Wi-Fi профили позволяют автоматически настраивать беспроводные подключения на устройствах Apple с использованием корпоративных методов аутентификации. В этом руководстве вы узнаете, как настроить Wi-Fi профили в Ринго для работы с корпоративными беспроводными сетями WPA2/WPA3 Enterprise.
После выполнения инструкции устройства Apple будут автоматически подключаться к корпоративным Wi-Fi сетям с правильными настройками безопасности, что упростит управление сетевой инфраструктурой в вашей организации.
.cer или .crtВ этой инструкции рассмотрим два основных типа Wi-Fi профилей для корпоративного использования:
Используется для подключения к корпоративным сетям с аутентификацией по учетным данным пользователей через RADIUS сервер. Обеспечивает централизованное управление доступом с возможностью быстрой блокировки пользователей.
Особенности:
Обеспечивает наивысший уровень безопасности, используя клиентские сертификаты для взаимной аутентификации. Профиль включает автоматическое получение клиентского сертификата через SCEP и все необходимые доверенные сертификаты.
Особенности:
Важно: Apple устройства автоматически проверяют подлинность RADIUS сервера через цепочку доверенных сертификатов. Для корректной работы WPA2 Enterprise все необходимые сертификаты (корневой CA и сертификат RADIUS сервера) должны быть включены в профиль в формате base64.
Для быстрого начала работы используйте готовые шаблоны профилей, которые можно настроить под ваше окружение. Все шаблоны предоставлены в формате XML (plist) и могут редактироваться в любом текстовом редакторе.
Этот тип профиля использует учетные данные пользователей для аутентификации через защищенный туннель PEAP с проверкой подлинности RADIUS сервера.
Перед настройкой Wi-Fi профиля необходимо включить в него сертификаты для проверки подлинности RADIUS сервера:
<dict>
<!-- Имя файла корневого сертификата -->
<key>PayloadCertificateFileName</key>
<string>ROOT_CA_FILENAME.cer</string>
<!-- Содержимое корневого сертификата в base64 -->
<key>PayloadContent</key>
<data>
ROOT_CA_CERTIFICATE_BASE64_HERE
</data>
<key>PayloadDescription</key>
<string>Adds a CA root certificate</string>
<!-- Отображаемое имя корневого CA -->
<key>PayloadDisplayName</key>
<string>ROOT_CA_NAME</string>
<key>PayloadIdentifier</key>
<string>com.apple.security.root.1FC15513-882C-45C1-91A3-3128D11C4A75</string>
<key>PayloadType</key>
<string>com.apple.security.root</string>
<key>PayloadUUID</key>
<string>1FC15513-882C-45C1-91A3-3128D11C4A75</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<!-- Имя файла сертификата RADIUS сервера -->
<key>PayloadCertificateFileName</key>
<string>RADIUS_CA_FILENAME.cer</string>
<!-- Содержимое сертификата RADIUS сервера в base64 -->
<key>PayloadContent</key>
<data>
RADIUS_CA_CERTIFICATE_BASE64_HERE
</data>
<key>PayloadDescription</key>
<string>Adds a PKCS#1-formatted certificate</string>
<!-- Отображаемое имя сертификата RADIUS сервера -->
<key>PayloadDisplayName</key>
<string>RADIUS_CA_NAME</string>
<key>PayloadIdentifier</key>
<string>com.apple.security.pkcs1.D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3</string>
<key>PayloadType</key>
<string>com.apple.security.pkcs1</string>
<key>PayloadUUID</key>
<string>D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
Для корректной работы Wi-Fi профилей необходимо правильно подготовить сертификаты в формате base64.
Конвертация сертификатов в base64
В Linux/macOS с помощью терминала:
# Конвертация DER сертификата
base64 -i certificate.cer
# Конвертация PEM сертификата (удаляем заголовки)
sed '1d;$d' certificate.pem | tr -d '\n'
В секции Wi-Fi профиля настройте параметры EAP-PEAP:
| Параметр | Описание | Пример значения | Обязательность |
|---|---|---|---|
AcceptEAPTypes |
Типы EAP (25 = EAP-PEAP) | [25] |
Обязательно |
PayloadCertificateAnchorUUID |
UUID доверенных сертификатов | ["1FC15513-882C-45C1-91A3-3128D11C4A75", "D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3"] |
Обязательно |
TLSTrustedServerNames |
FQDN имена RADIUS серверов | ["radius1.company.com", "radius2.company.com"] |
Обязательно |
UserName |
Имя пользователя | %full_name% или статическое значение |
Опционально |
TLSMinimumVersion |
Минимальная версия TLS | "1.2" |
Рекомендуется |
TLSMaximumVersion |
Максимальная версия TLS | "1.3" |
Рекомендуется |
<key>EAPClientConfiguration</key>
<dict>
<!-- Принимаемые типы EAP (25 = EAP-PEAP) -->
<key>AcceptEAPTypes</key>
<array>
<integer>25</integer>
</array>
<!-- UUID доверенных сертификатов (Root CA и RADIUS) -->
<key>PayloadCertificateAnchorUUID</key>
<array>
<string>1FC15513-882C-45C1-91A3-3128D11C4A75</string>
<string>D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3</string>
</array>
<!-- Версии TLS -->
<key>TLSMaximumVersion</key>
<string>1.3</string>
<key>TLSMinimumVersion</key>
<string>1.2</string>
<!-- Доверенные имена серверов RADIUS -->
<key>TLSTrustedServerNames</key>
<array>
<string>radius1.company.com</string>
<string>radius2.company.com</string>
</array>
<!-- Переменная для подстановки имени пользователя -->
<key>UserName</key>
<string>%full_name%</string>
</dict>
Этот тип профиля обеспечивает максимальную безопасность, используя взаимную аутентификацию через клиентские сертификаты, автоматически получаемые через SCEP.
EAP-TLS профиль обязательно включает секцию SCEP для автоматического получения клиентских сертификатов. Подробное руководство по настройке SCEP доступно в соответствующем разделе документации.
| Параметр | Описание | Пример значения |
|---|---|---|
URL |
URL SCEP сервера | http://scep.company.com/certsrv/mscep/mscep.dll |
Challenge |
Пароль SCEP | $MSSCEPCHALLENGE (для динамического) или статический |
Subject |
Субъект сертификата | CN=$SERIALNUMBER |
SubjectAltName |
должен соответствовать требованиям RADIUS сервера для проверки CN/SAN | {"ntPrincipalName": "{{SERIALNUMBER}}$@company.com"} |
Keysize |
Размер ключа | 4096 |
В секции Wi-Fi профиля настройте параметры EAP-TLS:
| Параметр | Описание | Пример значения | Обязательность |
|---|---|---|---|
AcceptEAPTypes |
Типы EAP (13 = EAP-TLS) | [13] |
Обязательно |
PayloadCertificateUUID |
UUID SCEP сертификата | "58B3DA25-0A2F-4FD3-A64E-87045F77B4AA" |
Обязательно |
PayloadCertificateAnchorUUID |
UUID доверенных сертификатов | ["1FC15513-882C-45C1-91A3-3128D11C4A75", "D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3"] |
Обязательно |
TLSTrustedServerNames |
FQDN имена RADIUS серверов | ["radius.company.com"] |
Обязательно |
<key>EAPClientConfiguration</key>
<dict>
<!-- Принимаемые типы EAP (13 = EAP-TLS) -->
<key>AcceptEAPTypes</key>
<array>
<integer>13</integer>
</array>
<!-- UUID сертификатов доверия (Root и RADIUS) -->
<key>PayloadCertificateAnchorUUID</key>
<array>
<string>1FC15513-882C-45C1-91A3-3128D11C4A75</string>
<string>D17B13B9-042F-4AA4-BFD5-2C36CBEC55E3</string>
</array>
<!-- TLS версии -->
<key>TLSMaximumVersion</key>
<string>1.3</string>
<key>TLSMinimumVersion</key>
<string>1.2</string>
<!-- Доверенное имя RADIUS сервера -->
<key>TLSTrustedServerNames</key>
<array>
<string>radius.company.com</string>
</array>
</dict>
<!-- UUID сертификата из SCEP (ссылка на SCEP-блок) -->
<key>PayloadCertificateUUID</key>
<string>58B3DA25-0A2F-4FD3-A64E-87045F77B4AA</string>
Все Wi-Fi профили содержат общие параметры, которые определяют поведение беспроводного подключения:
<!-- SSID Wi-Fi сети -->
<key>SSID_STR</key>
<string>CORPORATE_WIFI_SSID</string>
<!-- Автоматическое подключение к сети -->
<key>AutoJoin</key>
<true/>
<!-- Тип Wi-Fi шифрования -->
<key>EncryptionType</key>
<string>WPA2</string>
<!-- Скрытая ли сеть -->
<key>HIDDEN_NETWORK</key>
<false/>
<!-- Это точка доступа/Hotspot -->
<key>IsHotspot</key>
<false/>
| Параметр | Описание | Рекомендуемое значение | Назначение |
|---|---|---|---|
CaptiveBypass |
Обход captive portal | true |
Предотвращает показ страницы входа |
DisableAssociationMACRandomization |
Отключение рандомизации MAC | true |
Обеспечивает стабильную идентификацию устройства |
ProxyType |
Тип прокси | "None" |
Отключает прокси если не требуется |
Каждый профиль должен содержать уникальные идентификаторы:
<!-- Отображаемое имя профиля -->
<key>PayloadDisplayName</key>
<string>Corporate Wi-Fi Access</string>
<!-- Уникальный идентификатор профиля -->
<key>PayloadIdentifier</key>
<string>com.company.wifi.corporate</string>
<!-- UUID профиля (генерируется случайно) -->
<key>PayloadUUID</key>
<string>33F184A2-48CA-45D7-A788-2B8BB95A9179</string>
<!-- Запрет на удаление профиля пользователем -->
<key>PayloadRemovalDisallowed</key>
<true/>
Ошибка: "Не удается подключиться к сети [SSID]"
Причины и решения:
TLSTrustedServerNames → Проверьте FQDN имя в сертификате RADIUS сервераОшибка: "Certificate verification failed"
Причины и решения:
PayloadCertificateAnchorUUID → Проверьте соответствие UUID сертификатов в профилеTLSTrustedServerNamesОшибка: "Authentication failed" (для EAP-PEAP)
Причины и решения:
Ошибка: "No client certificate available" (для EAP-TLS)
Причины и решения:
PayloadCertificateUUID → Убедитесь, что UUID корректно ссылается на SCEP секцию