiFi - 都分配給同一個 'POS Devices' 裝置群組,以防止相依性失敗。NDES 透過 Azure AD Application Proxy 發佈,以允許在不需要平板電腦在場的情況下進行憑證更新。

考官評語: 這是 PCI-DSS 環境中企業裝置的最佳架構。因為 SCEP 確保私鑰在 TPM 中本地產生且絕不傳輸,所以失竊平板電腦的憑據無法被提取並在另一台裝置上重放。WPA3 標準提供了正向安全 (forward secrecy),確保擷取的流量無法被追溯解密。VLAN 隔離將任何受安全威脅裝置的影響範圍僅限制在 POS 網路區段。

練習題

Q1. 您正透過 Intune 將 SCEP 設定檔部署到一整批 Windows 筆記型電腦。裝置成功接收了信任的根憑證,但 WiFi 設定檔無法套用,並在 Intune 主控台中顯示為「錯誤」。該 SCEP 設定檔已指派給 「All Users」 Azure AD 群組,而 WiFi 設定檔則指派給「Corporate Laptops」裝置群組。導致此失敗的原因是什麼?您該如何解決?

提示:請考慮設定檔之間的相依性,以及當一個設定檔依賴另一個設定檔時,Intune 如何解析群組目標定位。

查看標準答案

此失敗是由於群組定位不比對所致。Intune 無法解析 SCEP 設定檔與 WiFi 設定檔之間的相依性,因為它們定位於不同的群組類型 - 一個定位於使用者,另一個定位於裝置。要解決此問題,請稽核所有三個設定檔指派,並確保信任的根憑證、SCEP 和 WiFi 設定檔全部部署到完全相同的 Azure AD 群組。在所有設定檔中,一致地選擇使用者定位或裝置定位。

Q2. 一家零售場地想要保護其 POS 平板電腦。IT 總監建議使用 PKCS 代替 SCEP,因為它不需 NDES 伺服器,從而簡化了基礎架構。作為網路架構師,您為什麼應該推薦使用 SCEP 進行 802.1X WiFi 驗證?在什麼情況下 PKCS 才是正確的選擇?

提示:思考在這兩種協定中,私鑰是在哪裡產生和儲存的,並考慮其對網路驗證與電子郵件加密的安全影響。

查看標準答案

推薦使用 SCEP 進行 802.1X WiFi 驗證,因為私鑰是在裝置本機產生並儲存在其硬體安全安全區中。私鑰永遠不會離開裝置,也永遠不會跨網路傳輸。如果平板電腦被盜,憑證將無法被提取並在其他裝置上使用。使用 PKCS 時,CA 會集中產生金鑰組並將其傳輸到裝置,這會引入傳輸風險,對於網路驗證來說是不可接受的。只有在需要金鑰託管以便在原始裝置遺失時仍能解密加密電子郵件的 S/MIME 電子郵件加密情況下,PKCS 才是正確的選擇。

Q3. 您正在為一家擁有 500 張床位的醫院設計 BYOD 註冊入口網站。臨床工作人員將使用其個人智慧型手機存取非關鍵的內部應用程式,例如員工排班表和內部通訊。您需要將員工離職後過期裝置留在網路上的風險降至最低,且無需 IT 人員針對每次離職進行手動介入。您應該實施什麼特定的憑證設定?

提示:考慮憑證的生命週期,以及您如何強制裝置定期重新驗證,而無需 IT 手動撤銷每個憑證。

查看標準答案

實施有效期為 30 到 90 天的短期憑證。當憑證過期時,BYOD 裝置將被迫透過 Captive Portal,使用該員工的企業 IdP 認證重新進行驗證。如果該員工已離職且其 IdP 帳戶已被停用,則他們將無法完成重新驗證,也不會收到新憑證。這會自然地將過期裝置從網路中清除,而無需 IT 手動撤銷個別憑證。將此與 RADIUS 伺服器上的 OCSP 檢查相結合,以確保在帳戶停用時立即撤銷,從而在憑證過期週期之間提供深度防禦。

Q4. 您的 NDES 伺服器針對所有 SCEP 憑證要求傳回 HTTP 403 Forbidden 錯誤。該 NDES 伺服器可透過 Azure AD Application Proxy 從網際網路存取。導致此錯誤的兩個最可能原因是什麼?您該如何診斷這兩個原因?

提示:同時考慮憑證範本上的權限,以及裝置與 NDES 伺服器之間的網路路徑。

查看標準答案

最有可能的兩個原因如下:第一,Intune Certificate Connector 服務帳戶缺少 CA 憑證範本的必要權限。請確認服務帳戶在 CA 主控台的範本上具有「讀取」與「註冊」權限。第二,防火牆或 Application Proxy 正在封鎖 SCEP 使用的特定查詢字串參數。請檢查防火牆和 Application Proxy 記錄,尋找包含「?operation=GetCACaps」或「?operation=PKIOperation」等參數的請求。這些是必須允許的標準 SCEP 作業。如果 Application Proxy 正在剝離查詢字串,請調整預先驗證設定,以允許 NDES URL 路徑的高票通過。