Automatisierung des Zertifikatswiderrufs mit OCSP und CRL in einer NAC-Umgebung
Dieser technische Leitfaden bietet IT-Managern und Netzwerkarchitekten eine umfassende Analyse zur Automatisierung des Zertifikatswiderrufs in einer Network Access Control (NAC)-Umgebung. Er beleuchtet die architektonischen Abwägungen zwischen OCSP und CRL, bietet herstellerneutrale Implementierungshilfen und beschreibt die geschäftlichen Auswirkungen einer Richtliniendurchsetzung in Echtzeit.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technische Vertiefung
- Certificate Revocation List (CRL)-Architektur
- Online Certificate Status Protocol (OCSP) Architektur
- Integration mit Guest- und Analytics-Plattformen
- Implementierungsleitfaden
- Schritt 1: Sperrungsauslöser definieren
- Schritt 2: Sperrinfrastruktur konfigurieren
- Schritt 3: Fallback-Richtlinien einrichten
- Schritt 4: Fehlerverhalten definieren
- Best Practices
- Fehlerbehebung und Risikominderung
- ROI und geschäftliche Auswirkungen

Executive Summary
Für IT-Leiter und Netzwerkarchitekten in Unternehmen, die hochfrequentierte Umgebungen - wie Hotellerie , Einzelhandel und Einrichtungen des öffentlichen Sektors - verwalten, ist das Zertifikats-Lebenszyklusmanagement eine kritische Sicherheitsgrenze. Während IEEE 802.1X eine robuste Authentifizierung für Unternehmens- und BYOD-Geräte bietet, wird der Mechanismus zum Widerruf des Vertrauens oft so lange ignoriert, bis eine Sicherheitsverletzung auftritt.
Die Automatisierung des Zertifikatswiderrufs in einer Network Access Control (NAC)-Umgebung über das Online Certificate Status Protocol (OCSP) und Certificate Revocation Lists (CRL) schließt die Lücke zwischen der Außerbetriebnahme von Endgeräten und der Durchsetzung von Netzwerkrichtlinien. Dieser Leitfaden untersucht die architektonischen Mechanismen des automatisierten Widerrufs und vergleicht die Echtzeit-Fähigkeiten von OCSP mit der Offline-Ausfallsicherheit von CRLs.
Durch die Integration von Mobile Device Management (MDM)-Plattformen, Certificate Authorities (CAs) und NAC-Richtlinien-Engines können Unternehmen einen Zero-Trust-Netzwerkzugriff realisieren, bei dem kompromittierte oder stillgelegte Geräte sofort gesperrt werden. Diese technische Referenz bietet praxisnahe Anleitungen zur Bereitstellung, Strategien zur Risikominderung und untersucht, wie diese auf Mitarbeiter ausgerichtete Sicherheitsstruktur öffentlich zugängliche Infrastrukturen wie das Guest WiFi und die WiFi Analytics -Plattformen von Purple ergänzt.
Technische Vertiefung
In jedem Unternehmensnetzwerk, das IEEE 802.1X mit EAP-TLS nutzt, authentifizieren sich Geräte über digitale Zertifikate anstelle von gemeinsamen Anmeldeinformationen. Dieser Ansatz ist grundlegend für moderne Sicherheitsarchitekturen, da er gerätegebundene Identitäten bereitstellt und sich über Protokolle wie SCEP nahtlos in MDM-Plattformen integrieren lässt (weitere Informationen finden Sie unter The Role of SCEP and NAC in Modern MDM Infrastructure ). Zertifikate haben jedoch einen definierten Lebenszyklus. Wenn ein Gerät verloren geht, ein Mitarbeiter das Unternehmen verlässt oder ein privater Schlüssel kompromittiert wird, muss der Netzwerkinfrastruktur explizit mitgeteilt werden, diesem Zertifikat nicht mehr zu vertrauen.
Diese Widerrufsanweisung wird über zwei primäre Mechanismen übermittelt: CRLs und OCSP.
Certificate Revocation List (CRL)-Architektur
Eine CRL ist eine digital signierte Datei, die von der Certificate Authority herausgegeben wird und die Seriennummern aller Zertifikate enthält, die widerrufen wurden, aber noch nicht abgelaufen sind. Die NAC-Richtlinien-Engine (die als RADIUS-Server fungiert) lädt diese Liste regelmäßig über HTTP oder LDAP von einem CRL Distribution Point (CDP) herunter.
Während des EAP-TLS-Handshakes gleicht der RADIUS-Server die Seriennummer des eingehenden Client-Zertifikats mit seiner lokal im Cache gespeicherten CRL ab. Wenn die Seriennummer vorhanden ist, wird die Authentifizierung abgelehnt.
Architektonische Merkmale:
- Offline-Resilienz: Da der RADIUS-Server die CRL zwischenspeichert, wird die Sperrprüfung fortgesetzt, selbst wenn die CA oder der CDP nicht erreichbar sind.
- Latenz: Der Hauptnachteil ist die Latenzzeit zwischen Sperrung und Durchsetzung. Wenn ein Zertifikat um 09:00 Uhr gesperrt wird und das CRL-Aktualisierungsintervall 24 Stunden beträgt, behält das kompromittierte Gerät den Netzwerkzugriff bis zum nächsten Download.
- Durchsatz-Overhead: In Umgebungen mit Tausenden von Zertifikaten können CRL-Dateien auf mehrere Megabyte anwachsen, was die Bandbreite während der Aktualisierungszyklen stark beansprucht.
Online Certificate Status Protocol (OCSP) Architektur
OCSP behebt die Latenzbeschränkungen von CRL durch eine Echtzeit-Sperrprüfung. Anstatt die gesamte Liste herunterzuladen, sendet der RADIUS-Server eine gezielte Anfrage mit der Seriennummer des Zertifikats an einen OCSP-Responder. Der Responder gibt einen signierten Status zurück: Good, Revoked oder Unknown.
Architekturmerkmale:
- Durchsetzung in Echtzeit: Sperrentscheidungen werden sofort wirksam. Sobald die CA den OCSP-Responder aktualisiert, schlägt der nächste Authentifizierungsversuch des kompromittierten Geräts fehl.
- Verfügbarkeitsabhängigkeit: Die NAC-Richtlinien-Engine ist auf die hohe Verfügbarkeit des OCSP-Responders angewiesen. Wenn der Responder unerreichbar ist, muss der Netzwerkadministrator eine Ausfallrichtlinie definieren: "Fail-Open" (Zugriff autorisieren, was die Sicherheit gefährdet) oder "Fail-Closed" (Zugriff verweigern, was die Verfügbarkeit beeinträchtigt).
- OCSP Stapling: Um Last- und Datenschutzprobleme zu mindern, ermöglicht OCSP Stapling dem Client-Gerät, die signierte OCSP-Antwort abzurufen und an den TLS-Handshake anzuhängen, wobei die Unterstützung durch den Supplicant variieren kann.

Integration mit Guest- und Analytics-Plattformen
Während OCSP und CRL die strengen Sicherheitsanforderungen für Mitarbeiter- und Unternehmensgeräte verwalten, erfordern öffentlich zugängliche Netzwerke eine andere Architektur. Für öffentliche Veranstaltungsorte stellt die Integration eines robusten Mitarbeiter-NAC mit einer dedizierten öffentlichen Plattform wie Purple eine umfassende Abdeckung sicher. Die Plattform von Purple übernimmt die Captive Portal-Authentifizierung, die Akzeptanz der Nutzungsbedingungen und die Datenerfassung für das öffentliche Segment, während die zugrundeliegende Netzwerkinfrastruktur (oft dieselben physischen Access Points und Switches) 802.1X und OCSP für Unternehmens-SSIDs durchsetzt. Das Verständnis der Funkumgebung ist für beide Segmente von entscheidender Bedeutung; siehe Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 für die Spektrumsplanung.
Implementierungsleitfaden
Die Bereitstellung einer automatisierten Zertifikatssperrung erfordert eine Abstimmung zwischen den Bereichen PKI, MDM und NAC. Befolgen Sie diese herstellerneutralen Implementierungsschritte, um eine robuste Sperrungs-Pipeline aufzubauen.
Schritt 1: Sperrungsauslöser definieren
Die Automatisierung beginnt auf der Endpunktverwaltungsebene. Konfigurieren Sie Ihre MDM-Plattform (z. B. Microsoft Intune, Jamf Pro) so, dass sie einen API-Aufruf zur Zertifikatssperrung an Ihre Zertifizierungsstelle auslöst, wenn bestimmte Bedingungen erfüllt sind:
- Wenn ein Gerät aus dem MDM abgemeldet wird
- Wenn ein Gerät als nicht konform markiert wird
- Wenn ein Benutzerkonto im Verzeichnisdienst deaktiviert wird
Schritt 2: Sperrinfrastruktur konfigurieren
Für die CRL-Bereitstellung:
- Konfigurieren Sie die Zertifizierungsstelle so, dass sie die CRL auf einem hochverfügbaren CDP veröffentlicht (z. B. einem internen Webserver mit Lastausgleich).
- Legen Sie das Veröffentlichungsintervall der CRL basierend auf Ihrer Risikotoleranz fest (z. B. alle 4 Stunden).
- Konfigurieren Sie den RADIUS-Server so, dass er die CRL in Intervallen abruft, die etwas kürzer als das Veröffentlichungsintervall sind, um sicherzustellen, dass der Cache immer aktuell ist.
Für die OCSP-Bereitstellung:
- Stellen Sie mindestens zwei OCSP-Responder hinter einem Load Balancer bereit, um eine hohe Verfügbarkeit zu gewährleisten.
- Konfigurieren Sie die Zertifizierungsstelle so, dass sie Sperraktualisierungen sofort an die OCSP-Responder weiterleitet.
- Konfigurieren Sie den RADIUS-Server so, dass er die virtuelle IP des OCSP-Load-Balancers während der EAP-TLS-Authentifizierung abfragt.
Schritt 3: Fallback-Richtlinien einrichten
Verlassen Sie sich nicht auf einen einzigen Mechanismus. Konfigurieren Sie Ihren RADIUS-Server so, dass er OCSP als primäre Sperrprüfung verwendet und auf eine lokal zwischengespeicherte CRL zurückgreift, wenn der OCSP-Responder nicht erreichbar ist. Dies bietet eine Echtzeit-Durchsetzung unter normalen Bedingungen und Ausfallsicherheit im Offline-Betrieb bei Infrastrukturausfällen.
Schritt 4: Fehlerverhalten definieren
Wenn sowohl OCSP als auch die zwischengespeicherte CRL nicht verfügbar sind, muss der RADIUS-Server entscheiden, wie mit der Authentifizierungsanfrage verfahren werden soll.
- Sicherheitskritische Umgebungen (z. B. Gesundheitswesen ): Konfigurieren Sie "Fail Closed". Verweigern Sie den Zugriff, um zu verhindern, dass sich potenziell kompromittierte Geräte verbinden.
- Standardumgebungen (z. B. Transportwesen ): Konfigurieren Sie "Fail Open" mit Alarmierung. Erlauben Sie den Zugriff, um die Betriebskontinuität aufrechtzuerhalten, aber generieren Sie eine Warnmeldung mit hoher Priorität für das SOC.

Best Practices
- Delta-CRLs implementieren: Wenn Sie in einer großen Umgebung auf CRLs setzen, implementieren Sie Delta-CRLs. Diese Dateien enthalten nur die Sperrungen seit der letzten Veröffentlichung der vollständigen Basis-CRL, was die Downloadgröße und den Bandbreitenverbrauch erheblich reduziert.
- OCSP-Latenz überwachen: OCSP-Abfragen erfolgen direkt während des EAP-TLS-Handshakes. Wenn der OCSP-Responder 500 ms für die Antwort benötigt, verzögert sich die Authentifizierung um 500 ms. Überwachen Sie die Latenz der Responder und skalieren Sie horizontal, wenn sich die Antwortzeiten verschlechtern.
- Kurzlebige Zertifikate: Erwägen Sie die Verkürzung der Gültigkeitsdauer von Zertifikaten (z. B. von 1 Jahr auf 7 Tage) durch automatisierte SCEP/EST-Verlängerung. Kurzlebige Zertifikate laufen von Natur aus schnell ab, was die Abhängigkeit von einer robusten Sperrinfrastruktur verringert.4. Abstimmung mit der übergeordneten Netzwerkstrategie: Stellen Sie sicher, dass Ihre NAC-Implementierung auf Ihre Wide-Area-Netzwerkarchitektur abgestimmt ist. Einblicke in modernes WAN-Design finden Sie unter SD WAN vs MPLS: Der Enterprise Network Guide für 2026 .
Fehlerbehebung und Risikominderung
Das häufigste Fehlerbild bei der automatisierten Sperrung ist eine unterbrochene Verbindung zwischen CA und NAC, was zu einem „Fail-Closed“-Ereignis führt, das legitime Benutzer aussperrt.
Risiko: Ausfall des OCSP-Responders Minderung: Implementieren Sie Responder in einem Active-Active-Cluster über mehrere Ausfalldomänen hinweg. Richten Sie umfassende Health-Checks auf dem Load Balancer ein, die nicht nur die Verfügbarkeit von TCP-Port 80 prüfen, sondern auch die Fähigkeit des Responders, die CA-Datenbank abzufragen.
Risiko: Veralteter CRL-Cache Minderung: RADIUS-Server können aufgrund von Netzwerktrennungen oder CDP-Ausfällen die neueste CRL möglicherweise nicht herunterladen. Richten Sie ein Monitoring ein, das alarmiert, wenn die lokal zwischengespeicherte CRL älter als das definierte Veröffentlichungsintervall ist.
Risiko: Unvollständige MDM-Sperrung Minderung: Wenn das MDM keinen Sperraufruf an die CA auslöst, bleibt das Zertifikat gültig. Implementieren Sie ein Abgleich-Skript, das regelmäßig die Liste der aktiven Geräte des MDM mit der Liste der gültigen Zertifikate der CA vergleicht und Abweichungen automatisch sperrt.
ROI und geschäftliche Auswirkungen
Die Automatisierung der Zertifikatssperrung verwandelt die Sicherheit von einem reaktiven, manuellen Prozess in einen proaktiven, automatisierten Abwehrmechanismus.
- Risikominderung: Durch die Eliminierung des Zeitfensters zwischen der Kompromittierung eines Geräts und der Netzwerkisolierung reduzieren Unternehmen das Risiko von lateralen Bewegungen und Datenabfluss erheblich. Dies ist entscheidend für die Einhaltung von Compliance-Richtlinien wie PCI-DSS und GDPR.
- Operative Effizienz: Die Automatisierung der Sperrungskette macht es überflüssig, dass Helpdesk-Mitarbeiter RADIUS-Konfigurationen oder CA-Datenbanken beim Ausscheiden von Mitarbeitern manuell aktualisieren müssen, was in großen Unternehmen jährlich Hunderte von Stunden einspart.
- Einheitliche Zugriffsstrategie: Eine robuste NAC-Umgebung für Unternehmensgeräte ermöglicht es IT-Teams, parallel Dienste wie das analytikbasierte Gast-WiFi von Purple oder standortbasierte Dienste (siehe BLE Low Energy für Unternehmen erklärt ) mit der Gewissheit bereitzustellen, dass die Kerninfrastruktur absolut sicher bleibt.
Hören Sie sich unten unser technisches Briefing zu diesem Thema an:
Schlüsseldefinitionen
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Der sicherste Standard für die 802.1X-Netzwerkauthentifizierung, bei dem sowohl der Client als auch der Server digitale Zertifikate vorlegen müssen, um ihre Identität nachzuweisen.
IT-Teams implementieren EAP-TLS, um die Risiken einer passwortbasierten Authentifizierung zu eliminieren und sicherzustellen, dass sich nur verwaltete Geräte mit gültigem Zertifikat mit dem Unternehmensnetzwerk verbinden können.
OCSP (Online Certificate Status Protocol)
Ein Internetprotokoll, das zur Echtzeit-Abfrage des Sperrstatus eines digitalen X.509-Zertifikats verwendet wird.
Unerlässlich für Umgebungen, die eine sofortige Durchsetzung von Zugriffsrichtlinien erfordern - beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt und sein Gerät sofort vom Netzwerk getrennt werden muss.
CRL (Certificate Revocation List)
Eine regelmäßig veröffentlichte, digital signierte Liste von Zertifikatsseriennummern, die von der ausstellenden Zertifizierungsstelle gesperrt wurden.
Wird als primärer Sperrmechanismus in Offline- oder Air-Gapped-Netzwerken oder als hochgradig ausfallsicherer Fallback-Mechanismus für OCSP verwendet.
OCSP Stapling
Ein Mechanismus, bei dem das Client-Gerät seine eigene OCSP-Antwort abruft, an den TLS-Handshake „anheftet“ und dem RADIUS-Server präsentiert.
Reduziert die Last auf dem RADIUS-Server und dem OCSP-Responder und verbessert den Datenschutz, da die Zertifizierungsstelle nicht sehen kann, wann und wo sich ein Gerät authentifiziert.
Delta CRL
Eine kleinere Sperrliste, die nur die Zertifikate enthält, die seit der Veröffentlichung der letzten vollständigen Basis-CRL gesperrt wurden.
Unerlässlich für große Bereitstellungen, um Netzwerküberlastungen zu vermeiden, da vollständige CRLs enorm groß werden und bei Aktualisierungszyklen erhebliche Bandbreite verbrauchen können.
CDP (CRL Distribution Point)
Der Speicherort, in der Regel eine HTTP- oder LDAP-URL, an dem die Zertifizierungsstelle die CRL zum Download für Clients und RADIUS-Server veröffentlicht.
IT-Teams müssen sicherstellen, dass der CDP hochverfügbar und von allen NAC-Richtlinien-Engines aus erreichbar ist; fällt der CDP aus, können die RADIUS-Server ihre Caches nicht aktualisieren.
Fail Open / Fail Closed
Die Richtlinienentscheidung, die festlegt, was passiert, wenn die Sperrinfrastruktur (OCSP oder CDP) nicht erreichbar ist. Fail Open erlaubt den Zugriff; Fail Closed verweigert den Zugriff.
Eine kritische Geschäftsentscheidung, die das Sicherheitsniveau mit der betrieblichen Betriebszeit abwägt. Erfordert die Genehmigung sowohl des IT-Betriebs als auch des CISO.
SCEP (Simple Certificate Enrollment Protocol)
Ein von MDM-Plattformen verwendetes Protokoll, um die Ausstellung digitaler Zertifikate an verwaltete Geräte ohne Benutzereingriff zu automatisieren.
Der Ausgangspunkt des automatisierten Lebenszyklus. SCEP stellt das Zertifikat aus, und das MDM veranlasst später die Zertifizierungsstelle, es zu sperren, wenn das Gerät außer Dienst gestellt wird.
Ausgearbeitete Beispiele
Ein Krankenhausnetzwerk mit 500 Betten migriert von der anmeldedatenbasierten 802.1X-Authentifizierung auf zertifikatsbasiertes EAP-TLS für alle medizinischen IoT-Geräte und Laptops der Mitarbeiter. Der CISO fordert, dass der Netzwerkzugriff eines als gestohlen gemeldeten Geräts innerhalb von 5 Minuten gesperrt werden muss. Das Netzwerkteam befürchtet eine hohe Last auf dem RADIUS-Server, wenn dieser ständig externe Dienste abfragen muss. Wie sollte die Widerrufsarchitektur konzipiert werden?
Das Krankenhaus muss OCSP einsetzen, um die Vorgabe für den Widerruf innerhalb von 5 Minuten zu erfüllen, da CRL-Aktualisierungsintervalle dieses Ziel nicht zuverlässig ohne massiven Netzwerk-Overhead erreichen können. Um die Bedenken des Netzwerkteams bezüglich der Auslastung auszuräumen, sollte die Architektur lokale OCSP-Responder im Rechenzentrum des Krankenhauses vorsehen, die nahe an den RADIUS-Servern positioniert sind, um die Latenz zu minimieren. Die RADIUS-Server sollten so konfiguriert werden, dass sie die lokale OCSP-VIP abfragen. Zur Erhöhung der Ausfalltoleranz müssen die RADIUS-Server mit einem Fallback auf eine lokal im Cache gespeicherte CRL konfiguriert werden, die stündlich aktualisiert wird. Aufgrund der strengen Compliance-Anforderungen im Gesundheitswesen muss die Ausfallrichtlinie auf "Fail-Closed" eingestellt werden.
Eine globale Einzelhandelskette mit 1.200 Filialen nutzt SCEP zur Bereitstellung von Zertifikaten auf Point-of-Sale (POS)-Tablets. Die Filialen verfügen über eine begrenzte WAN-Bandbreite. Der IT-Leiter möchte einen Zertifikatswiderruf implementieren, befürchtet jedoch, dass das Herunterladen großer CRL-Dateien durch 1.200 RADIUS-Server in den Filialen die WAN-Leitungen überlastet. Was ist die optimale Bereitstellungsstrategie?
Die Einzelhandelskette sollte einen hybriden Ansatz unter Verwendung von Delta-CRLs und OCSP-Stapling implementieren. Zunächst sollte die CA so konfiguriert werden, dass sie wöchentlich eine Basis-CRL und alle 4 Stunden eine Delta-CRL (die nur die jüngsten Widerrufe enthält) veröffentlicht. Die RADIUS-Server der Filialen laden tagsüber nur die kleinen Delta-CRLs herunter, was die Auswirkungen auf das WAN minimiert. Falls die EAP-Supplicants der POS-Tablets dies unterstützen, sollte alternativ OCSP-Stapling aktiviert werden. Dadurch wird die Last für das Abrufen der OCSP-Antwort vom RADIUS-Server der Filiale auf das Tablet selbst verlagert, welches die Antwort direkt von der zentralen CA über Standard-HTTPS abrufen kann, wodurch der Verarbeitungs-Overhead des RADIUS-Servers vollständig umgangen wird.
Übungsfragen
Q1. Ihre Organisation stellt 802.1X an 50 entfernten Standorten bereit. Die WAN-Verbindungen zum zentralen Rechenzentrum sind stark überlastet und weisen häufig Paketverluste auf. Sie müssen eine Zertifikatssperrung für die firmeneigenen Laptops in den Standorten implementieren. Welche Architektur sollten Sie wählen?
Hinweis: Berücksichtigen Sie die Auswirkungen von Paketverlusten auf Echtzeitprotokolle im Vergleich zur Resilienz zwischengespeicherter Daten.
Musterlösung anzeigen
Sie sollten eine CRL-basierte Architektur implementieren, speziell unter Verwendung von Basis- und Delta-CRLs. Da die WAN-Verbindungen überlastet und unzuverlässig sind, würden Echtzeit-OCSP-Abfragen häufig in ein Timeout laufen, was zu Verzögerungen oder Fehlern bei der Authentifizierung führt. Durch die Konfiguration der RADIUS-Server in den Standorten, sodass sie Delta-CRLs außerhalb der Stoßzeiten herunterladen und zwischenspeichern, kann der lokale RADIUS-Server Sperrprüfungen sofort anhand seines Caches durchführen, selbst wenn die WAN-Verbindung während des Authentifizierungsversuchs vollständig ausfällt.
Q2. Ein Sicherheitsaudit zeigt, dass alle Unternehmensbenutzer vollständig aus dem WiFi-Netzwerk ausgesperrt werden, wenn Ihr primärer OCSP-Responder für Wartungsarbeiten offline geht. Das Unternehmen fordert, dass Wartungsarbeiten die Konnektivität der Benutzer nicht beeinträchtigen dürfen, aber der CISO weigert sich, die Richtlinie auf „Fail Open“ zu ändern. Wie lösen Sie dieses Problem?
Hinweis: Wenn Sie die Ausfallrichtlinie nicht ändern können, müssen Sie die Verfügbarkeit des Dienstes ändern.
Musterlösung anzeigen
Sie müssen eine Hochverfügbarkeit für den OCSP-Dienst implementieren. Stellen Sie mindestens einen zusätzlichen OCSP-Responder bereit und platzieren Sie beide hinter einem Load Balancer. Konfigurieren Sie den RADIUS-Server so, dass er die Virtual IP (VIP) des Load Balancers abfragt. Während der Wartung können Sie die Verbindungen vom primären Responder ableiten, ihn offline nehmen, und der Load Balancer wird alle OCSP-Abfragen nahtlos an den sekundären Responder weiterleiten - so werden sowohl die Betriebszeitanforderung des Unternehmens als auch die „Fail Closed“-Vorgabe des CISO erfüllt.
Q3. Sie haben Ihr MDM so konfiguriert, dass Zertifikate automatisch widerrufen werden, wenn ein Gerät als "verloren" markiert wird. Sie testen das System, indem Sie ein Test-iPad als verloren markieren. Das MDM bestätigt den Widerruf, aber 10 Minuten später stellt das iPad erfolgreich eine Verbindung zum Unternehmens-WiFi her. Der RADIUS-Server ist so konfiguriert, dass er eine alle 24 Stunden veröffentlichte CRL verwendet. Was ist die Ursache und wie beheben Sie das Problem?
Hinweis: Verfolgen Sie den zeitlichen Verlauf der Sperrdaten von der Zertifizierungsstelle bis zur Durchsetzungs-Engine des RADIUS-Servers.
Musterlösung anzeigen
Die Ursache ist die Latenz im Veröffentlichungs- und Aktualisierungszyklus der CRL. Obwohl das MDM der CA erfolgreich mitgeteilt hat, das Zertifikat zu widerrufen, veröffentlicht die CA diesen aktualisierten Status erst beim nächsten 24-Stunden-Zyklus auf dem CRL-Verteilungspunkt, und der RADIUS-Server lädt ihn erst herunter, wenn sein eigener Cache abläuft. Um dies zu beheben, müssen Sie entweder auf OCSP für Echtzeitprüfungen umsteigen oder die Intervalle für die Veröffentlichung und den Download der CRL drastisch reduzieren (z. B. auf 1 Stunde), um Ihre Anforderungen an die Durchsetzung zu erfüllen.
Weiterlesen in dieser Reihe
Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken
Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.
WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.
Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.