如何為安全企業 WiFi 與 BYOD 佈署設定 SCEP
本技術指南說明如何設定簡單憑證註冊協定 (SCEP),以自動化安全 802.1X 企業 WiFi 驗證與 BYOD 佈署。它為網路架構師和 IT 經理提供了權威的佈署順序、來自餐旅和零售業的實際執行案例,以及風險緩釋策略,以消除企業網路中脆弱的預先共用金鑰與 MAC 驗證旁路 (MAC Authentication Bypass)。
收聽此指南
查看播客逐字稿

執行摘要
對於在餐旅、零售和公共部門營運的企業場所而言,依賴預先共用金鑰 (PSK) 或 MAC 驗證繞過 (MAB) 來提供員工和 BYOD 裝置的 WiFi 存取權限是一項安全隱憂。現代網路架構需要使用 EAP-TLS 的 802.1X 驗證,以確保每個裝置在存取網路前都經過密碼編譯驗證。然而,營運上的挑戰在於如何向數千個非託管裝置分發唯一的用戶端憑證,而不會讓您的 IT 服務台淹沒在支援工單中。
簡單憑證登冊協定 (SCEP)(定義於 RFC 8894)透過自動化的憑證生命週期管理解決了這項分發難題。藉由利用 SCEP,IT 團隊可以將受信任的根憑證和用戶端憑證推送到終端裝置,並確保私密金鑰永遠不會離開該裝置。本指南提供了 SCEP WiFi 憑證部署的權威架構藍圖和逐步實作策略。我們涵蓋了成功部署所需的關鍵部署順序、餐旅和零售業的實際應用情境,以及可確保您的 Guest WiFi 與企業網路安全且高效能的風險緩減策略。
技術深入探討:SCEP 架構
SCEP 是企業裝置登冊的業界標準,由 VeriSign 建立並於 1999 年作為 IETF 網際網路草案發表。它可在公鑰基礎建設 (PKI) 環境中自動核發 X.509 憑證,從而消除大規模手動管理憑證的需求。

在 SCEP 工作流程中,裝置會在本機產生其私密金鑰和公開金鑰對。它會建立一個憑證簽署要求 (CSR),並透過網路裝置註冊服務 (NDES) 伺服器將其傳送到您的憑證授權單位 (CA)。CA 使用共用密碼驗證要求,並將已簽署的公開憑證傳回給裝置。這項關鍵的安全優勢在於私密金鑰永遠不會離開裝置。它是在本機產生並儲存在裝置的硬體安全保護區中 — 意即 Windows 上的信賴平台模組 (TPM) 或 iOS 上的 Secure Enclave。這使得 SCEP 成為 802.1X 驗證強烈建議採用的方法,相較於 PKCS (公開金鑰密碼學標準),後者的 CA 會集中產生金鑰對並透過網路進行傳輸。
SCEP 憑證註冊的四個步驟如下。首先,裝置連線到由 NDES 伺服器代管的 SCEP 端點 URL。其次,裝置出示 SCEP 共用密碼 (靜態密碼或由 MDM 平台產生的動態挑戰) 以驗證註冊要求。第三,裝置產生一個包含其公開金鑰和識別資訊的 CSR。第四,CA 驗證 CSR 並核發已簽署的 X.509 憑證,然後傳回給裝置。
SCEP 對比 PKCS:選擇正確的機制
在設計您的憑證部署策略時,選擇 SCEP 還是 PKCS 會直接影響安全性。下表總結了關鍵差異。
| 屬性 | SCEP | PKCS |
|---|---|---|
| 私密金鑰產生 | 在裝置上 (安全保護區) | 在 CA 伺服器上 |
| 私密金鑰傳輸 | 從不傳輸 | 透過網路傳輸 |
| 基礎架構需求 | 需要 NDES 伺服器 | 不需要 NDES |
| 最適合用於 | WiFi 與 VPN 驗證 | S/MIME 電子郵件加密 |
| 802.1X 的安全狀態 | 建議使用 | 不建議使用 |
對於使用 SCEP 的企業級 WiFi,請務必選擇 SCEP。將私密金鑰保留在裝置上是核心的安全屬性,這使得基於憑證的 802.1X 驗證優於任何基於憑證的驗證方法。
BYOD 自助引導上網流程
安全 BYOD 引導上網的基礎,是在不需要完整行動裝置管理 (MDM) 註冊的情況下,從舊版驗證過渡到 EAP-TLS。強迫員工將個人智慧型手機註冊到企業 MDM 會引發合理的隱私疑慮,並面臨強烈反對。自助引導上網入口網頁解決了這個問題。
使用者將其個人裝置連接到專用的佈署 SSID,該 SSID 做為圍牆花園(walled garden),限制僅能存取上線入口網站和身分識別提供者。使用者透過與 Microsoft Entra ID、Okta 或 Google Workspace 的 SAML 或 OAuth 整合進行身分驗證。身分驗證成功後,系統會透過 SCEP 產生唯一的、裝置專屬的用戶端憑證。設定設定檔(Apple 的 .mobileconfig 檔案或 Android Passpoint 設定檔)會推送到該裝置。接著,裝置會使用 EAP-TLS 自動連接到安全的企業 SSID。使用者完全不需要瞭解任何關於憑證或 802.1X 的資訊。
實作指南:部署順序
成功為 802.1X 設定 SCEP 需要嚴格遵守特定的部署順序。在設定身分驗證之前,必須先建立信任。偏離此順序是部署失敗最常見的原因。
步驟 1:部署信任的根憑證。 在任何裝置可以要求用戶端憑證或信任您的 RADIUS 伺服器之前,它必須先信任核發憑證機構 (CA)。將您的根 CA 憑證(以及任何中介 CA 憑證)匯出為 .cer 檔案。透過您的 MDM 平台將此設定檔部署到您的目標裝置群組。此步驟是不可妥協的。
步驟 2:設定 SCEP 憑證設定檔。 這會指示裝置如何取得其用戶端憑證。設定主體名稱格式 - 對於使用者驅動的身分驗證,標準為 CN={{UserPrincipalName}};對於裝置身分驗證,請使用 CN={{AAD_Device_ID}}。將金鑰用途設定為 Digital signature 和 Key encipherment。在延伸金鑰用途下,指定 Client Authentication (OID: 1.3.6.1.5.5.7.3.2)。將此設定檔連結到步驟 1 中信任的根憑證設定檔。提供您 NDES 伺服器的外部 URL。
步驟 3:部署 802.1X WiFi 設定檔。 推送將憑證綁定到網路 SSID 的 WiFi 設定。輸入與您的存取點 (AP) 廣播完全相同的網路名稱。將安全性類型設定為 WPA2-Enterprise 或 WPA3-Enterprise。將 EAP 類型設定為 EAP-TLS。選擇 SCEP 憑證設定檔做為用戶端驗證憑證。指定用於伺服器驗證的信任根憑證,以確保裝置僅連接到您合法的 RADIUS 伺服器。
此順序適用於所有支援的硬體平台:Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 與硬體無關的雲端重疊網路與所有這些平台整合,這意味著您的憑證基礎架構不會被鎖定在單一硬體廠商。
最佳實踐
透過 Azure AD Application Proxy 發佈 NDES。 NDES 伺服器必須能夠從網際網路存取,以便遠端裝置在抵達現場前即可佈署憑證。將內部伺服器直接暴露於網際網路會帶來顯著的安全風險。透過 Azure AD Application Proxy 發佈可提供安全的遠端存取,而無需開啟入站防火牆連接埠,並允許您將條件式存取原則套用於註冊流程。
為 BYOD 發行短期憑證。 由於 BYOD 裝置未受託管,因此遭入侵的裝置留在網路上的風險較高。請發行有效期為 90 天而非數年之久的憑證。憑證過期時,使用者必須透過上線入口網站重新進行驗證。這會自然地將過期裝置從網路中清除,而無需 IT 手動干預。
在 RADIUS 伺服器上強制執行嚴格的 CRL 檢查。 憑證部署僅是安全對策的一半。如果員工離職,停用其 Active Directory 帳戶可能無法在其實體用戶端憑證仍有效時,立即撤銷其 WiFi 存取權限。請設定您的 RADIUS 伺服器以強制執行嚴格的憑證撤銷清單 (CRL) 檢查。確保您的 CRL 發佈點 (CDP) 具有高可用性。如果 RADIUS 伺服器無法存取 CRL,所有使用者的驗證都將失敗,從而導致大規模斷線。
將 BYOD 隔離到專用的 VLAN。 BYOD 裝置未受託管。您無法控制其作業系統更新、防毒軟體狀態或已安裝的應用程式。請將 BYOD 裝置放置在僅提供網際網路存取、且僅限於員工角色所需之特定內部應用程式的專用 VLAN 上。切勿將 BYOD 裝置與企業伺服器或受管裝置放在同一個 VLAN 上。

疑難排解與風險緩釋
WiFi 設定檔套用失敗。 裝置已收到信任的根憑證和 SCEP 憑證,但 WiFi 設定檔在 MDM 主控台中顯示為「錯誤」。這幾乎總是由群組目標不匹配所致。如果 SCEP 設定檔指派給「使用者群組」,而 WiFi 設定檔指派給「裝置群組」,則 MDM 無法解析此相依性。請稽核您的指派,並確保信任的根憑證、SCEP 和 WiFi 設定檔都以同一個 Azure AD 群組為目標。
NDES 403 Forbidden 錯誤。 裝置無法擷取 SCEP 憑證,且 NDES IIS 記錄顯示 HTTP 403 錯誤。這很可能是因為連接器服務帳戶在憑證範本上缺乏必要的權限,或者您的防火牆封鎖了 SCEP 所使用的特定查詢字串參數。請驗證連接器帳戶在 CA 範本上是否具有「讀取」與「註冊」權限。檢查防火牆記錄,確保未封鎖包含 ?operation=GetCACaps 的 URL。
Android 碎片化。 Apple iOS 裝置處理 .mobileconfig 設定檔的方式非常一致。然而,Android 系統高度碎片化 - 不同的製造商和作業系統版本處理 WiFi 設定檔和憑證安裝的方式各不相同。請在引導上網入口網頁上提供清晰、針對特定作業系統的說明。使用 Passpoint (Hotspot 2.0) 能在不同製造商之間提供一致的連線流程,進而大幅提升 Android 使用體驗。
憑證撤銷延遲。 當員工離職時,必須立即撤銷其存取權限。停用其 IdP 帳戶是第一步,但 RADIUS 伺服器也必須驗證憑證狀態。請將您的 RADIUS 伺服器設定為除了 CRL 檢查外,也使用線上憑證狀態協定 (OCSP)。OCSP 可提供即時撤銷狀態,而無需依賴定期更新的清單。
投資報酬率 (ROI) 與業務影響
過渡至 SCEP 802.1X 憑證部署,不論在安全還是營運方面,都能帶來可衡量的回報。使用密碼的 WiFi 常常因為密碼過期、鎖定和輸入錯誤而產生大量的客服工單。基於憑證的驗證對使用者而言是無感的 - 裝置會自動連線。這通常能減少 70% 的 WiFi 相關客服工作量,讓 IT 人員得以專注於策略性工作。
EAP-TLS 消除了解析憑證與中間人 (MitM) 攻擊的風險。這對於 零售 環境中的 PCI DSS 合規,以及所有產業的 GDPR 合規至關重要。在 旅宿 業中,員工需要處理付款資料和顧客的個人資訊,資料外洩的代價遠高於部署架構完善的 PKI 基礎設施。相同的合規驅動因素也適用於 交通運輸 營運商和 醫療保健 場所。
對於已經使用 Purple 的 Guest WiFi 和 WiFi Analytics 平台的場所,將安全引導上網擴展至員工 BYOD 裝置,能提供統一且強大的網路管理策略。Purple 全球實體場所服務點超過 80,000 個,在 2024 年處理了 4.4 億次登入(Purple 內部數據),並擁有 ISO 27001, GDPR, CCPA 和 Cyber Essentials 認證。我們的 SecurePass 和 Shield 安全附加元件可直接與本指南中說明的憑證驗證架構整合。
若要更廣泛地瞭解企業網路安全性,請參閱我們的 Enterprise WiFi Security:2026 完整指南 。針對網路管理員特有的 GDPR 合規性考量,請參閱 網路管理員的 GDPR 與訪客數據隱私合規指南 。
關鍵定義
SCEP (簡單憑證註冊協定)
RFC 8894 中定義的協定,可在 PKI 環境中自動向裝置簽發 X.509 數位憑證。裝置在本地生成自己的私鑰,且該私鑰永遠不會離開裝置。
用於在大規模情況下將 WiFi 驗證憑證佈署到企業和 BYOD 裝置,無需手動 IT 干預。這是 802.1X 憑證佈署的產業標準。
802.1X
一項用於基於連接埠之網路存取控制的 IEEE 標準(IEEE Std 802.1X-2020)。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制,然後才授予其存取網路資源的權限。
安全企業級 WiFi 的基石,取代了易受攻擊的預共用金鑰。需要 RADIUS 伺服器、用戶端裝置上的 Supplicant(請求項)以及存取點(Access Point)上的 Authenticator(驗證器)。
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
一種要求伺服器和用戶端皆須出示有效數位憑證的驗證架構。提供雙向驗證,確保裝置信任網路,且網路也信任裝置。
最安全的 802.1X 驗證方法。消除憑證遭竊取和中間人攻擊的風險。這是 SCEP 憑證部署旨在實現的目標驗證協定。
NDES (Network Device Enrolment Service)
一項 Microsoft Windows Server 角色,充當橋樑角色,允許沒有網域認證的裝置透過 SCEP 從 Active Directory 憑證服務 CA 取得憑證。
搭配 Microsoft Intune 實作 SCEP 時所需的基礎架構元件。應透過 Azure AD Application Proxy 發佈,以允許安全的遠端憑證佈署。
BYOD (Bring Your Own Device)
允許員工使用其個人智慧型手機、平板電腦或筆記型電腦存取企業網路和應用程式的作法。
需要仔細的網路分段和安全引導,以防止未受管理的裝置危害企業網路。由於隱私考量,對個人裝置進行完整的 MDM 註冊通常是不切實際的。
CRL (Certificate Revocation List)
由憑證授權單位(CA)發佈的列表,其中包含在到期日之前已被撤銷的憑證序號。
在每次驗證嘗試期間,RADIUS 伺服器必須檢查此列表,以確保離職員工或受危害的裝置無法存取網路。CRL 發佈點必須保持高度可用性。
CSR (Certificate Signing Request)
由裝置生成並發送到憑證授權單位(CA)以申請數位身分憑證的訊息。包含裝置的公鑰和身分資訊。
由裝置在 SCEP 過程中生成。用於簽署 CSR 的私鑰保留在裝置上,絕不會被傳輸。
RADIUS (Remote Authentication Dial-In User Service)
一種網路協定,為連接到網路的使用者和裝置提供集中式驗證、授權和記帳(AAA)管理。
在 802.1X 驗證期間驗證用戶端憑證並授予或拒絕網路存取的伺服器。必須設定為執行嚴格的 CRL 或 OCSP 檢查。
PKCS (Public Key Cryptography Standards)
一組標準,其中公鑰和私鑰皆由憑證授權單位(CA)生成,然後安全地交付給終端節點。
在 WiFi 驗證方面的適用性不如 SCEP,因為私鑰會透過網路傳輸。更適合需要金鑰託管的 S/MIME 電子郵件加密。
OCSP (Online Certificate Status Protocol)
一種提供即時憑證撤銷狀態的協定,作為定期更新之 CRL 的替代方案。
在高安全性環境中比 CRL 更受青睞,因為它能提供即時的撤銷狀態,而不是依賴可能已過期數小時的列表。
範例
一家擁有 200 間客房的飯店需要為 50 名房務人員提供安全的 WiFi 存取,讓他們使用個人智慧型手機 (BYOD) 存取房務排班應用程式。IT 經理希望避免完整的 MDM 註冊以尊重員工隱私,但需要確保在員工離職時能立即撤銷其存取權限。
該飯店佈署了一個與 Microsoft Entra ID 整合的自助式導引入口網站。員工連線至開放的佈署 SSID,使用其 Entra ID 憑據進行驗證,並下載 SCEP 設定檔。SCEP 伺服器直接向裝置發行有效期 30 天的用戶端憑證,且私鑰在智慧型手機的安全記憶區 (secure enclave) 本地產生並儲存。裝置會使用 EAP-TLS 自動連線至 'Staff_WiFi' SSID。RADIUS 伺服器將這些裝置分配到受限制的 VLAN,僅允許存取排班應用程式和網際網路。當員工離職時,其 Entra ID 帳戶會被停用。設定了嚴格 CRL 檢查的 RADIUS 伺服器將在下一次驗證嘗試時拒絕其網路存取。30 天的憑證有效期確保即使 CRL 檢查有所延遲,存取權限也會在一個月內失效。
一家擁有 500 家門市的全國連鎖零售商需要為執行 Windows 的企業專用銷售點 (POS) 平板電腦佈署安全 WiFi。網路架構師必須確保即使平板電腦失竊,也無法提取網路憑據並用於從其他裝置存取企業網路。PCI-DSS 合規性是強制性的。
網路架構師設定 Microsoft Intune 以透過 SCEP 佈署憑證。Intune 將信任的根憑證推送到 'POS Devices' 群組,隨後推送一個 SCEP 設定檔,指示每台平板電腦在 Windows TPM 中產生自己的私鑰。平板電腦向 NDES 伺服器提交 CSR,接收用戶端憑證,並使用 WPA3 和 EAP-TLS 連線至 'Retail_POS' SSID。RADIUS 伺服器驗證該憑證並將裝置置於隔離的 POS VLAN 中,該 VLAN 僅允許流量傳輸到付款處理商和庫存管理系統。所有三個 Intune 設定檔 - 信任的根憑證、SCEP 和 WiFi - 都分配給同一個 'POS Devices' 裝置群組,以防止相依性失敗。NDES 透過 Azure AD Application Proxy 發佈,以允許在不需要平板電腦在場的情況下進行憑證更新。
練習題
Q1. 您正透過 Intune 將 SCEP 設定檔部署到一整批 Windows 筆記型電腦。裝置成功接收了信任的根憑證,但 WiFi 設定檔無法套用,並在 Intune 主控台中顯示為「錯誤」。該 SCEP 設定檔已指派給 「All Users」 Azure AD 群組,而 WiFi 設定檔則指派給「Corporate Laptops」裝置群組。導致此失敗的原因是什麼?您該如何解決?
提示:請考慮設定檔之間的相依性,以及當一個設定檔依賴另一個設定檔時,Intune 如何解析群組目標定位。
查看標準答案
此失敗是由於群組定位不比對所致。Intune 無法解析 SCEP 設定檔與 WiFi 設定檔之間的相依性,因為它們定位於不同的群組類型 - 一個定位於使用者,另一個定位於裝置。要解決此問題,請稽核所有三個設定檔指派,並確保信任的根憑證、SCEP 和 WiFi 設定檔全部部署到完全相同的 Azure AD 群組。在所有設定檔中,一致地選擇使用者定位或裝置定位。
Q2. 一家零售場地想要保護其 POS 平板電腦。IT 總監建議使用 PKCS 代替 SCEP,因為它不需 NDES 伺服器,從而簡化了基礎架構。作為網路架構師,您為什麼應該推薦使用 SCEP 進行 802.1X WiFi 驗證?在什麼情況下 PKCS 才是正確的選擇?
提示:思考在這兩種協定中,私鑰是在哪裡產生和儲存的,並考慮其對網路驗證與電子郵件加密的安全影響。
查看標準答案
推薦使用 SCEP 進行 802.1X WiFi 驗證,因為私鑰是在裝置本機產生並儲存在其硬體安全安全區中。私鑰永遠不會離開裝置,也永遠不會跨網路傳輸。如果平板電腦被盜,憑證將無法被提取並在其他裝置上使用。使用 PKCS 時,CA 會集中產生金鑰組並將其傳輸到裝置,這會引入傳輸風險,對於網路驗證來說是不可接受的。只有在需要金鑰託管以便在原始裝置遺失時仍能解密加密電子郵件的 S/MIME 電子郵件加密情況下,PKCS 才是正確的選擇。
Q3. 您正在為一家擁有 500 張床位的醫院設計 BYOD 註冊入口網站。臨床工作人員將使用其個人智慧型手機存取非關鍵的內部應用程式,例如員工排班表和內部通訊。您需要將員工離職後過期裝置留在網路上的風險降至最低,且無需 IT 人員針對每次離職進行手動介入。您應該實施什麼特定的憑證設定?
提示:考慮憑證的生命週期,以及您如何強制裝置定期重新驗證,而無需 IT 手動撤銷每個憑證。
查看標準答案
實施有效期為 30 到 90 天的短期憑證。當憑證過期時,BYOD 裝置將被迫透過 Captive Portal,使用該員工的企業 IdP 認證重新進行驗證。如果該員工已離職且其 IdP 帳戶已被停用,則他們將無法完成重新驗證,也不會收到新憑證。這會自然地將過期裝置從網路中清除,而無需 IT 手動撤銷個別憑證。將此與 RADIUS 伺服器上的 OCSP 檢查相結合,以確保在帳戶停用時立即撤銷,從而在憑證過期週期之間提供深度防禦。
Q4. 您的 NDES 伺服器針對所有 SCEP 憑證要求傳回 HTTP 403 Forbidden 錯誤。該 NDES 伺服器可透過 Azure AD Application Proxy 從網際網路存取。導致此錯誤的兩個最可能原因是什麼?您該如何診斷這兩個原因?
提示:同時考慮憑證範本上的權限,以及裝置與 NDES 伺服器之間的網路路徑。
查看標準答案
最有可能的兩個原因如下:第一,Intune Certificate Connector 服務帳戶缺少 CA 憑證範本的必要權限。請確認服務帳戶在 CA 主控台的範本上具有「讀取」與「註冊」權限。第二,防火牆或 Application Proxy 正在封鎖 SCEP 使用的特定查詢字串參數。請檢查防火牆和 Application Proxy 記錄,尋找包含「?operation=GetCACaps」或「?operation=PKIOperation」等參數的請求。這些是必須允許的標準 SCEP 作業。如果 Application Proxy 正在剝離查詢字串,請調整預先驗證設定,以允許 NDES URL 路徑的高票通過。
繼續閱讀本系列
如何安全地隔離員工與訪客 WiFi 網路
本權威技術指南為 IT 領導者提供實用的策略,利用 VLAN 與 802.1X 安全地隔離員工、訪客及 IoT WiFi 網路。內容詳細說明如何保護企業基礎架構、維護 PCI DSS 合規性,並利用 captive portals 收集第一方數據。
最佳 DNS filtering:企業綜合指南
本技術參考指南說明企業級 DNS filtering 如何在建立連線之前的解析層阻擋惡意網域,進而保護公共網路的安全。它為 IT 總監、網路架構師和場所營運團隊提供了保護餐飲旅宿、零售和公共部門環境中 Guest WiFi 所需的佈署架構、防火牆設定以及合規性背景。Purple Shield 在 DNS 層級為超過 80,000 個實體場所阻擋惡意軟體、殭屍網路和不當內容。
深入理解 Cisco SUDI:安全網路存取控制中的硬體錨定身分驗證
本指南說明 Cisco SUDI 如何為企業網路基礎設施提供硬體錨定且具密碼編譯安全性的身分。了解如何以不可變的 802.1AR 憑證取代易遭偽造的 MAC 位址,以確保您場域的網路存取控制安全。