跳至主要內容
繁體中文

如何在 Android 裝置上使用 EAP-TLS 設定企業級 WiFi

本技術參考指南為高階 IT 主管提供在 Android 裝置上部署 802.1X EAP-TLS 驗證的完整藍圖。內容涵蓋架構機制、手動與 MDM 驅動的實作策略,以及保護企業無線網路安全所需的疑難排解方法論。

📖 5 分鐘閱讀📝 1,161 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
如何在 Android 裝置上使用 EAP-TLS 設定企業級 WiFi Purple 技術簡報 — 全程約 10 分鐘 --- 引言與背景 — 全程約 1 分鐘 歡迎收看 Purple 技術簡報系列。我是您的主持人,今天我們將深入探討在 Android 裝置上部署 802.1X EAP-TLS 驗證的具體細節 — 無論您管理的是飯店物業、零售連鎖店、體育場館還是公共部門園區。 如果您負責的網路需要驗證企業或 BYOD Android 裝置,且不希望依賴共用密碼,那麼本期內容非常適合您。EAP-TLS 是企業級 WiFi 安全性的黃金標準 — 它採用雙向憑證驗證,這意味著沒有可被網路釣魚的憑證、無需定期更換密碼,且合規性態勢符合 PCI DSS、ISO 27001 和大多數公共部門的安全框架。 在本簡報結束時,您將完全瞭解 EAP-TLS 在 Android 上的運作原理、您的部署選項有哪些,以及導致部署失敗的三個最常見錯誤。讓我們開始吧。 --- 技術深潛 — 全程約 5 分鐘 我們首先從架構開始。802.1X 是規範基於連接埠之網路存取控制的 IEEE 標準。當 Android 裝置連線到企業級 WiFi 網路(設定為 WPA2-Enterprise 或 WPA3-Enterprise 的網路)時,無線基地台會充當所謂的「驗證者」(authenticator)。它本身不做出驗證決策,而是將對話在裝置與 RADIUS 伺服器(即實際的驗證伺服器)之間進行傳遞。 EAP-TLS — 即傳輸層安全可延伸驗證通訊協定 — 是在該 802.1X 框架內運行的驗證方法。它與在 TLS 通道內使用使用者名稱和密碼的 EAP-PEAP 或 EAP-TTLS 不同,EAP-TLS 在雙方都使用 X.509 憑證。RADIUS 伺服器向裝置出示伺服器憑證,而裝置則向 RADIUS 伺服器回傳用戶端憑證。雙方互相驗證。這就是雙向驗證,也是 EAP-TLS 成為目前最安全選擇的原因。 現在,特別針對 Android 系統,有幾件事您需要瞭解。Android 11 及更高版本引入了更嚴格的憑證驗證要求。如果您部署在 Android 11 或更高版本上(目前這已佔您裝置的大多數),除非 RADIUS 伺服器憑證受到明確信任,否則裝置將拒絕連線。您不能僅依賴系統信任存放區;您必須將根 CA 憑證推送到裝置,或者設定 WiFi 設定檔以明確引用該憑證。 讓我們來談談憑證鏈。在單一 Android 裝置可以透過 EAP-TLS 進行驗證之前,您需要準備好三個元件。第一,憑證授權單位(CA)——可以是您的內部 PKI、Microsoft Active Directory 憑證服務,或是像透過 Intune 進行 SCEP 的雲端 PKI。第二,發行給您的 RADIUS 伺服器並由該 CA 簽署的伺服器憑證。第三,發行給每個裝置或使用者且同樣由該 CA 簽署的唯一用戶端憑證。裝置在 TLS 握手期間出示其用戶端憑證,而 RADIUS 伺服器會根據 CA 的憑證撤銷清單(CRL)或透過 OCSP(線上憑證狀態協定)來驗證該憑證。 對於 Android,用戶端憑證和私鑰通常會封裝為 PKCS12 檔案(即 .p12 或 .pfx 檔案),其中包含憑證和加密的私鑰。在手動設定的裝置上,使用者透過「設定」、「安全性」,然後「安裝憑證」來匯入此檔案。在 MDM 管理的裝置上,憑證會以無聲方式推送到裝置的管理金鑰庫中,無需使用者互動。 現在讓我們來談談 WiFi 設定檔本身。在 Android 上設定企業級 WiFi 連線時,您需要指定:SSID、安全性類型(WPA2-Enterprise 或 WPA3-Enterprise)、EAP 方法(即 TLS)、用於伺服器驗證的 CA 憑證、用於裝置驗證的用戶端憑證,以及識別字串(通常是裝置的通用名稱或使用者的 UPN)。在 Android 11 及以上版本中,您還需要指定網域尾碼比對或伺服器憑證主旨,以防止中間人攻擊。 對於 MDM 部署(這才是真正實現規模化的地方),您會將所有這些內容作為結構化設定檔進行推送。在 Microsoft Intune 中,您建立一個 SCEP 憑證設定檔,該設定檔會自動在每部註冊的 Android 裝置上要求並安裝唯一的用戶端憑證。然後,您建立一個參照該憑證設定檔的 WiFi 設定檔。當裝置進行報到時,它會同時收到憑證和 WiFi 設定檔,並自動連線到您的 802.1X 網路。無需使用者互動,也無需支援通話。如果您正在為此使用 Intune,我們關於如何使用 Microsoft Intune 向裝置推送 WiFi 憑證的隨附指南將逐步引導您完成確切的設定步驟——我建議您在閱讀本簡報的同時閱讀該指南。 對於 VMware Workspace ONE 和 Jamf Connect,其程序在架構上是完全相同的——先是 SCEP 或 PKCS 憑證設定檔,接著是參照該設定檔的 WiFi 設定檔。具體的使用者介面有所不同,但憑證鏈和 RADIUS 設定要求是相同的。 在 RADIUS 方面,有一點非常值得注意:如果您使用的是 FreeRADIUS、Microsoft NPS 或 Cisco ISE,請確保您的伺服器憑證包含正確的「延伸金鑰用途」(EKU)屬性,特別是「伺服器驗證」(OID 1.3.6.1.5.5.7.3.1)。Android 對此要求非常嚴格。如果缺少 EKU 或設定錯誤,在 Windows 用戶端上運作正常的憑證在 Android 上可能會失敗。 --- 實作建議與常見陷阱 — 約 2 分鐘 好,我們來談談實際部署中會遇到哪些問題,因為這正是大多數部署遭遇挫折的地方。 第一個也是最常見的失敗原因是憑證信任。如果無法驗證 RADIUS 伺服器的憑證鏈,Android 11 及以上版本將無法連線。解決方法很簡單:透過 MDM 將您的根 CA 憑證推送到裝置的使用者憑證存放區,並在 WiFi 設定檔的 CA 憑證欄位中明確引用它。不要將其保留為「不驗證」——這是一個安全性漏洞,而且在某些 Android 版本上無論如何都會失敗。 第二個陷阱是憑證過期。用戶端憑證的有效期通常為一到兩年。如果您沒有透過 SCEP 或 NDES 建立自動更新機制,某天早上醒來您會發現有一半的裝置同時失去了 WiFi 存取權限。請從第一天起就將憑證自動更新納入您的 MDM 工作流程中,而不是事後才想辦法。 第三個問題是 RADIUS 伺服器的容量。由於需要進行完整的雙向憑證交換,EAP-TLS 握手在運算上比 PEAP 握手更耗費資源。在有數千個同時驗證需求的體育場或會議中心,規格不足的 RADIUS 伺服器將會成為瓶頸。請根據尖峰時段的同時驗證量來規劃您的 RADIUS 基礎架構規模,而不是根據平均負載。 最後,在 Android 方面,請注意不同的製造商(如 Samsung、Google、Xiaomi)在 WiFi 設定 API 的實作上略有不同。在大規模部署之前,請在您企業中各製造商的代表性裝置上,測試您透過 MDM 推送的設定檔。特別是 Samsung 裝置,過去一直需要明確設定身分(identity)欄位,即使該欄位可以從憑證中推導出來也是如此。 --- 快速問答 — 約 1 分鐘 以下是我經常被問到的幾個快速問題。 我可以在 BYOD 裝置上使用 EAP-TLS 嗎?可以,但這需要使用者在個人裝置上安裝用戶端憑證。對於大規模的 BYOD,請評估採用 PAP 的 EAP-TTLS 或 PEAP-MSCHAPv2 是否是更實際的折衷方案,並將 EAP-TLS 保留給公司資產裝置。 EAP-TLS 支援 WPA3-Enterprise 嗎?支援,而且 192 位元模式的 WPA3-Enterprise 實際上強制要求使用 EAP-TLS。如果您在高安全性環境中部署 WPA3-Enterprise,EAP-TLS 是您唯一符合規範的選擇。 我應該以哪個最低 Android 版本為目標?Android 8 及以上版本原生支援 EAP-TLS。對於 Android 11 及以上版本,請強制執行明確的 CA 憑證驗證。對於 Android 13 及以上版本,您可以利用改進的憑證管理 API 進行更精細的控制。 Purple 的平台可以與 EAP-TLS 網路整合嗎?Purple 的訪客 WiFi 和分析平台與您的 802.1X 企業網路在不同的 SSID 上運作。您的企業裝置在安全 SSID 上透過 EAP-TLS 進行驗證,而訪客裝置則在訪客 SSID 上使用 Purple 的 Captive Portal。兩者共存於同一個存取點基礎架構中,並透過 VLAN 隔離提供安全邊界。 --- 摘要與後續步驟 — 大約 1 分鐘 總結來說:Android 上的 EAP-TLS 是目前最安全的企業 WiFi 驗證方法,而且搭配現代 MDM 工具,大規模部署完全切實可行。需要做對的三件事是:配置妥當且具備自動憑證更新功能的 PKI、在 Android 11 及以上版本上明確信任 CA 憑證,以及針對尖峰負載調整大小的 RADIUS 基礎架構。 如果您是在混合了企業和訪客流量的場域進行部署,Purple 的平台可在訪客網路上為您提供分析和互動層,同時由您的 EAP-TLS 基礎架構保護企業端。兩者相輔相成。 您的後續步驟:請閱讀完整指南中的架構圖,逐步完成 Intune 部署演練,並在推廣到整個場域之前,先在部分裝置上進行試點。從五十台裝置的受控群組開始,驗證憑證傳遞和 WiFi 連線能力,然後信心十足地進行擴展。 感謝收聽 Purple 技術簡報。您可以在 purple.ai 找到完整的書面指南、圖表和配置參考。我們下次見。

header_image.png

এক্সিকিউটিভ সামারি

ক্রেডেনশিয়াল চুরি এবং অননুমোদিত অ্যাক্সেস থেকে এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলিকে সুরক্ষিত করতে শেয়ার্ড পাসওয়ার্ডের বাইরে যাওয়া প্রয়োজন। কর্পোরেট পরিবেশে Android ডিভাইসের বহরের জন্য, 802.1X EAP-TLS (এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি) হলো চূড়ান্ত সিকিউরিটি স্ট্যান্ডার্ড। মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেনটিকেশন কাজে লাগিয়ে, EAP-TLS পাসওয়ার্ড ফ্যাটিগ, ফিশিং এবং দুর্বল ক্রেডেনশিয়ালের সাথে যুক্ত ঝুঁকিগুলি দূর করে।

এই টেকনিক্যাল রেফারেন্স গাইডটি নেটওয়ার্ক আর্কিটেক্ট, আইটি ম্যানেজার এবং CTO-দের Android ডিভাইসে EAP-TLS ডিপ্লয় করার জন্য কার্যকর কৌশল প্রদান করে। Retail -এ পয়েন্ট-অফ-সেল টার্মিনাল, Healthcare -এ ক্লিনিক্যাল ডিভাইস, বা Hospitality -এ ব্যাক-অফ-হাউস অপারেশন পরিচালনা করা হোক না কেন, এই ডিপ্লয়মেন্ট আয়ত্ত করা এন্ড-ইউজারদের জন্য একটি নিরবচ্ছিন্ন কানেকশন অভিজ্ঞতা প্রদানের পাশাপাশি শক্তিশালী সিকিউরিটি কমপ্লায়েন্স (PCI DSS, GDPR, ISO 27001) নিশ্চিত করে। আমরা BYOD পরিবেশের জন্য ম্যানুয়াল কনফিগারেশন এবং কর্পোরেট-মালিকানাধীন বহরের জন্য জিরো-টাচ MDM প্রভিশনিং উভয়ই কভার করি।

ব্রিফিংটি শুনুন

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার এবং EAP-TLS মেকানিক্স

মূলত, 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড। ওয়্যারলেস প্রেক্ষাপটে, অ্যাক্সেস পয়েন্টটি অথেনটিকেটর হিসেবে কাজ করে, যা Android ডিভাইস (সাপ্লিক্যান্ট) এবং RADIUS সার্ভারের (অথেনটিকেশন সার্ভার) মধ্যে যোগাযোগের সুবিধা দেয়।

PEAP বা TTLS-এর বিপরীতে যা TLS-এর মধ্যে লিগ্যাসি পাসওয়ার্ড অথেনটিকেশন টানেল করে, EAP-TLS সম্পূর্ণভাবে X.509 সার্টিফিকেটের উপর নির্ভর করে। এটি একটি মিউচুয়াল অথেনটিকেশন প্যারাডাইম তৈরি করে:

  1. নেটওয়ার্কটি বৈধ তা প্রমাণ করতে RADIUS সার্ভার Android ডিভাইসের কাছে তার সার্টিফিকেট উপস্থাপন করে।
  2. এটি একটি অনুমোদিত এন্ডপয়েন্ট তা প্রমাণ করতে Android ডিভাইস RADIUS সার্ভারের কাছে তার ইউনিক ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে。

eap_tls_architecture_overview.png

Android-নির্দিষ্ট সার্টিফিকেট রিকোয়ারমেন্টস

Android-এ ডিপ্লয় করার ক্ষেত্রে কিছু নির্দিষ্ট সীমাবদ্ধতা রয়েছে, বিশেষ করে Android 11 থেকে। ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ প্রশমিত করতে Google সার্ভার সার্টিফিকেটের জন্য "Do not validate" বিকল্পটি বাতিল করেছে। ফলস্বরূপ, Android ডিভাইসে অবশ্যই সেই Root CA সার্টিফিকেট থাকতে হবে যা RADIUS সার্ভারের সার্টিফিকেট সাইন করেছে।

অধিকন্তু, RADIUS সার্ভার সার্টিফিকেটে অবশ্যই সঠিক এক্সটেন্ডেড কি ইউসেজ (EKU) অ্যাট্রিবিউট থাকতে হবে—বিশেষ করে Server Authentication (OID 1.3.6.1.5.5.7.3.1)। এটি ছাড়া, Android সাপ্লিক্যান্ট নীরবে TLS হ্যান্ডশেক ড্রপ করবে।

ক্লায়েন্ট সাইডের জন্য, Android-এ প্রাইভেট কি এবং সার্টিফিকেট একসাথে বান্ডেল করা প্রয়োজন, সাধারণত PKCS#12 ফর্ম্যাটে (.p12 বা .pfx)।

Purple-এর ইকোসিস্টেমের সাথে ইন্টিগ্রেশন

যদিও EAP-TLS আপনার কর্পোরেট ডিভাইস এবং অপারেশনাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করে, ভেন্যু অপারেটরদের অবশ্যই ভিজিটর অ্যাক্সেসও পরিচালনা করতে হবে। এখানেই একটি ডুয়াল-SSID কৌশল গুরুত্বপূর্ণ হয়ে ওঠে। আপনার কর্পোরেট SSID 802.1X EAP-TLS ব্যবহার করে, যেখানে আপনার পাবলিক SSID Purple-এর Guest WiFi প্ল্যাটফর্ম কাজে লাগায়। এই বিভাজন অপারেশনাল সিকিউরিটি নিশ্চিত করে এবং একই সাথে মার্কেটিং টিমকে গেস্ট নেটওয়ার্কে WiFi Analytics ব্যবহার করার সুযোগ দেয়। ফিজিক্যাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, Access Point Security: Your 2026 Enterprise Guide দেখুন।

ইমপ্লিমেন্টেশন গাইড

Android-এ EAP-TLS ডিপ্লয়মেন্ট ছোট BYOD সেটআপের জন্য ম্যানুয়ালি বা এন্টারপ্রাইজ স্কেলের জন্য মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM)-এর মাধ্যমে করা যেতে পারে।

mdm_deployment_comparison.png

পদ্ধতি ১: ম্যানুয়াল কনফিগারেশন (BYOD / ছোট স্কেল)

এই পদ্ধতিটি সাপোর্ট-নিবিড় এবং শুধুমাত্র সীমিত রোলআউট বা টেস্টিংয়ের জন্য প্রস্তাবিত।

  1. সার্টিফিকেট ডেলিভারি: .p12 ক্লায়েন্ট সার্টিফিকেট এবং Root CA .cer ফাইলটি নিরাপদে Android ডিভাইসে ডেলিভার করুন (যেমন, সুরক্ষিত পোর্টাল বা এনক্রিপ্ট করা ইমেলের মাধ্যমে)।
  2. ইন্সটলেশন:
    • Settings > Security > Encryption & credentials > Install a certificate-এ নেভিগেট করুন।
    • Root CA-কে "Wi-Fi certificate" হিসেবে ইন্সটল করুন।
    • প্রম্পট করা হলে এক্সট্রাকশন পাসওয়ার্ড প্রদান করে .p12 ফাইলটি ইন্সটল করুন।
  3. নেটওয়ার্ক কনফিগারেশন:
    • Settings > Network & internet > Wi-Fi-এ যান এবং "Add network" নির্বাচন করুন।
    • SSID লিখুন।
    • Security-কে WPA/WPA2/WPA3-Enterprise-এ সেট করুন।
    • EAP method-কে TLS-এ সেট করুন।
    • CA certificate-কে ইন্সটল করা Root CA-তে সেট করুন।
    • Online Certificate Status-কে Request certificate status-এ সেট করুন।
    • RADIUS সার্ভারের সার্টিফিকেটের সাবজেক্ট অল্টারনেটিভ নেম (SAN)-এর সাথে মেলাতে Domain সেট করুন।
    • ইন্সটল করা ক্লায়েন্ট সার্টিফিকেট নির্বাচন করুন।
    • আইডেন্টিটি লিখুন (সাধারণত ইউজারের UPN বা ডিভাইসের MAC)।

পদ্ধতি ২: MDM-পুশড প্রোফাইল (এন্টারপ্রাইজ স্কেল)

বড় এস্টেটের জন্য, যেমন একটি বিশ্ববিদ্যালয় ক্যাম্পাস বা Transport -এর লজিস্টিক হাব, MDM বাধ্যতামূলক। এটি জিরো-টাচ প্রভিশনিং এবং লাইফসাইকেল ম্যানেজমেন্ট প্রদান করে।

  1. PKI ইন্টিগ্রেশন: SCEP বা NDES ব্যবহার করে আপনার MDM (Intune, Workspace ONE, Jamf)-কে আপনার সার্টিফিকেট অথরিটির সাথে কানেক্ট করুন。
  2. সার্টিফিকেট প্রোফাইল: ডিভাইসের ট্রাস্ট স্টোরে Root CA পুশ করার জন্য একটি কনফিগারেশন প্রোফাইল তৈরি করুন। স্বয়ংক্রিয়ভাবে ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট এবং ইন্সটল করার জন্য একটি দ্বিতীয় প্রোফাইল (SCEP) তৈরি করুন।
  3. WiFi প্রোফাইল: ডিপ্লয় করা সার্টিফিকেটগুলিকে লিঙ্ক করে একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন।
    • Security Type: WPA2/WPA3 Enterprise
    • EAP Type: EAP-TLS
    • Authentication Method: Certificate
    • Server Trust: Root CA এবং সঠিক সার্ভার ডোমেইন নেম নির্দিষ্ট করুন।

মাইক্রোসফ্ট-নির্দিষ্ট বিস্তারিত নির্দেশাবলীর জন্য, আমাদের গাইডটি দেখুন: How to Use Microsoft Intune to Push WiFi Certificates to Devices

বেস্ট প্র্যাকটিস

  1. WPA3-Enterprise এনফোর্স করুন: যেখানে হার্ডওয়্যার সাপোর্ট করে, সেখানে WPA3-Enterprise বাধ্যতামূলক করুন। 192-বিট সিকিউরিটি স্যুটের জন্য স্পষ্টভাবে EAP-TLS প্রয়োজন, যা সর্বোচ্চ ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড নিশ্চিত করে।
  2. সার্টিফিকেট লাইফসাইকেল অটোমেট করুন: ক্লায়েন্ট সার্টিফিকেটের মেয়াদ শেষ হয়। আপনি যদি ম্যানুয়াল রিনিউয়ালের উপর নির্ভর করেন, তবে আপনি ব্যাপক আউটেজের সম্মুখীন হবেন। মেয়াদ শেষ হওয়ার ৩০ দিন আগে স্বয়ংক্রিয়ভাবে সার্টিফিকেট রিনিউ করতে SCEP/NDES ইমপ্লিমেন্ট করুন।
  3. শক্তিশালী DNS ইমপ্লিমেন্ট করুন: সার্টিফিকেট রিভোকেশন লিস্ট (CRL) চেক এবং OCSP-এর জন্য এজ থেকে নির্ভরযোগ্য DNS রেজোলিউশন প্রয়োজন। Protect Your Network with Strong DNS and Security -এ আরও পড়ুন।
  4. VLAN সেগমেন্টেশন: Tunnel-Private-Group-Id-এর মতো RADIUS অ্যাট্রিবিউট ব্যবহার করে সার্টিফিকেট অ্যাট্রিবিউটের উপর ভিত্তি করে (যেমন, ম্যানেজার ট্যাবলেট থেকে POS টার্মিনাল আলাদা করা) নির্দিষ্ট VLAN-এ EAP-TLS অথেনটিকেটেড সেশনগুলিকে ম্যাপ করুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যখন Android ডিভাইসগুলি EAP-TLS-এর মাধ্যমে কানেক্ট হতে ব্যর্থ হয়, তখন সমস্যাটি প্রায় সবসময়ই সার্টিফিকেট চেইন বা RADIUS কনফিগারেশনে থাকে।

  • লক্ষণ: Android 11+ ডিভাইসগুলি অবিলম্বে ডিসকানেক্ট হয়ে যায় বা ইউজারকে প্রম্পট না করেই "Authentication error" দেখায়।
    • মূল কারণ: ডিভাইসটি RADIUS সার্ভার সার্টিফিকেটকে ট্রাস্ট করে না। WiFi প্রোফাইলের "Domain" ফিল্ডটি অবশ্যই সার্ভার সার্টিফিকেটের SAN-এর সাথে হুবহু মিলতে হবে এবং Root CA ইন্সটল করা থাকতে হবে।
  • লক্ষণ: TLS হ্যান্ডশেকের সময় কানেকশন টাইম আউট হয়ে যায়।
    • মূল কারণ: ক্লায়েন্ট সার্টিফিকেটের রিভোকেশন স্ট্যাটাস ভেরিফাই করার জন্য RADIUS সার্ভার CRL ডিস্ট্রিবিউশন পয়েন্টে পৌঁছাতে পারে না। নিশ্চিত করুন যে আপনার RADIUS সার্ভারের আপনার PKI-এর CRL এন্ডপয়েন্টগুলিতে আউটবাউন্ড HTTP অ্যাক্সেস রয়েছে।
  • লক্ষণ: Windows ডিভাইস কানেক্ট হয়, কিন্তু Android ডিভাইস ব্যর্থ হয়。
    • মূল কারণ: RADIUS সার্টিফিকেটে Server Authentication EKU অনুপস্থিত, অথবা Android সাপ্লিক্যান্ট একটি অসমর্থিত সাইফার স্যুট ব্যবহার করার চেষ্টা করছে। TLS নেগোসিয়েশন ব্যর্থতার জন্য RADIUS লগ চেক করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ ট্রানজিশন করার জন্য PKI এবং MDM ইনফ্রাস্ট্রাকচারে অগ্রিম বিনিয়োগের প্রয়োজন, তবে সিনিয়র আইটি লিডারদের জন্য রিটার্ন অন ইনভেস্টমেন্ট (ROI) যথেষ্ট।

  • হেল্পডেস্ক খরচ হ্রাস: আইটি হেল্পডেস্ক টিকিটের ২০-৩০% হলো পাসওয়ার্ড রিসেট। সার্টিফিকেট-ভিত্তিক অথেনটিকেশন নেটওয়ার্ক অ্যাক্সেসের জন্য পাসওয়ার্ড রোটেশন পলিসি দূর করে, যা সাপোর্ট ওভারহেড ব্যাপকভাবে হ্রাস করে।
  • ঝুঁকি প্রশমন: EAP-TLS ক্রেডেনশিয়াল হার্ভেস্টিং এবং অফলাইন ডিকশনারি অ্যাটাকের বিরুদ্ধে অনাক্রম্যতা প্রদান করে। Healthcare -এর মতো নিয়ন্ত্রিত শিল্পে একটি একক ব্রিচের খরচ একটি PKI-এর ডিপ্লয়মেন্ট খরচের চেয়ে অনেক বেশি।
  • অপারেশনাল কন্টিনিউটি: স্বয়ংক্রিয় সার্টিফিকেট প্রভিশনিং নিশ্চিত করে যে ওয়্যারহাউস স্ক্যানার থেকে শুরু করে রিটেইল POS সিস্টেম পর্যন্ত গুরুত্বপূর্ণ অপারেশনাল ডিভাইসগুলি মেয়াদোত্তীর্ণ ক্রেডেনশিয়ালের কারণে কখনই নেটওয়ার্ক থেকে ড্রপ অফ করবে না। যেহেতু Purple তার পরিধি প্রসারিত করে চলেছে, যা Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers -এর মতো সাম্প্রতিক কৌশলগত পদক্ষেপগুলির দ্বারা হাইলাইট করা হয়েছে, শক্তিশালী ফাউন্ডেশনাল কানেক্টিভিটি অ্যাডভান্সড অ্যানালিটিক্স এবং এনগেজমেন্টের জন্য সহায়ক হয়ে ওঠে।

關鍵定義

802.1X

一項用於基於連接埠的網路存取控制(PNAC)的 IEEE 標準,為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

防止未授權裝置從邊緣存取企業網路的基礎架構。

EAP-TLS

具有傳輸層安全性的可延伸驗證協定。一種使用 X.509 憑證在用戶端和伺服器之間進行雙向驗證的驗證架構。

被視為最安全的 EAP 類型,它消除了對密碼的依賴,使其成為高安全性環境中不可或缺的一部分。

RADIUS

遠端使用者撥入驗證服務。一種提供集中式驗證、授權和計帳(AAA)管理的網路協定。

根據 PKI 驗證 Android 裝置憑證的伺服器元件(例如 Cisco ISE、Microsoft NPS)。

Supplicant

請求存取網路的用戶端裝置(在此案例中為 Android 智慧型手機或平板電腦)。

瞭解用戶端(Supplicant)特定的作業系統限制(例如 Android 11 的嚴格驗證)是成功部署的關鍵。

Authenticator

促進用戶端(Supplicant)與 RADIUS 伺服器之間驗證過程的網路裝置(WiFi 存取點)。

AP 不做出決定;它僅根據 RADIUS 伺服器的回應來執行連接埠控制。

PKI

公開金鑰基礎建設。建立、管理、分發、使用、儲存和撤銷數位憑證所需的一套角色、原則、硬體、軟體和程序。

EAP-TLS 的骨幹。沒有強大的 PKI,基於憑證的驗證是不可能的。

SCEP

簡單憑證登冊協定。旨在使數位憑證的發行和撤銷盡可能具備擴充性的協定。

MDM 平台用於在無需使用者介入的情況下,自動向 Android 裝置配置用戶端憑證。

SAN

主體別名。X.509 的擴充功能,允許將各種值與安全性憑證關聯。

Android 11+ 要求 WiFi 設定檔中的「網域」欄位必須與 RADIUS 伺服器憑證的 SAN 相符。

範例

某家全國連鎖零售商需要部署 5,000 台 Android 系統的銷售點(POS)平板電腦。安全團隊規定這些裝置不得使用共用密碼,且必須免受憑證網路釣魚攻擊。基礎架構團隊應如何進行此項部署?

該團隊必須部署行動裝置管理(MDM)解決方案,並透過 SCEP 與其內部公開金鑰基礎建設(PKI)整合。MDM 將推送包含根 CA 憑證的組態設定檔,為每台 POS 平板電腦自動要求唯一的用戶端憑證,並將 WPA3-Enterprise WiFi 設定檔設定為使用 EAP-TLS。RADIUS 伺服器將設定為在憑證驗證成功後,將這些裝置分配到隔離的 POS VLAN。

考官評語: 這是最佳的企業級方法。對 5,000 台裝置進行手動設定在營運上是不可行的。透過使用 MDM 和 SCEP,企業可以實現免接觸配置和自動憑證更新,在滿足安全規定的同時,將部署阻力降至最低。

某家醫院的 IT 經理正在升級無線網路。升級後,較舊的 Android 9 裝置成功連線到 EAP-TLS 網路,但新採購的 Android 12 裝置卻因信任錯誤而無法通過驗證。

IT 經理必須更新推送到裝置的 WiFi 組態設定檔。Android 11+ 強制執行嚴格的伺服器憑證驗證。必須更新設定檔以明確定義要信任的根 CA 憑證,並指定確切的「網域」(與 RADIUS 伺服器的 SAN 相符),以防止中間人(MitM)攻擊。

考官評語: 這突顯了 Android 請求端行為中關鍵的作業系統級變更。舊有的「不驗證」設定存在重大的安全風險,且在現代 Android 版本中已被完全淘汰。該解決方案正確指出了明確信任設定的必要性。

練習題

Q1. 您的組織正在從 PEAP-MSCHAPv2 遷移至 EAP-TLS。在試行階段,數台 Android 13 裝置無法連線。RADIUS 記錄顯示 TLS 握手已啟動,但在傳送用戶端憑證之前被用戶端中斷。最可能的設定錯誤是什麼?

提示:考慮到最近的 Android 版本中針對伺服器身分識別所引入的嚴格驗證要求。

查看標準答案

最可能的錯誤是推送到 Android 13 裝置的 WiFi 設定檔未正確指定「網域」字尾比對,或者設定檔中未正確連結根憑證授權單位(Root CA)。Android 會中斷連線以防止中間人攻擊,因為它無法驗證 RADIUS 伺服器的憑證。

Q2. 您正在為大型體育場部署設計架構。客戶希望對所有員工裝置使用 EAP-TLS。與標準的 WPA2-PSK 網路相比,必須擴充哪一個特定的基礎架構元件?為什麼?

提示:EAP-TLS 在連線階段涉及複雜的密碼編譯運作。

查看標準答案

必須大幅擴充 RADIUS 伺服器基礎架構。EAP-TLS 需要完整的雙向憑證驗證(非對稱密碼編譯),這在運算上非常耗費資源。在擁有數千台裝置可能同時漫遊或進行驗證的體育場環境中,規模不足的 RADIUS 部署將導致驗證逾時和連線失敗。

Q3. 遺失的 Android 平板電腦上的用戶端憑證已遭破解。網路透過何種確切機制來阻止該裝置透過 EAP-TLS 進行連線?

提示:RADIUS 伺服器如何得知憑證在到期日之前已不再有效?

查看標準答案

IT 管理員在 PKI 中撤銷該用戶端憑證。PKI 會更新其憑證撤銷清單(CRL)或 OCSP 回應程式。當遺失的平板電腦嘗試連線時,RADIUS 伺服器會根據 CRL/OCSP 檢查該用戶端憑證。確認其已被撤銷後,RADIUS 伺服器會拒絕該驗證請求。

繼續閱讀本系列

Server RADIUS:企業的完整指南

本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。

閱讀指南 →

Aruba ClearPass vs. Purple WiFi: 比較功能與協同部署

一份詳盡的技術指南,深入剖析 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級網路存取控制(NAC)旁,提供安全且具備分析功能的訪客網路之最佳實踐。

閱讀指南 →

Cisco ISE 與 Purple WiFi:如何比較及協同工作

本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。它詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析和 CRM 整合。

閱讀指南 →