什麼是 PEAP 驗證？PEAP 如何保護您的 WiFi

這份權威指南詳解了企業 WiFi 網路的 PEAP 驗證，詳細說明其架構、與 EAP-TLS 相比的安全性限制以及實用的部署策略。專為 IT 經理和網路架構師設計，提供了 PEAP-MSCHAPv2 何時仍然適用以及如何保護它免受現代威脅的可行見解。

📖 5 min read📝 1,239 words🔧 2 worked examples❓ 3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript

什麼是 PEAP 驗證？PEAP 如何保護您的 WiFi。Purple 企業 WiFi 情報簡報。

歡迎。如果您負責飯店集團、零售物業、體育場或公部門組織的網路安全，本簡報就是為您準備的。在接下來的十分鐘內，我們將涵蓋 PEAP 驗證——它實際上是什麼、它如何運作、它在您的安全架構中的定位，以及關鍵的是，何時它是正確的選擇，而何時您應該考慮更強大的方案。讓我們開始吧。

第一節：背景脈絡以及為什麼現在這件事很重要。

現今大多數企業 WiFi 部署仍然依賴兩種驗證模型之一。您要么使用預先共用金鑰——一個在整個組織內共用的單一密碼——要么使用 802.1X，這是基於連接埠的網路存取控制的 IEEE 標準。PEAP 堅定地屬於 802.1X 陣營，並且它是迄今為止全球企業和機構環境中部署最廣泛的 EAP 方法。

PEAP 變得如此主導的原因很簡單：它解決了一個真實的營運問題。在 PEAP 之前，部署基於憑證的 WiFi 驗證意味著要為每台設備——每台筆記型電腦、每部手機、每台平板電腦——發行用戶端憑證。對於一個擁有五百名員工和 BYOD 政策的組織來說，這是一個 PKI 部署的難題，大多數 IT 團隊根本沒有預算或時間來處理。PEAP 提供了一條中間道路：透過 TLS 進行強大的伺服器端驗證，而在用戶端使用使用者名稱和密碼憑證。無需用戶端憑證。

這種妥協使 PEAP 在 2000 年代和 2010 年代成為企業 WiFi 驗證的事實標準，並且至今仍然非常普遍。了解其架構——以及其局限性——對於任何在 2024 年及以後做出基礎架構決策的人來說至關重要。

第二節：技術深入探討。

讓我們逐步了解設備透過 PEAP 進行驗證時究竟發生了什麼。這個過程有兩個不同的階段，理解兩者至關重要。

此交換中的三個角色是：請求者——即用戶端設備，無論是筆記型電腦、智慧型手機或物聯網終端；驗證器——通常是無線存取點或無線 LAN 控制器；以及驗證伺服器——幾乎總是 RADIUS 伺服器，例如 Microsoft NPS、FreeRADIUS 或雲端託管的 RADIUS 服務。

第一階段是 TLS 通道建立。當請求者嘗試連接時，驗證器不會立即授予存取權。相反，它會透過本地網路啟動一個 EAP 交換——這就是 EAPOL，基於 LAN 的 EAP。驗證器將其轉發給 RADIUS 伺服器，伺服器向用戶端出示其伺服器端 TLS 憑證。用戶端根據其信任的憑證存放區驗證該憑證。如果驗證成功，則在用戶端和 RADIUS 伺服器之間建立 TLS 通道。此通道是加密的——在現代部署中通常為 TLS 1.2 或 1.3。

第二階段是內部驗證。在那個加密通道內，實際的憑證被交換。在最常見的部署——PEAP-MSCHAPv2——中，用戶端使用 Microsoft 挑戰握手驗證協定版本 2 傳送使用者名稱和密碼。RADIUS 伺服器根據其身分存放區驗證這些憑證，身分存放區可能是 Active Directory、LDAP 或雲端身分提供者。如果憑證驗證通過，RADIUS 伺服器會透過驗證器傳回一個 Access-Accept 訊息，用戶端即獲得網路存取權。

這裡的關鍵安全屬性是，MSCHAPv2 交換發生在 TLS 通道內部。被動監控無線通道的攻擊者無法看到傳輸中的憑證。這就是 PEAP 的核心價值主張。

現在，PEAP-MSCHAPv2 的不足之處在哪裡？有兩個重要的問題是任何具有安全意識的架構師都需要了解的。

第一：伺服器憑證驗證。PEAP 僅要求伺服器出示憑證——它不要求用戶端出示憑證。這創建了一個有據可查的攻擊向量。如果用戶端設備設定不當，接受任何憑證——或接受來自任何 CA 的憑證——攻擊者可以架設一個流氓存取點，出示偽造的憑證，並攔截 MSCHAPv2 握手。像 hostapd-wpe 這樣的工具使這種攻擊變得輕而易舉。緩解措施是嚴格的請求者設定：強制執行伺服器憑證驗證，固定預期的 CA，並指定伺服器的通用名稱。在任何嚴肅的部署中，這都是沒有商量餘地的。

第二：MSCHAPv2 是一個較舊的通訊協定，存在已知的弱點。Moxie Marlinspike 在 2012 年的研究表明，MSCHAPv2 的挑戰-回應對可以透過足夠的計算在離線狀態下被破解。如果攻擊者確實捕獲了內部驗證交換——例如透過上述的流氓 AP 攻擊——他們可以嘗試離線恢復明文密碼。因此，您的密碼原則的強度直接影響您的暴露風險。長度、複雜且隨機生成的密碼可以顯著降低這種風險。

將此與 EAP-TLS 進行比較，其中伺服器和用戶端都出示憑證。沒有密碼可供竊取。攻擊面大幅減少。取捨在於營運複雜性：您需要一個 PKI，您需要發行和管理用戶端憑證，並且您需要一個機制將其分發到每台設備。對於擁有成熟 MDM 部署和良好管理 PKI 的組織，EAP-TLS 是黃金標準。對於其他人來說，具有嚴格設定的 PEAP-MSCHAPv2 仍然是一個可防禦且實用的選擇。

第三節：實作建議與陷阱。

讓我為您提供實用的部署指導。這些是將安全的 PEAP 部署與易受攻擊的部署區分開來的事項。

第一：對每個請求者強制執行伺服器憑證驗證。這是最重要的設定項目。在 Windows 中，這是無線網路設定檔中的「驗證伺服器憑證」核取方塊。在 iOS 和 Android 中，它是 EAP 設定中的 CA 憑證欄位。如果未設定此項，無論其他設定多麼完善，您的 PEAP 部署都容易受到流氓 AP 攻擊。

第二：透過 MDM 或 GPO 部署，而不是手動設定。終端使用者的手動設定不可靠。使用者會點擊通過憑證警告。他們會錯誤設定 CA 欄位。透過 Microsoft Intune、Jamf 或群組原則推送您的無線設定檔。這可以確保在您的資產中實現一致、符合原則的請求者設定。

第三：在您的 RADIUS 伺服器上至少使用 TLS 1.2。停用 TLS 1.0 和 1.1。大多數現代 RADIUS 實作都支援這一點，但值得驗證——尤其是在較舊的本地部署上。

第四：與您的身分提供者整合。PEAP-MSCHAPv2 是針對憑證存放區進行驗證的。該存放區應是您的權威身分提供者——Active Directory、透過 NPS 擴展的 Azure AD，或具有 LDAP 整合的雲端 RADIUS 服務。這意味著當員工離職時，停用其帳戶將立即撤銷其 WiFi 存取權。無需輪換共用機密，無需手動取消佈建。

第五：單獨考慮您的訪客網路。PEAP 是一種企業驗證方法。對於訪客 WiFi——您為訪客、客戶或活動參與者提供引導的地方——您需要一種不同的方法。像 Purple 這樣的平台提供了一個專用的訪客 WiFi 層，它處理 Captive Portal 驗證、資料擷取和分析，而無需在訪客 SSID 上使用 RADIUS 基礎架構。讓您的企業 SSID 繼續使用帶有 PEAP 的 802.1X，並將訪客 SSID 放在一個單獨的隔離網路上，並採用適當的引導流程。

第六：規劃憑證輪換。您的 RADIUS 伺服器憑證將會到期。一旦到期，每個固定了該憑證的用戶端都將無法進行驗證，直到新的憑證被分發。將憑證續訂納入您的營運行事曆——至少在到期前 90 天——並在推出到生產環境之前，在預備環境中測試輪換過程。

我在業界看到的最常見的失敗模式是：未強制執行憑證驗證，導致流氓 AP 漏洞；RADIUS 伺服器憑證在沒有警告的情況下到期，導致大規模驗證失敗；以及因為 RADIUS 伺服器可以從錯誤的網路區段存取，而暴露了 MSCHAPv2 內部驗證。這三者都可以透過適當的規劃來避免。

第四節：快問快答。

PEAP 可以與 Azure AD 等雲端身分提供者一起使用嗎？可以。適用於 Azure AD MFA 的 Microsoft NPS 擴展功能允許您透過 Azure AD 代理 PEAP 驗證，從而在您的 WiFi 上啟用多重要素驗證。或者，像 Cisco ISE、Aruba ClearPass 或 JumpCloud RADIUS 這樣的雲端 RADIUS 服務可以直接與 Azure AD 或 Okta 整合。

PEAP 符合 PCI DSS 嗎？PEAP-MSCHAPv2 可以在 PCI DSS 環境中使用，但您需要確保強制執行伺服器憑證驗證、使用 TLS 1.2 或更高版本，並且 RADIUS 伺服器被正確分段。PCI DSS 4.0 收緊了網路存取控制相關的要求——請與您的 QSA 一起審查相關要求。

我應該從 PEAP 遷移到 EAP-TLS 嗎？如果您擁有成熟的 MDM 部署和管理 PKI 的營運能力，那麼是的——EAP-TLS 是更強大的選擇。如果您管理的是混合資產，包含個人設備、舊版硬體或有限的 MDM 覆蓋範圍，則具有嚴格設定的 PEAP-MSCHAPv2 仍然適用。這是基於風險的決策，而不是二元選擇。

WPA3-Enterprise 呢？WPA3-Enterprise 對高安全性環境強制要求 192 位元安全模式，但它仍然支援包括 PEAP 在內的 EAP 方法。WPA3 改進了無線加密，但不會改變 EAP 驗證交換本身。

第五節：總結與後續步驟。

總結一下：PEAP 是一種兩階段驗證通訊協定，它將內部憑證（通常是 MSCHAPv2）封裝在 TLS 通道內。它是部署最廣泛的 802.1X EAP 方法，因為它消除了對用戶端憑證的需求，同時仍提供強大的伺服器驗證。其主要漏洞是，由於設定不當的請求者未驗證伺服器憑證，從而導致的流氓 AP 攻擊。透過 MDM 強制的無線設定檔、CA 固定和伺服器名稱驗證來緩解這一問題。

對於大多數企業 WiFi 部署——公司辦公室、飯店後勤網路、零售員工網路——具有適當設定的 PEAP-MSCHAPv2 是一個合理且可防禦的選擇。對於高安全性環境、受監管的行業或擁有成熟 PKI 基礎架構的組織，EAP-TLS 提供了有意義的更強安全性，並且應該是目標架構。

如果您同時在企業網路旁邊運行訪客 WiFi——而且大多數人都會這樣做——請記住，PEAP 不是訪客引導的正確工具。看看像 Purple 這樣的平台，它提供了專用的訪客 WiFi 驗證，具有分析、資料擷取和行銷整合功能，使您的訪客和企業流量得以適當分隔，並保持您的合規態勢完好無損。

如需進一步閱讀，請查閱 Purple 關於 RADIUS 伺服器架構和企業 WiFi 驗證的指南。連結在節目筆記中。

感謝收聽。這是 Purple 企業 WiFi 情報簡報。

執行摘要

受保護的可擴展驗證通訊協定 (PEAP) 至今仍是企業環境中最廣泛部署的 802.1X 驗證方法。由 Cisco、Microsoft 和 RSA Security 共同開發，PEAP 旨在解決一個特定的營運挑戰：如何實現強大的、基於憑證的伺服器驗證，而無需為網路上的每台設備部署用戶端憑證所帶來的沉重管理負擔。

對於管理複雜資產的 IT 主管和網路架構師——無論是在零售、醫療或大型企業辦公室——PEAP-MSCHAPv2 提供了一個務實的中間方案，介於預先共用金鑰 (PSK) 的不安全性和 EAP-TLS 的部署複雜性之間。然而，這種便利性伴隨著固有的安全取捨。隨著流氓存取點攻擊變得日益複雜，配置不當的 PEAP 部署構成了嚴重的漏洞。

本指南對 PEAP 架構、其運作機制以及在現代企業網路中保護它所需的強制性配置標準進行了全面的技術深入探討。

技術深入探討：PEAP 的架構

要理解 PEAP，我們必須檢視其兩階段驗證過程。PEAP 透過在內部通道中交換任何敏感憑證資料之前建立一個安全的外部通道來運作。

第一階段：TLS 通道建立

當請求者（用戶端設備）嘗試連接到網路時，驗證器（通常是無線存取點）會封鎖除可擴展驗證通訊協定 over LAN (EAPOL) 訊框之外的所有流量。驗證器將這些訊框轉發給驗證伺服器，通常是 RADIUS 伺服器。要更全面地了解此基礎架構，請參閱我們的指南：什麼是 RADIUS？RADIUS 伺服器如何保護 WiFi 網路。

在第一階段期間，RADIUS 伺服器向請求者出示其數位憑證。請求者根據其信任的根憑證頒發機構 (CA) 驗證此憑證。如果驗證成功，則在請求者和 RADIUS 伺服器之間建立 TLS (傳輸層安全) 通道。此加密通道可保護所有後續的通訊免受無線媒介上的竊聽。

第二階段：內部驗證

一旦建立 TLS 通道，實際的使用者驗證就會在此安全通道內進行。最常見的內部驗證通訊協定是 MSCHAPv2（Microsoft 挑戰握手驗證通訊協定版本 2）。

在通道內，請求者將使用者的憑證（使用者名稱和密碼）傳送給 RADIUS 伺服器。伺服器根據身分識別存放區（例如 Active Directory 或 LDAP 目錄）驗證這些憑證。如果憑證有效，RADIUS 伺服器會將存取接受訊息傳送回驗證器，並授予用戶端網路存取權。

PEAP 的關鍵安全前提是，易受攻擊的 MSCHAPv2 交換完全封裝在加密的 TLS 通道內，使其免受被動攔截。

實作指南：保護 PEAP-MSCHAPv2

雖然 PEAP 功能強大，但其在許多用戶端作業系統上的預設組態使其容易受到複雜攻擊。安全地實作 PEAP 需要嚴格遵守以下部署標準。

1. 強制伺服器憑證驗證

PEAP 部署中最嚴重的漏洞是未能強制執行用戶端的伺服器憑證驗證。由於 PEAP 不需要用戶端憑證，因此請求者在傳輸憑證之前必須絕對確定正在與合法的 RADIUS 伺服器通訊。

如果用戶端設備被設定為信任任何憑證，攻擊者就可以部署一個流氓存取點，出示偽造的憑證，並攔截 MSCHAPv2 握手。像 hostapd-wpe 這樣的工具可以自動執行此攻擊。

實作動作： IT 團隊必須將所有企業設備設定為嚴格驗證伺服器憑證。這包括固定發行 RADIUS 伺服器憑證的特定根 CA，並明確定義伺服器預期的通用名稱 (CN) 或主體別名 (SAN)。

2. MDM 強制無線設定檔

依賴終端使用者手動設定 802.1X 設定是必然走向失敗。使用者經常會點擊通過憑證警告，從而損害 TLS 通道的完整性。

實作動作： 必須透過行動裝置管理 (MDM) 平台（例如 Microsoft Intune、Jamf）或群組原則物件 (GPO) 將無線網路設定檔推送到所有公司設備。這些設定檔必須鎖定 EAP 設定，以防止使用者更改憑證驗證要求。

3. 淘汰舊版通訊協定

較舊版本的 TLS 包含已知的密碼學漏洞。PEAP 部署必須強制執行現代加密標準。

實作動作： 設定 RADIUS 伺服器以拒絕 TLS 1.0 和 TLS 1.1 連線。強制將 TLS 1.2 作為絕對最低標準，並在用戶端基座支援的情況下優先使用 TLS 1.3。

最佳實務：策略性網路分段

一個常見的架構錯誤是嘗試對所有無線存取（包括訪客和 BYOD 網路）使用 PEAP。PEAP 專為針對中央目錄進行驗證的受管企業設備而設計。

隔離訪客存取

對於非公司設備，PEAP 是錯誤的工具。嘗試在 RADIUS 目錄中管理訪客憑證會產生不必要的管理負擔並帶來安全風險。

飯店業和運輸業的場所應實施專屬的訪客 WiFi 解決方案。像 Purple 這樣的平台提供了安全的、基於 Captive Portal 的引導流程，完全獨立於企業 802.1X 基礎架構運作。這樣可以確保訪客流量被隔離，同時透過 WiFi Analytics 實現豐富的資料擷取。

EAP-TLS 的角色

在評估 PEAP 時，網路架構師還必須考慮 EAP-TLS。EAP-TLS 提供相互驗證——伺服器和用戶端都必須出示有效的憑證。這完全消除了對密碼的依賴，使憑證盜竊攻擊變得過時。

儘管 EAP-TLS 提供了優越的安全性，但它需要一個健全的公開金鑰基礎架構 (PKI) 來發行和管理用戶端憑證。對於高度監管的環境，EAP-TLS 是目標架構。對於缺乏 PKI 成熟度的組織，嚴格設定的 PEAP-MSCHAPv2 部署仍然是一個可防禦的選擇。

疑難排解與風險緩解

即使是架構良好的 PEAP 部署也可能遇到營運失敗。了解常見的失敗模式對於快速解決至關重要。

憑證到期危機

PEAP 環境中最具破壞性的事件是 RADIUS 伺服器憑證未受管理的到期。當憑證到期時，所有強制驗證的用戶端將立即中斷連線，導致全網路中斷。

緩解措施： 對 RADIUS 伺服器憑證實施自動化監控。建立標準作業程序，至少在到期前 30 天續訂並部署新憑證。如果使用內部 CA，請確保 CA 階層本身受到監控。

密碼原則與離線破解

雖然 TLS 通道保護了傳輸中的 MSCHAPv2 交換，但如果攻擊者由於用戶端設定不當而成功執行了流氓 AP 攻擊，他們將捕獲挑戰-回應對。研究表明，MSCHAPv2 雜湊值可以被離線破解。

緩解措施： 底層使用者密碼的複雜性是最後一道防線。強制執行嚴格的密碼原則——最小長度要求、複雜性規則和定期輪換——以增加離線破解的計算成本。

投資報酬率與業務影響

從 PSK 轉換到妥善管理的 PEAP 802.1X 部署，可以在多個層面帶來可衡量的業務價值。

減少管理負擔： 將 WiFi 驗證與公司身分提供者（例如 Active Directory）直接整合，可自動執行入職和離職流程。當員工離職時，停用其目錄帳戶將立即撤銷網路存取權，無需輪換共用密碼。
增強的可稽核性： 802.1X 提供了精細的使用者層級網路存取可見性。IT 團隊可以明確地將網路活動追溯到特定個人，這是合規框架（如 PCI DSS 和 GDPR）的關鍵要求。
風險緩解： 透過不再使用共用金鑰，組織可以大幅降低前員工或惡意行為者的未經授權存取風險，保護智慧財產權和敏感的公司資料。

對於希望在強化無線安全的同時優化其更廣泛網路架構的組織，強烈建議探索現代 WAN 解決方案。深入了解現代企業的 SD WAN 核心優勢。

Key Definitions

PEAP（受保護的可擴展驗證通訊協定）

一種 802.1X 驗證通訊協定，將內部驗證方法（通常是 MSCHAPv2）封裝在安全的 TLS 通道內。

因其安全性和部署便利性之間的平衡，成為企業 WiFi 驗證的主導標準。

802.1X

基於連接埠的網路存取控制的 IEEE 標準，為希望連接到 LAN 或 WLAN 的設備提供驗證機制。

PEAP 和 EAP-TLS 等通訊協定運作的基礎框架。

EAPOL（EAP over LAN）

用於在區域網路上封裝 EAP 訊息的通訊協定，在 802.1X 驗證的初始階段使用。

用戶端和存取點在網路連接埠完全開啟之前進行通訊的機制。

請求者

請求網路存取權的用戶端設備（筆記型電腦、智慧型手機）。

必須正確設定以驗證 PEAP 部署中的伺服器憑證的端點。

驗證器

促進請求者和 RADIUS 伺服器之間驗證過程的網路設備（存取點或交換器）。

在驗證成功之前封鎖流量的執行點。

RADIUS（Remote Authentication Dial-In User Service）

提供集中式驗證、授權和計費 (AAA) 管理的網路通訊協定。

驗證使用者憑證並發出最終接受/拒絕決策的伺服器。

MSCHAPv2

由 Microsoft 開發的挑戰-回應驗證通訊協定，通常用作 PEAP 中的內部驗證方法。

實際驗證使用者名稱和密碼的通訊協定，但由於密碼學弱點，需要 PEAP TLS 通道的保護。

EAP-TLS

一種 EAP 方法，要求用戶端和伺服器端都使用數位憑證進行相互驗證。

PEAP 的高度安全替代方案，需要 PKI 部署，但消除了基於密碼的漏洞。

Worked Examples

一家擁有 300 間客房的豪華酒店需要保護其後勤員工 WiFi 網路。目前，他們使用單一 WPA2-Personal 密碼，由於更新所有銷售點終端和員工平板電腦會造成營運中斷，該密碼已三年未更換。他們應該如何實作 PEAP 來解決這個問題？

酒店應使用 PEAP-MSCHAPv2 部署 802.1X 架構，透過 RADIUS 伺服器（例如 Microsoft NPS）將其無線 LAN 控制器與中央 Active Directory 整合。他們必須使用 MDM 平台將標準化的無線設定檔推送到所有員工平板電腦和 POS 終端。此設定檔必須明確實施伺服器憑證驗證，固定發行 NPS 伺服器憑證的 CA。員工將使用其個人 AD 憑據進行驗證。

Examiner's Commentary: 這種方法消除了靜態共用金鑰的漏洞。透過將驗證與 AD 連結，離職員工會立即被撤銷其 WiFi 存取權。使用 MDM 強制執行憑證驗證可防止流氓 AP 攻擊，這在面向公眾的飯店環境中風險很高。

一家大型零售連鎖店正在向 500 個地點的店經理推出公司筆記型電腦。他們想使用 PEAP-MSCHAPv2，但擔心在如此多的地點管理 RADIUS 憑證所帶來的管理負擔。

零售商不應在每家商店部署本機 RADIUS 伺服器，而是應利用與其雲端身分提供者（例如 Azure AD 或 Okta）整合的雲端託管 RADIUS 解決方案。所有 500 個地點的存取點都指向雲端 RADIUS 端點。在雲端 RADIUS 伺服器上使用單一、全球信任的公開憑證，而部署到筆記型電腦的 MDM 承載則固定此特定公開憑證。

Examiner's Commentary: 集中 RADIUS 基礎架構可大幅減少管理負擔。使用公開憑證可簡化用戶端設備上的信任鏈，前提是 MDM 設定檔嚴格固定預期的憑證以防止攔截。

Practice Questions

Q1. 您正在稽核一家醫院的 WiFi 網路。他們對員工設備使用 PEAP-MSCHAPv2。在審查期間，您注意到推送到 iPad 的 MDM 設定檔未勾選「驗證伺服器憑證」。立即風險是什麼？

Hint: 考慮如果攻擊者設定一個廣播醫院 SSID 的設備會發生什麼事。

View model answer

立即風險是流氓存取點 (Evil Twin) 攻擊。由於 iPad 未驗證伺服器憑證，它們將嘗試與廣播正確 SSID 的任何 AP 進行驗證。攻擊者可以攔截 MSCHAPv2 握手，並嘗試離線破解員工密碼，導致憑證洩露。

Q2. 一所大學的 IT 部門計劃將其學生網路從預先共用金鑰 (PSK) 遷移到 802.1X。他們想使用 EAP-TLS 以實現最大安全性，但面臨來自客服團隊的阻力。為什麼在這種情況下 PEAP-MSCHAPv2 可能是更實用的選擇？

Hint: 考慮大學環境中的設備擁有權模型。

View model answer

在大學中，設備是未受管理的 (BYOD)。部署 EAP-TLS 需要為每位學生的個人筆記型電腦、手機和平板電腦發行並安裝唯一的用戶端憑證。這對客服團隊來說是一個巨大的支援負擔。PEAP-MSCHAPv2 僅要求學生輸入其現有的大學使用者名稱和密碼，使入職過程顯著簡化，同時仍比 PSK 提供了重大的安全性升級。

Q3. 您組織的 RADIUS 伺服器憑證將在 14 天後到期。它是由公開 CA 發行的。您必須採取哪些步驟來確保 PEAP-MSCHAPv2 無線網路不中斷？

Hint: 考慮請求者目前設定為信任什麼。

View model answer

您必須從公開 CA 取得新憑證，並將其安裝到 RADIUS 伺服器上。至關重要的是，您必須審查 MDM 無線設定檔。如果設定檔固定於特定的舊憑證，則必須在舊憑證到期之前更新它們以信任新憑證。如果設定檔僅固定根 CA，且新憑證由同一個根 CA 發行，則轉換應該是無縫的，但必須進行測試。