管理 EAP-TLS WiFi 驗證的數位憑證

請以自信、權威且口語化的英國英語口氣發言——就像資深顧問向客戶進行簡報一樣。節奏沉穩、咬字清晰、溫暖而直接。偶爾自然停頓以示強調： 歡迎收看 Purple 技術簡報系列。今天我們要討論的是 EAP-TLS 憑證管理——具體來說，是如何大規模運行憑證型 WiFi 驗證計劃，而不會使其成為全職的維運負擔。 [medium pause] 如果您負責跨多個據點的公司或員工 WiFi——無論是飯店集團、零售物業、大學校園還是公共部門資產——這場簡報都非常適合您。我們將涵蓋完整的憑證生命週期：從建立您的 CA 階層架構，到透過 SCEP 和 MDM 進行自動化部署，再到更新與撤銷。我們還會探討哪些地方容易出錯（因為確實會出錯），以及如何避免最常見的陷阱。 [medium pause] 讓我們從基本原理開始。EAP-TLS（即具有傳輸層安全性的可延伸驗證協定）是 802.1X WiFi 驗證的金科玉律。與依賴使用者名稱和密碼的 PEAP 不同，EAP-TLS 使用雙向憑證型驗證。裝置使用用戶端憑證證明其身分。RADIUS 伺服器使用伺服器憑證證明其身分。雙方互相驗證。沒有密碼會被釣魚。沒有憑證會被竊取。這就是為什麼 PCI DSS 4.0 和 NCSC 的零信任指引都指向針對員工網路採用憑證型驗證的原因。 [medium pause] 接著是架構。要讓 EAP-TLS 運作，您需要三樣東西。第一，公鑰基礎建設（PKI）——即您的 CA 階層架構。第二，將憑證部署到裝置上的機制——也就是 SCEP 或您的 MDM 平台。第三，一個信任您的 CA 且能即時驗證用戶端憑證的 RADIUS 伺服器。 [medium pause] CA 階層架構是大多數組織早期最容易遇到麻煩的地方。正確的模式是三層模型。最頂層是根憑證授權單位（Root CA）——這應該是離線且實體隔離（air-gapped）的，只有在需要為您的中介憑證授權單位（Intermediate CA）憑證簽章時才會連線。中介憑證授權單位（有時稱為簽發憑證授權單位 Issuing CA）是實際簽發日常憑證的單位。它處於連線狀態，但其私鑰受到妥善保護。在此之下，您會簽發兩種類型的憑證：用於 RADIUS 基礎建設的伺服器憑證，以及用於裝置和使用者的用戶端憑證。 [medium pause] 為什麼這很重要？因為如果您的 Root CA 遭到入侵，您就必須從頭開始重建整個 PKI，並重新註冊每台裝置。保持其離線狀態可以消除這種風險。中介 CA 可以在不影響 Root CA 的情況下進行更換。這就是三層模型在維運韌性上的優勢。 [medium pause] 我們來談談憑證有效期限。業界在這方面發生了重大轉變。Apple、Google 和 Mozilla 都已開始強制縮短憑證的最長生命週期。對於 TLS 伺服器憑證，目前最長期限為 398 天。對於企業 WiFi 中的用戶端憑證，您擁有更大的彈性——通常是一到兩年——但目前的趨勢是縮短生命週期並採用自動更新，而非手動管理長期憑證。原因很簡單：縮短生命週期可以限制憑證遭到破解時的暴露期。 [medium pause] 這帶領我們走向自動化。手動憑證管理無法擴充規模。如果您有 500 台裝置，您勉強還可以手動管理更新。但如果您在 50 個據點擁有 5,000 台裝置，這就變得不可能了。您需要 SCEP（簡單憑證註冊協定）或其現代繼承者 EST。SCEP 直接與 MDM 平台整合，包括 Microsoft Intune、Jamf Pro 和 VMware Workspace ONE。MDM 會將 SCEP 設定設定檔推送到裝置。裝置產生金鑰組，向您的 SCEP 伺服器傳送憑證簽署要求，並接收回傳的已簽署憑證——這一切完全不需要任何使用者互動。 [medium pause] 對於 Active Directory 環境中的 Windows 裝置，您有另一種選擇：透過 Active Directory 憑證服務進行群組原則驅動的自動註冊。裝置向網域進行驗證，憑證授權單位（CA）會自動核發憑證，且憑證在過期前會自動更新，無需任何手動介入。對於大量使用 Windows 的環境，這是最無縫的途徑。 [medium pause] 接著是撤銷。這是組織最常投資不足的部分，但也是出問題時最重要的環節。如果裝置遺失、遭竊或員工離職，您需要立即撤銷其憑證。有兩種機制：CRL（憑證撤銷清單）和 OCSP（線上憑證狀態協定）。 [medium pause] CRL 是較舊的機制。您的 CA 會在已知的 URL 發布已撤銷憑證序號的清單。RADIUS 伺服器會定期下載此清單並進行比對。CRL 的問題在於延遲——如果您的 CRL 有 24 小時的有效期限，已撤銷的憑證在撤銷後最多仍可在 24 小時內進行驗證。 [medium pause] OCSP 則是即時的替代方案。針對每次驗證嘗試，RADIUS 伺服器都會向 OCSP 回應程式傳送查詢，並取得即時的有效或已撤銷回應。妥協之處在於，您的 OCSP 回應程式會成為關鍵依賴——如果它無法使用，您需要決定是要「失敗開啟」還是「失敗關閉」。對於高安全性環境，「失敗關閉」是正確的答案。對於著重可用性的營運環境，您可以設定短暫的 OCSP 寬限期。 [medium pause] 讓我給您兩個具體的情境，使其更加具體。 [medium pause] 首先：一家擁有 150 家物業的飯店集團。他們原本針對員工 WiFi 運行 PEAP 並使用共用密碼。密碼每季輪替一次，這意味著每季會有兩週的窗口期，期間員工會被鎖定或使用舊密碼。他們改用 EAP-TLS，並使用 Microsoft Intune 進行憑證部署。SCEP 設定檔被推送到所有 Windows 和 iOS 裝置。以 Active Directory 憑證服務作為 CA。結果是：零密碼輪替事件、憑證在過期前 30 天自動處理更新，且當員工離職時，在其帳戶於 Microsoft Entra ID 中停用後的幾分鐘內，其憑證就會在 MDM 中被撤銷。IT 團隊估計，他們每季在密碼重設和支援服務工單方面節省了約 40 個小時。 [medium pause] 第二：一家在 200 家門市中擁有 3,000 台員工裝置的多據點零售連鎖店。這裡的挑戰在於裝置的多樣性——混合了 Windows 筆記型電腦、Android 手持裝置和 iOS 裝置。他們針對 Apple 裝置使用 Jamf Pro，針對 Windows 和 Android 使用 Microsoft Intune，兩者都指向同一個由 Microsoft ADCS 中介 CA 支援的 SCEP 伺服器。WiFi 基礎架構為 Cisco Meraki，並透過與 Purple 整合的雲端託管 RADIUS 服務來處理 RADIUS 驗證。關鍵的設計決策是核發有效期為 12 個月的憑證，並設定在過期前 60 天自動更新。這提供了一個充裕的更新窗口，且不會增加營運開銷。 [medium pause] 現在來談談陷阱。我經常看到以下四個陷阱。 [medium pause] 第一：未測試撤銷。企業組織建立了自己的 PKI、部署了憑證，卻從未實際測試撤銷機制是否能端到端正常運作。請務必測試。撤銷一張測試憑證，確認 RADIUS 伺服器在您預期的窗口期內偵測到該撤銷，並確認該裝置被拒絕存取。 [medium pause] 第二：過期懸崖。如果您在同一時間核發所有具有相同有效期的憑證，它們將在同一時間全部過期。請錯開您的核發時間，或者至少錯開您的更新觸發時間。在 5,000 台裝置上同時發生 10% 的更新失敗率是一起重大事件。 [medium pause] 第三：在部署 EAP-TLS 之前，未將根 CA 憑證分發到所有裝置。如果裝置不信任您的根 CA，它將拒絕 RADIUS 伺服器的憑證，進而導致驗證失敗。這聽起來很顯而易見，但當組織擁有未註冊到 MDM 中的 BYOD 裝置或外包商筆記型電腦時，往往會因此出錯。 [medium pause] 第四：OCSP 回應程式的可用性。如果您的 OCSP 回應程式當機，且您的 RADIUS 伺服器設定為在發生 OCSP 錯誤時採取「預設關閉」（fail closed），則您的整個 WiFi 網路環境都將停止運作。請為您的 OCSP 基礎架構建立備援，或設定一段帶有適當監控的簡短寬限期。 [medium pause] 好的，接下來是快速問答。 [medium pause] 我可以使用公開 CA 來處理 EAP-TLS 用戶端憑證嗎？技術上可以，但實際上不行。公開 CA 不會為任意裝置核發用戶端憑證。您需要擁有自己的 CA 來處理用戶端憑證。至於 RADIUS 伺服器憑證，使用公開 CA 是可行的，且能簡化信任發布。 [medium pause] 那 BYOD 呢？BYOD 是個棘手的案例。您無法透過 MDM 將憑證推送到非託管裝置。解決方案包括使用網路存取控制入口網站，在使用者驗證後核發短期憑證，或者直接將 BYOD 保留在使用不同驗證方式的獨立 SSID 上。 [medium pause] 這與 WPA3 如何互動？WPA3-Enterprise 針對敏感環境強制要求 192 位元安全性模式，這需要特定的加密套件。EAP-TLS 與 WPA3-Enterprise 完全相容，且實際上是建議的驗證方法。 [medium pause] 總結來說。EAP-TLS 憑證管理並不簡單，但如果您從一開始就規劃好正確的架構，它是可以管理的。三層式 CA 階層。透過 SCEP 或 MDM 進行自動化登冊。縮短憑證效期並進行自動更新。透過 OCSP 進行即時撤銷。測試所有環節，特別是撤銷功能。並將您的憑證生命週期與您的身分識別提供者（Microsoft Entra ID、Okta 或 Google Workspace）整合，以便在帳戶停用時自動觸發憑證撤銷。 [medium pause] 如果您正在執行與 Purple 連結的 RADIUS 伺服器，整合點即為您的 SCEP 伺服器 URL、您的 RADIUS 伺服器憑證以及您的 CRL 或 OCSP 端點。Purple 與硬體無關的架構意味著這適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 以及其他標準硬體清單——您不會被鎖定在單一廠商的 PKI 工具中。 [medium pause] 後續步驟：稽核您目前的憑證清單。如果您不知道自己擁有多少張憑證、何時過期以及由誰核發，這就是首要解決的問題。從那裡開始，邁向完全自動化的道路就非常明確了。感謝您的收聽。