跳至主要內容
繁體中文

如何設定 SCEP 以實現自動化企業級 WiFi 憑證註冊

本指南說明如何設定 SCEP(簡單憑證註冊協定)以實現自動化企業級 WiFi 憑證註冊,涵蓋從 PKI 和 NDES 到 MDM 設定檔部署以及 RADIUS 驗證的完整架構。本指南專為飯店、零售連鎖店、體育場館、會議中心和公共部門組織的 IT 經理、網路架構師和 CTO 所設計,旨在協助他們淘汰預先共用金鑰,並實作具擴充性、基於身分識別的 802.1X EAP-TLS 驗證。Purple 獨立於硬體的雲端重疊平台可直接與此架構整合,提供與憑證驗證員工網路並行的訪客和 BYOD WiFi 層。

📖 10 分鐘閱讀📝 2,282 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 技術簡報系列。我今天想聊聊一個經常出現在許多 IT 收件匣中,卻很少得到明確解答的話題:如何在大規模網路中,利用 SCEP 實際部署憑證式 WiFi 驗證。無論是大學校園、多據點連鎖飯店,還是大型公共部門資產,所面臨的挑戰都是相同的。 我們將全面探討這個主題。包括 SCEP 的實際作用、它如何融入 802.1X 架構、大多數團隊都會搞錯的部署順序、兩個真實世界的實作場景,以及如果您沒有提前規劃,將會浪費您整個週末時間的常見陷阱。 這是一份顧問簡報,而非教學指南。我假設您已經知道什麼是 RADIUS 伺服器,且可能已經決定要淘汰預共用金鑰。您現在需要的是實作藍圖。 讓我們開始吧。 基本原理。SCEP 代表簡單憑證登冊協定(Simple Certificate Enrollment Protocol)。它在 2020 年被 IETF 正式確立為 RFC 8894,但在那之前,它在企業中的廣泛應用已超過十年。它的任務非常簡單:自動將數位憑證安裝到託管裝置上,而不需要人工逐台操作。 在 WiFi 驗證的脈絡下,SCEP 是傳輸機制。您實際要採用的驗證協定是 EAP-TLS(可延伸驗證協定傳輸層安全性),它位於 802.1X 框架內。EAP-TLS 被廣泛認為是企業無線網路中最安全的驗證方法,因為它要求用戶端裝置和 RADIUS 伺服器都必須出示有效的憑證。在沒有密碼學證明的情況下,雙方互不信任。這種雙向驗證正是保護您免受邪惡雙胞胎(evil twin)攻擊的關鍵,在這種攻擊中,攻擊者會架設惡意存取點來竊取憑證。 以下是完整鏈結的運作方式。一部託管裝置(例如學生的筆記型電腦、員工的手機、飯店的 POS 終端機)需要加入企業無線網路。您的 MDM 平台(可能是 Microsoft Intune 或 Jamf)會將 SCEP 負載推送到該裝置。該負載包含兩樣東西:指向您的 NDES 伺服器或雲端 SCEP 閘道的 SCEP URL,以及挑戰密碼或共用金鑰。 裝置會在本地端自行產生一對公開金鑰和私密金鑰。這至關重要。私密金鑰永遠不會離開裝置。它是在裝置上產生、儲存在安全記憶體(secure enclave)或 TPM 中,且絕不會透過網路傳輸。接著,裝置會建立一個憑證簽署要求(CSR)並將其傳送至 SCEP 閘道。閘道會驗證該挑戰,將 CSR 轉發給您的憑證授權單位(CA),CA 簽署後會將公開憑證傳回給裝置。 從該點開始,當裝置連線到您的 WiFi SSID 時,它會向 RADIUS 伺服器出示該憑證。RADIUS 伺服器會根據您的 CA 信任鏈驗證該憑證,檢查憑證撤銷清單(CRL)以確認該憑證未被撤銷,如果一切正常,則向存取點(Access Point)發送接受訊息。裝置隨即連上網路。整個過程對使用者而言是完全無感的。 現在,讓我們來談談 SCEP 相對於另一種替代方案 PKCS 所處的位置。PKCS(公鑰密碼學標準)是 Intune 等平台支援的另一種憑證傳遞方法。使用 PKCS 時,CA 會在集中端同時產生公鑰和私鑰,並由憑證連接器將該金鑰對推送到裝置上。這意味著私鑰會在網路上傳輸,從而引入了理論上的攻擊面。PKCS 適用於像 S/MIME 郵件加密這類實際上需要金鑰託管的案例。而對於 WiFi 驗證,SCEP 才是正確的選擇。私鑰會一直保留在裝置上,毫無疑問。 接下來是硬體層。SCEP 和 EAP-TLS 是與廠商無關的標準,這意味著它們適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 的存取點。不論您使用的是 Windows NPS、FreeRADIUS 還是雲端 RADIUS 服務,您的 RADIUS 設定都是您定義憑證驗證原則以及設定動態 VLAN 分配的關鍵所在。 動態 VLAN 是您根據身分進行網路區隔的方式。學生的裝置會分配到 VLAN 20,僅供網際網路存取。教職員的裝置會分配到 VLAN 10,以存取內部研究系統。設施管理裝置則分配到 VLAN 30,以存取大樓管理系統。所有這些都是由憑證屬性和 RADIUS 原則驅動的,無需對每台裝置進行手動干預。 在身分識別提供者(IdP)整合方面,SCEP 憑證屬性(特別是主體別名,Subject Alternative Name)可以攜帶來自 Microsoft Entra ID、Okta 或 Google Workspace 的使用者主體名稱。這將憑證與特定身分綁定,這意味著當您在 Entra ID 中停用某個帳戶且 MDM 取消註冊該裝置時,憑證會被撤銷,WiFi 存取權限也會自動切斷。這是預先共用金鑰(PSK)根本無法實現的撤銷機制。 好,我們來談談部署順序,因為這是大多數團隊最容易出錯的地方。 部署順序是不可妥協的:首先是信任的根憑證(Trusted Root certificate),其次是 SCEP 憑證設定檔,第三是 WiFi 設定檔。Intune 和 Jamf 都會強制執行設定檔相依性。如果您的 WiFi 設定檔引用了尚未部署到裝置的 SCEP 憑證,WiFi 設定檔將會失敗,並顯示一個看似設定錯誤、但實際上只是時間差問題的神秘錯誤代碼。 第二個陷阱是群組定位。Trusted Root、SCEP 和 WiFi 這三個設定檔,都必須部署到完全相同的 Azure AD 或 Jamf 群組。如果 SCEP 設定檔定位到使用者群組,而 WiFi 設定檔定位到裝置群組,Intune 將無法解析此相依性,且 WiFi 設定檔會顯示為「不適用」。這經常讓團隊措手不及。 第三:NDES 伺服器的可存取性。您的 NDES 伺服器必須能從網際網路存取,以便裝置在到達現場之前進行註冊。正確的做法是透過 Azure AD Application Proxy,而不是在防火牆上開孔。App Proxy 可為您提供安全的遠端存取,而無需開放輸入連接埠,並允許您將條件式存取原則套用到註冊流程。 第四:CRL 可用性。您的 RADIUS 伺服器在每次裝置進行驗證時,都會檢查憑證撤銷清單(CRL)。如果您的 CRL 發佈點因伺服器故障或 URL 變更而無法使用,網路上所有裝置的驗證都會同時失敗。這會導致整個園區網路中斷。請確保您的 CRL 端點具備高可用性,並在正式上線前測試撤銷功能。 對於擁有超過 500 台裝置的大型網路,請考慮使用雲端 SCEP 閘道,而非內部部署的 NDES。雲端閘道消除了 NDES 的單一故障點,可水平擴充,且通常直接與雲端 RADIUS 服務整合,從而移除了另一個基礎架構相依性。 讓我們來解答一些我們經常聽到 CTO 提出的快速問答。 SCEP 能處理未註冊 MDM 的 BYOD 裝置嗎?無法直接處理。SCEP 需要 MDM 註冊才能推送憑證承載資料。對於未受管理的 BYOD,您需要採用不同的方法,例如自助式上線入口網站,或是使用帶有身分驗證之 Captive Portal 的獨立 SSID。Purple 能乾淨俐落地下載處理該訪客與 BYOD 層,與您使用憑證驗證的員工網路並行運作。 iOS 和 Android 呢?這兩個平台都原生支援 SCEP。iOS 自 iOS 4 起就支援 SCEP。Android Enterprise 則透過 Intune 和其他 MDM 支援 SCEP。每個平台的設定略有不同,但底層協定是完全相同的。 EAP-TLS 可以與 WPA3 搭配使用嗎?可以。WPA3-Enterprise 針對敏感環境強制執行 192 位元安全性模式,而 EAP-TLS 完全相容。事實上,搭配 EAP-TLS 的 WPA3-Enterprise 是 Wi-Fi Alliance 針對政府和金融網路推薦的組合。 總結來說。對於任何擁有超過 50 台受管理裝置的網路,SCEP 憑證 WiFi 驗證都是正確的架構。它消除了共用憑證、為您提供單一裝置身分識別、啟用動態 VLAN 切割,並直接與您的身分識別提供者整合以進行自動撤銷。部署順序(Trusted Root,接著 SCEP 設定檔,然後 WiFi 設定檔)是固定的。群組定位必須保持一致。CRL 可用性是不可或缺的。 特別是針對高等教育,將適用於教職員工裝置的 SCEP,與適用於學生個人裝置的獨立訪客 WiFi 層相結合,能同時為您提供安全性和極佳的使用者體驗,無需做出任何妥協。 如果您想深入瞭解,Purple 關於企業 WiFi 驗證的指南涵蓋了雲端原生路徑。如果您正在思考員工離職時會發生什麼情況,我們關於撤銷 WiFi 存取權限的指南將逐步引導您完成整個撤銷工作流程。 感謝您的聆聽。我是來自 Purple 技術團隊的成員,我們在下一次簡報中再見。

header_image.png

Resumo executivo

Para espaços empresariais - quer se trate de um hotel de 200 quartos, de uma cadeia de retalho com 50 localizações ou de um grande centro de conferências - depender de chaves pré-partilhadas para o WiFi dos funcionários é um risco de segurança e um estrangulamento operacional. Uma única palavra-passe divulgada expõe toda a rede. A autenticação baseada em certificados via IEEE 802.1X e EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) elimina totalmente esse risco. Cada dispositivo prova a sua identidade de forma criptográfica antes de o ponto de acesso lhe conceder acesso à rede.

O desafio reside na distribuição. Implementar manualmente certificados de cliente exclusivos em milhares de dispositivos Windows, iOS e Android não é viável. O SCEP (Simple Certificate Enrollment Protocol), formalizado como RFC 8894 pela IETF em 2020, resolve este problema. Automatiza o processo de solicitação, emissão e instalação de certificados digitais em dispositivos geridos através da sua plataforma MDM - sem qualquer interação do utilizador.

Este guia abrange toda a arquitetura: o que o SCEP faz, como se integra com o Microsoft Intune, Jamf e outras plataformas MDM, a sequência exata de implementação que a maioria das equipas erra e as armadilhas operacionais que causam interrupções de serviço. Também abordamos dois cenários reais de implementação em hotelaria e retalho, e explicamos onde a plataforma de Guest WiFi da Purple se enquadra ao lado da sua rede de funcionários autenticada por certificado.

Ouça o podcast informativo complementar:

Análise técnica detalhada: SCEP, PKI e 802.1X

O que o SCEP realmente faz

O SCEP não substitui a sua Public Key Infrastructure (PKI). É a camada de registo automatizada que se posiciona sobre ela. A sua PKI - normalmente uma hierarquia de dois níveis com uma CA raiz offline e uma CA emissora online - continua a ser a âncora de confiança. O SCEP automatiza a etapa em que um dispositivo solicita um certificado a essa CA, eliminando a necessidade de geração manual de CSR e instalação de certificados.

No contexto da autenticação WiFi, o protocolo de destino é o EAP-TLS. Este é o método de autenticação 802.1X que exige que tanto o dispositivo cliente como o servidor RADIUS apresentem certificados X.509 válidos. Nenhuma das partes confia na outra sem prova criptográfica. Esse modelo de autenticação mútua elimina o roubo de credenciais e protege contra ataques de "evil twin", em que um atacante cria um ponto de acesso falso para recolher nomes de utilizador e palavras-passe.

Para uma análise detalhada do handshake EAP-TLS, consulte o nosso guia sobre WiFi Certificate Authentication: Secure Network Access .

scep_architecture_overview.png

O fluxo de registo SCEP, passo a passo

A cadeia de registo completa funciona da seguinte forma. A sua plataforma MDM - Microsoft Intune, Jamf ou outro MDM - envia um payload SCEP para um dispositivo gerido. Esse payload contém duas coisas: o URL do SCEP que aponta para o seu servidor NDES (Network Device Enrollment Service) ou gateway SCEP na nuvem, e uma palavra-passe de desafio ou segredo partilhado.

O dispositivo gera o seu próprio par de chaves pública e privada localmente. Esta é a propriedade de segurança crítica do SCEP: a chave privada é gerada no dispositivo, armazenada no enclave seguro ou chip TPM, e nunca é transmitida pela rede. O dispositivo cria então um Certificate Signing Request (CSR) e envia-o para o gateway SCEP. O gateway valida a palavra-passe de desafio, encaminha o CSR para a sua Autoridade de Certificação (CA), e a CA assina-o e devolve o certificado público ao dispositivo.

A partir desse momento, quando o dispositivo se liga ao seu SSID de WiFi, apresenta esse certificado ao servidor RADIUS. O servidor RADIUS valida o certificado em relação à sua cadeia de confiança da CA, verifica a Lista de Revogação de Certificados (CRL) para confirmar que o certificado não foi revogado e, se tudo estiver correto, envia uma mensagem Access-Accept para o ponto de acesso. O dispositivo está na rede. Todo o processo é invisível para o utilizador.

SCEP vs. PKCS: qual utilizar para WiFi

As plataformas MDM como o Intune suportam dois mecanismos de entrega de certificados: SCEP e PKCS (Public Key Cryptography Standards). A diferença arquitetónica é significativa.

Com o SCEP, a chave privada é gerada no dispositivo e nunca sai dele. Com o PKCS, a Autoridade de Certificação gera a chave pública e a privada centralmente, e o conector de certificados envia o par de chaves para o dispositivo através da rede. Isso significa que a chave privada é transmitida, o que introduz uma superfície de ataque teórica.

O PKCS é adequado para casos de utilização em que a custódia de chaves é necessária, como a encriptação de e-mail S/MIME. Para a autenticação WiFi, o SCEP é a escolha correta. A chave privada permanece no dispositivo.

Propriedade SCEP PKCS
Geração de chave privada No dispositivo (TPM/Secure Enclave) Centralizada (CA)
Transmissão de chave privada Nunca Através da rede
Servidor NDES necessário Sim (ou gateway na nuvem) Não
Recomendado para WiFi Sim Não
Recomendado para S/MIME Não Sim

Compatibilidade de hardware

O SCEP e o EAP-TLS são normas independentes de fornecedor. Funcionam em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A sua configuração RADIUS - quer seja Windows NPS, FreeRADIUS ou um serviço RADIUS na nuvem - é onde define a política de validação de certificados e a atribuição dinâmica de VLAN.

A atribuição dinâmica de VLAN é a forma como segmenta a rede através da identidade do dispositivo. Um dispositivo de um funcionário recebe a VLAN 10 com acesso a sistemas internos. O dispositivo de um prestador de serviços recebe a VLAN 20 apenas com acesso à internet. Um terminal de ponto de venda recebe a VLAN 30 apenas com acesso a sistemas de processamento de pagamentos. Tudo isto é gerido por atributos de certificado e pela política RADIUS, sem qualquer intervenção manual por dispositivo.

Para saber mais sobre como o WiFi Analytics se integra com a segmentação de rede baseada em identidade, consulte a nossa visão geral da plataforma de analytics.

Guia de implementação: a sequência de implementação

A configuração bem-sucedida do SCEP para WiFi empresarial exige a adesão estrita a uma sequência de implementação específica. As plataformas MDM impõem dependências de perfil: um perfil de WiFi que faça referência a um certificado SCEP não pode ser aplicado até que esse certificado exista no dispositivo. A violação desta sequência é a causa mais comum de falhas na implementação.

A sequência é: primeiro a Raiz de Confiança (Trusted Root), segundo o perfil SCEP, terceiro o perfil WiFi. Esta ordem não é negociável.

deployment_checklist_infographic.png

Passo 1: implementar o perfil de Certificado de Raiz de Confiança (Trusted Root)

Antes de qualquer dispositivo poder solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve confiar na Autoridade de Certificação (CA) emissora. Exporte o seu certificado de CA Raiz - e quaisquer certificados de CA Intermédia - como ficheiros .cer. No seu centro de administração MDM, crie um perfil de Certificado de Confiança, carregue o ficheiro .cer e implemente-o no seu grupo de dispositivos de destino.

Se tiver uma hierarquia PKI de dois níveis (recomendado), precisa de implementar tanto o certificado da CA raiz como o da CA emissora como perfis de Certificado de Confiança separados, ou como uma cadeia num único perfil, dependendo da sua plataforma MDM.

Passo 2: configurar o perfil de Certificado SCEP

Assim que a confiança estiver estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter o seu certificado de cliente.

Crie um novo perfil de configuração e selecione o tipo de perfil de certificado SCEP. Configure o formato do Nome do Requerente (Subject name). Para autenticação baseada no utilizador, CN={{UserPrincipalName}} é o padrão. Para autenticação de dispositivos (dispositivos partilhados, IoT, terminais POS), utilize CN={{AAD_Device_ID}}. Defina a Utilização da chave (Key usage) para Assinatura digital e Cifragem de chave. Defina a Utilização de Chave Alargada (Extended Key Usage) para Autenticação de Cliente (OID: 1.3.6.1.5.5.7.3.2). Associe este perfil ao perfil de certificado de Raiz de Confiança criado no Passo 1. Forneça o URL externo do seu servidor NDES.Para o Microsoft Intune especificamente, o servidor NDES deve ser publicado através do Azure AD Application Proxy para permitir que os dispositivos remotos se registem antes de chegarem ao local. Não exponha o NDES diretamente à internet.

Passo 3: implementar o perfil de WiFi 802.1X

O passo final é enviar a configuração de WiFi que associa os certificados ao SSID da rede. Crie um perfil de configuração de Wi-Fi. Introduza o Nome da rede (SSID) exatamente como é transmitido pelos seus pontos de acesso. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Defina o tipo de EAP para EAP-TLS. Nas definições de autenticação, selecione o perfil de certificado SCEP criado no Passo 2 como o certificado de autenticação do cliente. Especifique o certificado Trusted Root para validação do servidor - isto garante que o dispositivo apenas se liga ao seu servidor RADIUS legítimo e não a um ponto de acesso não autorizado.

Integração do fornecedor de identidade

Os atributos do certificado SCEP - especificamente o Subject Alternative Name (SAN) - podem conter o nome principal do utilizador do Microsoft Entra ID, Okta ou Google Workspace. Isto associa o certificado a uma identidade específica. Quando desativa uma conta no Entra ID e o MDM remove o registo do dispositivo, o certificado é revogado e o acesso ao WiFi é cortado automaticamente. Essa revogação automatizada é a história de segurança que as chaves pré-partilhadas não conseguem igualar.

Para saber mais sobre EAP Method WiFi: A Guide to Secure Network Access , incluindo caminhos de migração PEAP-MSCHAPv2, consulte o nosso guia dedicado.

Boas práticas e padrões da indústria

Posicionamento do servidor NDES

O servidor NDES deve estar acessível a partir da internet para que os dispositivos se possam registar antes de chegarem ao local. Publique o URL do NDES através do Azure AD Application Proxy. Isto fornece um acesso remoto seguro sem abrir portas de firewall de entrada e permite-lhe aplicar políticas de Acesso Condicional ao fluxo de registo. Nunca exponha o NDES diretamente à internet.

Para redes com mais de 500 dispositivos geridos, considere um gateway SCEP na nuvem em vez de um NDES local. Os gateways na nuvem eliminam o ponto único de falha do NDES, escalam horizontalmente e, normalmente, integram-se diretamente com serviços RADIUS na nuvem.

Disponibilidade da CRL

O seu servidor RADIUS verifica a Lista de Revogação de Certificados (CRL) sempre que um dispositivo se autentica. Se o seu Ponto de Distribuição de CRL (CDP) estiver indisponível - porque um servidor está em baixo ou o URL mudou - a autenticação falha para todos os dispositivos na rede em simultâneo. Configure o seu servidor NPS ou RADIUS para impor uma verificação rigorosa da CRL e torne os seus endpoints de CRL altamente disponíveis. Teste a revogação antes de entrar em produção.

O Requisito 8.6 do PCI DSS 4.0 exige autenticação multifator na camada de rede para ambientes de dados de titulares de cartões. O EAP-TLS com certificados provisionados por SCEP satisfaz este requisito para redes sem fios em ambientes de Retail e Hospitality .

Compatibilidade com WPA3

O EAP-TLS é totalmente compatível com o WPA3-Enterprise. O WPA3-Enterprise com a suite de segurança de 192 bits (Suite B) exige o EAP-TLS e é a combinação recomendada pela Wi-Fi Alliance para redes governamentais, financeiras e de saúde. Se está a implementar em ambientes de Saúde ou Transportes com requisitos de conformidade rigorosos, o WPA3-Enterprise com EAP-TLS é a arquitetura-alvo correta.

BYOD e WiFi de convidados

O SCEP requer a inscrição no MDM para enviar o payload do certificado. Não abrange dispositivos BYOD não geridos ou convidados. Para esses casos de utilização, necessita de um SSID separado com um Captive Portal e verificação de identidade. A plataforma da Purple lida com essa camada de forma limpa, coexistindo com a sua rede de funcionários autenticada por certificado. A nossa plataforma de Guest WiFi suporta opt-ins de escolha consciente, captura de dados primários (first-party) e integração com o Microsoft Entra ID, Okta e Google Workspace para verificação de identidade.

Resolução de problemas e mitigação de riscos

Falha na aplicação do perfil de WiFi

Sintoma: O dispositivo recebe os certificados Trusted Root e SCEP, mas o perfil de WiFi é apresentado como Erro ou Não Aplicável no MDM.

Causa raiz: Incompatibilidade de segmentação de grupo. Se o perfil SCEP se destinar a um grupo de Utilizadores e o perfil de WiFi se destinar a um grupo de Dispositivos, o MDM não consegue resolver a dependência.

Solução: Audite as suas atribuições. Certifique-se de que os perfis Trusted Root, SCEP e WiFi se destinam todos exatamente ao mesmo grupo de diretório.

Erros NDES 403 Forbidden

Sintoma: Os dispositivos não conseguem obter o certificado SCEP. Os registos do IIS do NDES mostram erros HTTP 403.

Causa raiz: A conta de serviço do MDM Certificate Connector não tem permissões de Leitura e Inscrição (Read and Enroll) no modelo de certificado, ou a filtragem de URLs da firewall está a bloquear os parâmetros de query string do SCEP.

Solução: Verifique se a conta do conector tem permissões de Leitura e Inscrição no modelo da CA. Verifique os registos da firewall para garantir que os URLs que contêm ?operation=GetCACaps não estão bloqueados.

Falha de autenticação em massa após expiração da CRL

Sintoma: Todos os dispositivos na rede falham a autenticação em simultâneo.

Causa raiz: A CRL expirou ou o URL do CDP está inacessível. O servidor RADIUS não consegue confirmar se os certificados são válidos e falha por omissão (fails closed).

Solução: Configure a monitorização e alertas de CRL. Publique as CRLs com um período de validade significativamente superior ao intervalo de publicação. Teste a acessibilidade do CDP a partir do servidor RADIUS antes do lançamento.

Expiração de certificado a causar falhas silenciosas

Sintoma: Dispositivos individuais falham a ligação de forma intermitente, sem um padrão claro.

Causa raiz: Os certificados de cliente expiraram e o MDM não os renovou com sucesso.

Solução: Configure a renovação do certificado para ser acionada a 80% do tempo de vida do certificado. Monitorize os relatórios de estado de inscrição do MDM para dispositivos com erros de certificado. Defina períodos de validade de certificado adequados ao ciclo de atualização dos seus dispositivos - normalmente um a dois anos para endpoints geridos.

ROI e impacto empresarial

A transição para a autenticação por certificado 802.1X baseada em SCEP proporciona retornos mensuráveis em termos de segurança, operações e conformidade.

Redução de pedidos de suporte: O WiFi baseado em palavra-passe gera um volume significativo de pedidos de suporte - expiração de palavras-passe, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o utilizador. As organizações registam tipicamente uma redução de 70-80% no volume de suporte relacionado com WiFi após a migração.

Postura de segurança: O EAP-TLS elimina a recolha de credenciais e os ataques Man-in-the-Middle. Isto apoia diretamente a conformidade com a norma PCI DSS 4.0 para redes de retalho e hotelaria, bem como os requisitos do Artigo 32.º do GDPR para medidas técnicas de segurança adequadas.

Revogação automatizada: Quando um colaborador sai da empresa, a desativação da sua conta no Microsoft Entra ID aciona a revogação automática do certificado e a desassociação do MDM. O acesso ao WiFi é cortado sem qualquer intervenção manual por parte da equipa de rede.

Segmentação de rede: A atribuição dinâmica de VLAN através de atributos de certificado RADIUS oferece-lhe uma segmentação de rede aplicada de forma criptográfica. Os dispositivos entram no segmento de rede correto com base nas propriedades do certificado, e não na seleção de SSID ou na filtragem de endereços MAC - ambas facilmente contornáveis.

A Purple opera em mais de 80.000 locais ativos com 99,999% de tempo de atividade, e a nossa plataforma possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A nossa sobreposição de nuvem agnóstica em termos de hardware integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet - para que a sua rede de colaboradores autenticada por certificado e a nossa camada de WiFi de convidados funcionem a partir da mesma infraestrutura.

Para saber mais sobre como a análise comportamental ( Behavioral Analytics: Insights for WiFi Networks ) pode complementar a sua implementação de rede segura, consulte o nosso guia de análise.

Referências

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council

關鍵定義

SCEP (Simple Certificate Enrollment Protocol)

一項在 RFC 8894 中規範的協定,允許託管裝置透過 HTTP,使用共用挑戰密碼進行初始驗證,自動向憑證授權單位(CA)請求並接收 X.509 數位憑證。私鑰在裝置上產生,且絕不進行傳輸。

Microsoft Intune 和 Jamf 等 MDM 平台所使用的標準機制,用於大規模向託管端點部署 WiFi 驗證憑證。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

最安全的 802.1X 驗證方法,要求用戶端裝置和 RADIUS 伺服器雙方皆須出示有效的 X.509 憑證。雙向驗證意味著在沒有密碼學證明的情況下,雙方互不信任。

企業級 WiFi 的目標驗證協定。PCI DSS 4.0、WPA3-Enterprise 192 位元 (Suite B) 以及 HIPAA 針對處理敏感資料的無線網路,皆強制要求或強烈建議使用此協定。

NDES (Network Device Enrollment Service)

一項 Microsoft Windows Server 角色,在支援 SCEP 的裝置與憑證授權單位(CA)之間充當登冊授權單位(RA)。它負責驗證挑戰密碼,並代表缺乏網域認證的裝置將 CSR 轉發給 CA。

透過 Microsoft Intune 進行 SCEP 部署所需的基礎架構。應透過 Azure AD Application Proxy 發佈,而非直接暴露於網際網路。

PKI (Public Key Infrastructure)

用於發行、管理和撤銷數位憑證的憑證授權單位、原則和程序之階層架構。雙層 PKI 由一個離線根 CA(主信任錨點)和一個線上發行 CA(處理日常憑證發行)組成。

部署 EAP-TLS 和 SCEP 不可妥協的前置條件。根 CA 應保持實體隔離(air-gapped);其私鑰是您整個憑證信任鏈的基石。

CSR (Certificate Signing Request)

由裝置產生、包含其公鑰和識別資訊的訊息,發送至憑證授權單位以請求已簽署的數位憑證。在 SCEP 中,CSR 在裝置上產生,並在傳輸前封裝於 PKCS 包裹中。

在 SCEP 登冊流程中由裝置自動產生。用於簽署 CSR 的私鑰絕不會離開裝置。

CRL (Certificate Revocation List)

由憑證授權單位發佈的清單,其中包含在到期日前已被撤銷的憑證序號。RADIUS 伺服器在每次驗證嘗試時都會檢查 CRL,以確保被撤銷的憑證無法存取網路。

CRL 發佈點(CDP)的可用性至關重要。如果 RADIUS 伺服器無法連線至 CRL,它將採取安全關閉模式並拒絕所有驗證,從而導致全網中斷。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為網路存取提供集中化的驗證、授權和計費(AAA)。在 802.1X WiFi 中,RADIUS 伺服器負責驗證用戶端憑證、檢查 CRL,並向存取點(AP)傳回 Access-Accept 或 Access-Reject 訊息。

802.1X 請求端-驗證端-伺服器(supplicant-authenticator-server)模型中的驗證伺服器。常見的實作包括 Windows NPS、FreeRADIUS 和雲端 RADIUS 服務。

Dynamic VLAN assignment

一項 RADIUS 功能,可根據憑證屬性或目錄群組成員資格,將已驗證的裝置分配到特定的 VLAN,而非依賴 SSID 選擇或 MAC 地址篩選。透過裝置識別實施網路分段。

使單一 SSID 能夠為具有不同網路存取權限的多種裝置類型提供服務。員工裝置分配到 VLAN 10(內部存取);承包商裝置分配到 VLAN 20(僅限網際網路);POS 終端機分配到 VLAN 30(僅限付款系統)。

MDM (Mobile Device Management)

IT 團隊用於登冊、設定、保護和管理智慧型手機、平板電腦和筆記型電腦的軟體。Microsoft Intune 和 Jamf 等 MDM 平台使用 SCEP 設定檔,在無需使用者互動的情況下,將憑證登冊指示推送到託管裝置。

基於 SCEP 的憑證部署之前置條件。裝置必須先在 MDM 登冊,然後才能接收 SCEP 和 WiFi 設定檔。未託管的 BYOD 裝置需要採用獨立的引導上網(onboarding)方法。

範例

一家擁有 200 間客房的 Premier Inn 飯店需要為其銷售點(POS)平板電腦和房務智慧型手機確保員工 WiFi 的安全。他們目前使用已洩露給承包商的預共用金鑰。他們透過 Microsoft Intune 管理裝置,且裝置包含 iOS 和 Android 系統。該飯店使用 HPE Aruba 存取點(AP)。

  1. 部署內部 Microsoft AD CS 雙層 PKI。在專用 Windows Server 上設定 NDES,並透過 Azure AD Application Proxy 發佈。
  2. 在 Intune 中,建立一個包含根 CA 和發行 CA 憑證的「信任的根憑證」設定檔。部署至「飯店員工裝置」Azure AD 群組。
  3. 在 Intune 中建立一個指向 NDES 外部 URL 的 SCEP 憑證設定檔。由於這些是共用裝置,將主體名稱格式設定為 CN={{AAD_Device_ID}}。將金鑰用途設定為數位簽章與金鑰加密,延伸金鑰用途設定為用戶端驗證。部署至「飯店員工裝置」。
  4. 為員工 SSID 建立一個 Wi-Fi 設定檔,設定 WPA2-EnterpriseEAP-TLS。選擇 SCEP 設定檔進行用戶端驗證,並選擇根 CA 進行伺服器驗證。部署至「飯店員工裝置」。
  5. 設定 HPE Aruba RADIUS 設定以指向 Windows NPS。在 NPS 上,設定一項需要 EAP-TLS 並為員工裝置分配 VLAN 10 的網路原則。
  6. 當裝置成功接收設定檔並連線後,輪替舊 SSID 上的 PSK 並安排其停用時程。
考官評語: 此方法正確識別出共用裝置(POS、房務)需要基於裝置的驗證(CN={{AAD_Device_ID}}),而非基於用戶的驗證,因為有多名員工使用同一台裝置。它遵循了強制性的設定檔部署順序,並確保所有三個設定檔都針對同一個 Azure AD 群組。透過 App Proxy 發佈 NDES,而非直接暴露於網際網路,是旅宿業環境中正確的安全做法。

一家擁有 50 個據點的零售連鎖店希望在所有站點為企業筆記型電腦部署 802.1X。他們使用 Cisco Meraki 存取點(AP)和 Microsoft Intune。他們不想在每個據點或其資料中心部署和維護地端 NDES 伺服器或 AD CS 基礎架構。

  1. 實作雲端 PKI 和 SCEP 閘道服務,透過 SCEP 協定與 Intune 整合。雲端 CA 發行憑證;雲端 SCEP 閘道處理 CSR 驗證。
  2. 在 Cisco Meraki 控制面板的「無線 > 存取控制」下,針對企業 SSID 設定由 PKI 廠商提供的雲端 RADIUS 服務。將安全性設定為 WPA2-Enterprise,並將 RADIUS 指向雲端服務。
  3. 在 Intune 中,建立一個包含雲端 CA 根憑證的「信任的根憑證」設定檔。部署至「企業筆記型電腦」裝置群組。
  4. 建立一個指向雲端 SCEP 閘道 URL 的 SCEP 憑證設定檔。將主體名稱設定為 CN={{UserPrincipalName}} 以進行基於用戶的驗證。部署至「企業筆記型電腦」。
  5. 為企業 SSID 建立一個帶有 EAP-TLS 的 Wi-Fi 設定檔,並參照 SCEP 設定檔和雲端 CA 根憑證。部署至「企業筆記型電腦」。
  6. 當筆記型電腦註冊到 Intune 時,它們會自動透過雲端 SCEP 閘道向雲端 CA 要求憑證。這 50 個據點中的任何一個都不需要地端基礎架構。
考官評語: 這是適用於分散式零售環境的最佳現代架構。藉由利用雲端 PKI 和雲端 RADIUS,企業無需在每個站點維護複雜的地端基礎架構(NDES、AD CS、NPS)。雲端 SCEP 閘道可水平擴充且本質上具備高可用性,消除了地端 NDES 帶來的單點故障風險。Cisco Meraki 的雲端管理架構與此方法非常契合。

練習題

Q1. 您的組織正在從 PEAP-MSCHAPv2 遷移至 EAP-TLS。您已成功將「信任的根憑證」和 SCEP 設定檔部署到 Intune 中的「企業使用者」Azure AD 群組。接著您將 WiFi 設定檔部署到「所有企業裝置」。使用者回報無法連線,且 WiFi 設定檔顯示為「不適用」。

提示:請檢查設定檔的相依性與群組目標規則。Intune 會根據指派的群組來解析設定檔的相依性。

查看標準答案

此問題出在群組目標不匹配。WiFi 設定檔相依於 SCEP 設定檔,而該 SCEP 設定檔的目標是使用者群組(「企業使用者」)。然而,WiFi 設定檔的目標卻是裝置群組(「所有企業裝置」)。Intune 無法跨群組類型解析相依性。解決方法是將這三個設定檔(信任的根憑證、SCEP 和 WiFi)的指派全部變更為相同的目標群組。請根據您的驗證模型(基於使用者或基於裝置)決定要使用使用者群組還是裝置群組,並在所有三個設定檔中一致地套用該設定。

Q2. 安全性稽核顯示,當員工離職且其 Microsoft Entra ID 帳戶被停用時,其公司智慧型手機在離職後最長一週內仍可連線到員工 WiFi 網路。

提示:請思考 RADIUS 伺服器在帳戶停用後,如何判定憑證是否仍然有效。傳達撤銷狀態的機制是什麼?

查看標準答案

這是因為 RADIUS 伺服器未執行嚴格的憑證撤銷清單(CRL)檢查,或者 CRL 的發佈頻率過低。當員工離職時,MDM 應取消註冊裝置,且憑證授權單位(CA)應撤銷該憑證。然而,如果 RADIUS 伺服器未在每次驗證嘗試時檢查 CRL,或者 CRL 僅每週發佈一次,則已撤銷的憑證將繼續被接受。解決方法包含三個步驟:設定 RADIUS 伺服器在每次驗證時強制執行嚴格的 CRL 檢查;設定 CA 以更短的間隔(每天或更頻繁)發佈 CRL;並確保 MDM 設定為在裝置取消註冊時觸發憑證撤銷。

Q3. 您需要為無法執行 MDM 代理程式且無法顯示 Captive Portal 的無螢幕 IoT 裝置(智慧溫控器、數位看板播放器)提供安全的 WiFi 存取。您能對這些裝置使用 SCEP 嗎?如果不行,推薦的替代方案是什麼?

提示:請考慮 SCEP 註冊的前置條件,以及對於無法進行 MDM 註冊或無法與瀏覽器互動的裝置,存在哪些替代方案。

查看標準答案

這些裝置無法使用 SCEP。SCEP 需要 MDM 代理程式來接收註冊 URL 和挑戰密碼、產生金鑰組並安裝產生的憑證。無法執行 MDM 代理程式的無螢幕 IoT 裝置無法參與 SCEP 註冊流程。推薦的替代方案為:(1)MAC 驗證旁路(MAB)結合嚴格的 VLAN 隔離 - RADIUS 伺服器根據裝置的 MAC 地址允許其連線,並將其置於無法存取企業系統的隔離 IoT VLAN 中;(2)如果裝置支援,EST(安全傳輸註冊,RFC 7030)可以為支援 HTTPS 但不支援 MDM 的裝置佈署憑證;(3)對於具有管理介面的裝置,某些廠商支援直接透過裝置韌體進行 SCEP 註冊,而不需要 MDM 代理程式。在所有情況下,無論使用何種驗證方法,IoT 裝置都應隔離在專用的 VLAN 上。

繼續閱讀本系列

如何安全地隔離員工與訪客 WiFi 網路

本權威技術指南為 IT 領導者提供實用的策略,利用 VLAN 與 802.1X 安全地隔離員工、訪客及 IoT WiFi 網路。內容詳細說明如何保護企業基礎架構、維護 PCI DSS 合規性,並利用 captive portals 收集第一方數據。

閱讀指南 →

最佳 DNS filtering:企業綜合指南

本技術參考指南說明企業級 DNS filtering 如何在建立連線之前的解析層阻擋惡意網域,進而保護公共網路的安全。它為 IT 總監、網路架構師和場所營運團隊提供了保護餐飲旅宿、零售和公共部門環境中 Guest WiFi 所需的佈署架構、防火牆設定以及合規性背景。Purple Shield 在 DNS 層級為超過 80,000 個實體場所阻擋惡意軟體、殭屍網路和不當內容。

閱讀指南 →

深入理解 Cisco SUDI:安全網路存取控制中的硬體錨定身分驗證

本指南說明 Cisco SUDI 如何為企業網路基礎設施提供硬體錨定且具密碼編譯安全性的身分。了解如何以不可變的 802.1AR 憑證取代易遭偽造的 MAC 位址,以確保您場域的網路存取控制安全。

閱讀指南 →