Zum Hauptinhalt springen
Deutsch

Automatisierung der Enterprise WiFi-Sicherheit: Der SCEP-Zertifikatsbereitstellungs-Leitfaden

Dieser technische Leitfaden erklärt, wie Sie die Enterprise WiFi-Sicherheit mithilfe der SCEP-Zertifikatsbereitstellung automatisieren. Er bietet einen detaillierten Architektur-Entwurf und Implementierungsschritte für die Bereitstellung von 802.1X EAP-TLS-Authentifizierung in Unternehmens- und Gastnetzwerken.

📖 5 Min. Lesezeit📝 1,248 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zu diesem technischen Briefing. Ich werde Sie heute durch unseren neuesten Leitfaden führen: Automatisierung der Enterprise WiFi-Sicherheit, mit besonderem Fokus auf die SCEP-Zertifikatsbereitstellung. Wenn Sie Netzwerke für Hotels, Einzelhandelsketten oder öffentliche Veranstaltungsorte verwalten, wissen Sie bereits, dass die Verwendung von Pre-Shared Keys oder einfachen Captive Portals für den Mitarbeiterzugriff ein massives Sicherheitsrisiko darstellt. Heute sprechen wir über den Goldstandard: 802.1X-Authentifizierung mittels EAP-TLS. Lassen Sie uns einen Blick auf die Architektur werfen. Die größte Herausforderung bei EAP-TLS ist nicht das Protokoll selbst, sondern die Logistik, einzigartige Client-Zertifikate auf Tausende von Geräten zu übertragen – seien es Windows-Laptops, iPads oder Point-of-Sale-Tablets. Hier kommen Mobile-Device-Management- bzw. MDM-Plattformen wie Microsoft Intune oder Jamf ins Spiel. Aber wie stellen Sie diese Zertifikate sicher bereit? Im Wesentlichen haben Sie zwei Möglichkeiten: PKCS oder SCEP. Lassen Sie mich das ganz unmissverständlich sagen: Für die WiFi-Authentifizierung sollten Sie SCEP wählen. Das ist das Simple Certificate Enrollment Protocol. Und das ist der Grund dafür: Bei SCEP weist das MDM-System das Endgerät an, seinen eigenen privaten Schlüssel lokal zu generieren. Dieser Schlüssel bleibt in der sicheren Hardware des Geräts gesperrt. Er wird niemals über das Netzwerk übertragen. Das Gerät sendet lediglich eine Zertifikatsignierungsanforderung (Certificate Signing Request) über ein Gateway, in der Regel einen NDES-Server, an Ihre Zertifizierungsstelle. Vergleichen Sie das mit PKCS, bei dem die Zertifizierungsstelle den privaten Schlüssel zentral generiert und über das Netzwerk an das Gerät überträgt. Während PKCS seine Daseinsberechtigung hat – etwa bei der E-Mail-Verschlüsselung, bei der Sie ein Key-Escrow benötigen –, ist die Übertragung privater Schlüssel über das Netzwerk ein Risiko, das Sie für die Netzwerkauthentifizierung schlichtweg nicht eingehen müssen. Belassen Sie die Schlüssel auf dem Gerät. Nutzen Sie SCEP. Kommen wir nun zur Implementierung. Wenn Sie eine einzige Sache aus diesem Briefing mitnehmen, dann diese Faustregel: Vertrauen vor Authentifizierung. Sie können nicht einfach ein WiFi-Profil bereitstellen und erwarten, dass es funktioniert. Es gibt eine strikte, dreistufige Bereitstellungsreihenfolge, die Sie einhalten müssen. Schritt eins: Bereitstellung des Trusted Root-Zertifikats. Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle vertrauen. Stellen Sie dieses Profil zuerst bereit. Schritt zwei: Konfigurieren und Bereitstellen des SCEP-Zertifikatsprofils. Dieses teilt dem Gerät mit, wie es mit dem SCEP-Gateway kommunizieren soll, welches Format für den Betreffnamen zu verwenden ist und wofür das Zertifikat eigentlich gedacht ist – in diesem Fall für die Client-Authentifizierung. Sie müssen dieses Profil mit dem in Schritt eins bereitgestellten Trusted Root verknüpfen. Schritt drei: Bereitstellung des 802.1X WiFi-Profils. Hier führen Sie alles zusammen. Sie geben die SSID an, wählen WPA3-Enterprise, stellen den EAP-Typ auf EAP-TLS ein und verweisen auf das SCEP-Zertifikat für die Client-Authentifizierung. Hier ist ein großer Fallstrick, den wir ständig sehen. Ein Kunde ruft uns an und sagt: "Die Zertifikate befinden sich auf dem Gerät, aber das WiFi-Profil zeigt in Intune einen Fehler an." Fast jedes Mal liegt dies an einer fehlerhaften Gruppenzuordnung (Targeting Mismatch). Wenn Sie das SCEP-Profil einer „Benutzer“-Gruppe zuweisen, das WiFi-Profil jedoch einer „Geräte“-Gruppe, kann das MDM die Abhängigkeit nicht auflösen. Gleichen Sie Ihre Zielgruppen über alle drei Profile hinweg exakt ab. Betrachten wir ein reales Szenario. Stellen Sie sich ein Hotel mit 200 Zimmern vor. Es verfügt über 150 verwaltete iOS-Geräte für das Housekeeping. Derzeit nutzen sie ein Standard-Passwortnetzwerk, und das Personal gibt das Passwort ständig an Gäste weiter. Ein Albtraum. Durch die Migration auf WPA2-Enterprise mit EAP-TLS via SCEP eliminiert der IT-Leiter das Passwort vollständig. Die iOS-Geräte authentifizieren sich geräuschlos im Hintergrund anhand ihrer Zertifikate. Doch was passiert, wenn eine Reinigungskraft ein Gerät verliert oder das Unternehmen verlässt? Das Deaktivieren des Active Directory-Kontos reicht nicht aus, da das Zertifikat auf diesem Gerät kryptografisch weiterhin gültig ist. Dies bringt uns zu einer kritischen Sicherheitsmaßnahme: der strengen CRL-Prüfung. Sie müssen Ihren RADIUS-Server so konfigurieren, dass er die Zertifikatssperrliste (Certificate Revocation List) prüft. Wenn ein Gerät verloren geht, sperren Sie das Zertifikat bei der CA. Der RADIUS-Server erkennt die Sperrung in der CRL und blockiert sofort den Netzwerkzugriff. Ohne strenge CRL-Prüfung ist Ihre Sicherheitsaufstellung unvollständig. Zusammenfassend lässt sich sagen, dass der Übergang zur automatisierten SCEP-Zertifikatsbereitstellung einen enormen ROI liefert. Sie werden eine Reduzierung der WiFi-bezogenen Helpdesk-Tickets um 70 bis 80 Prozent feststellen, da sich Benutzer nicht mehr aussperren oder Passwörter falsch eingeben. Vor allem eliminieren Sie das Risiko des Abgreifens von Anmeldedaten (Credential Harvesting) und stellen sicher, dass Sie Compliance-Frameworks wie PCI DSS und GDPR einhalten. Bei der Automatisierung der WiFi-Sicherheit in Unternehmen geht es nicht nur darum, Dinge abzuriegeln; es geht darum, den sicheren Weg zum einfachsten Weg für Ihre Benutzer zu machen. Vielen Dank fürs Zuhören, und schauen Sie sich unbedingt den vollständigen schriftlichen Leitfaden für die detaillierte Schritt-für-Schritt-Konfiguration an.

header_image.png

Management-Zusammenfassung

Für Enterprise-Standorte im Hotel- und Gastgewerbe, im Einzelhandel und im öffentlichen Sektor birgt die Nutzung von Pre-Shared Keys oder einfachen Captive Portals für den Netzwerkzugriff schwerwiegende Sicherheitsrisiken. Moderne Netzwerkarchitekturen erfordern eine 802.1X-Authentifizierung mittels EAP-TLS, um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift. Die Herausforderung für IT-Manager und Netzwerkarchitekten besteht darin, eindeutige Client-Zertifikate effizient auf Tausenden von Windows-, iOS- und Android-Geräten bereitzustellen.

Dieser Leitfaden bietet einen definitiven Architektur-Entwurf und eine Schritt-für-Schritt-Implementierungsstrategie für die automatisierte WiFi-Zertifikatsbereitstellung über das Simple Certificate Enrollment Protocol (SCEP). Durch die Integration Ihrer Mobile Device Management (MDM)-Plattform mit einem SCEP-Gateway und einer Certificate Authority (CA) können Sie vertrauenswürdige Root- und Client-Zertifikate geräuschlos auf verwaltete Endgeräte übertragen. Wir erläutern die entscheidenden Unterschiede zwischen SCEP und PKCS, beschreiben die genaue für den Erfolg erforderliche Bereitstellungssequenz und skizzieren praxiserprobte Strategien zur Risikominderung, damit Ihre WiFi-Netzwerke sicher und leistungsfähig bleiben.

Hören Sie sich das begleitende Podcast-Briefing an:

Technischer Deep-Dive: SCEP-Architektur und EAP-TLS

Bei der Konzeption Ihrer Enterprise WiFi-Zertifikatsbereitstellungsstrategie besteht die zentrale architektonische Entscheidung darin, wie Zertifikate sicher bereitgestellt werden. Der Branchenstandard für diesen Prozess ist SCEP. SCEP automatisiert den Zertifikatsregistrierungsprozess, sodass Geräte über ein standardisiertes Protokoll sicher Zertifikate von einer Certificate Authority anfordern können.

Der SCEP-Vorteil gegenüber PKCS

Während Plattformen wie Microsoft Intune sowohl SCEP als auch Public Key Cryptography Standards (PKCS) unterstützen, arbeiten sie grundlegend unterschiedlich. In einem SCEP-Workflow weist der MDM-Dienst das Endgerät an, sein eigenes privates und öffentliches Schlüsselpaar zu generieren. Das Gerät erstellt dann einen Certificate Signing Request (CSR) und sendet diesen über einen Network Device Enrollment Service (NDES)-Server an Ihre CA. Die CA signiert die Anfrage und gibt das öffentliche Zertifikat an das Gerät zurück.

Der entscheidende Sicherheitsvorteil von SCEP besteht darin, dass der private Schlüssel das Gerät nie verlässt. Er wird lokal generiert und im Secure Enclave des Geräts gespeichert. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X-Authentifizierung. Im Gegensatz dazu generiert die CA bei PKCS beide Schlüssel zentral und überträgt sie über das Netzwerk. PKCS eignet sich besser für Anwendungsfälle, die ein Key-Escrow erfordern, wie z. B. die S/MIME-E-Mail-Verschlüsselung, als für die Netzwerkauthentifizierung.

scep_vs_pkcs_comparison.png

802.1X und EAP-TLS Authentifizierung

Der IEEE 802.1X-Standard bietet ein Framework für die zentrale Netzwerkzugriffsverwaltung. Er definiert, wie Pakete des Extensible Authentication Protocol (EAP) über Local Area Networks (EAPoL) zur Authentifizierung zwischen dem Client, dem Access Point und dem Authentifizierungsserver (normalerweise ein RADIUS-Server) übertragen werden.

EAP-TLS ist das sicherste Authentifizierungsprotokoll für 802.1X-Netzwerke. Es erfordert eine gegenseitige Authentifizierung: Der Client überprüft das Zertifikat des RADIUS-Servers, und der RADIUS-Server überprüft das Zertifikat des Clients. Dieser strenge Validierungsprozess stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf registrierten Geräten Zugriff erhalten, wodurch das Netzwerk vor Bedrohungen wie Evil-Twin-Angriffen geschützt wird.

Implementierungshandbuch: Die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration der automatisierten Zertifikatsbereitstellung für 802.1X erfordert die strikte Einhaltung einer bestimmten Reihenfolge. Profilabhängigkeiten schreiben vor, dass Vertrauen hergestellt werden muss, bevor die Authentifizierung konfiguriert werden kann. Dies gilt unabhängig davon, ob Sie Microsoft Intune, Jamf oder eine andere MDM-Plattform verwenden.

Schritt 1: Bereitstellung des Trusted Root-Zertifikats

Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle (CA) vertrauen.

  1. Exportieren Sie Ihr Root-CA-Zertifikat und alle Intermediate-CA-Zertifikate.
  2. Erstellen Sie in Ihrer MDM-Plattform ein Profil für vertrauenswürdige Zertifikate.
  3. Laden Sie die Zertifikatsdateien hoch und stellen Sie dieses Profil für Ihre Zielgerätegruppen bereit.

Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils

Sobald das Vertrauen hergestellt ist, konfigurieren Sie das SCEP-Profil, um Geräten mitzuteilen, wie sie ihr Client-Zertifikat erhalten.

  1. Erstellen Sie ein neues SCEP-Zertifikatskonfigurationsprofil.
  2. Konfigurieren Sie das Format des Antragstellernamens (Subject Name). Verwenden Sie für die benutzergesteuerte Authentifizierung den User Principal Name. Verwenden Sie für die Geräteauthentifizierung die Geräte-ID.
  3. Legen Sie die Schlüsselverwendung (Key Usage) auf digitale Signatur und Schlüsselverschlüsselung (Key Encipherment) fest.
  4. Spezifizieren Sie die Client-Authentifizierung für die erweiterte Schlüsselverwendung (Extended Key Usage).
  5. Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten Trusted Root-Zertifikatsprofil.
  6. Geben Sie die externe URL Ihres SCEP-Gateways oder NDES-Servers an.

Schritt 3: Bereitstellung des 802.1X WiFi-Profils

Der letzte Schritt ist das Bereitstellen der WiFi-Konfiguration, die die Zertifikate mit der Netzwerk-SSID verknüpft.

  1. Erstellen Sie ein WiFi-Konfigurationsprofil.
  2. Geben Sie die SSID genau so ein, wie sie von Ihren Access Points ausgestrahlt wird.
  3. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp.
  4. Stellen Sie den EAP-Typ auf EAP-TLS ein.
  5. Wählen Sie das in Schritt 2 erstellte SCEP-Zertifikatsprofil für die Client-Authentifizierung aus.
  6. Geben Sie das vertrauenswürdige Root-Zertifikat für die Servervalidierung an, um sicherzustellen, dass sich das Gerät nur mit Ihrem legitimen RADIUS-Server verbindet.

scep_architecture_overview.png

Best Practices für Enterprise-Umgebungen

Halten Sie sich bei der Implementierung der SCEP-Zertifikatsbereitstellung an diese herstellerneutralen Best Practices, um Compliance und Zuverlässigkeit zu gewährleisten.

Sichern des SCEP-Gateways

Das SCEP-Gateway oder der NDES-Server muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Freigabe eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Veröffentlichen Sie die URL über einen Anwendungsproxy. Dies bietet einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für den bedingten Zugriff auf den Registrierungsfluss anzuwenden.

Strenge CRL-Prüfung erzwingen

Die Zertifikatsbereitstellung ist nur die halbe Miete; der Widerruf ist ebenso wichtig. Wenn ein Mitarbeiter ausscheidet, führt die Deaktivierung seines Verzeichniskontos möglicherweise nicht sofort zum Entzug seines WiFi-Zugangs, wenn sein Client-Zertifikat gültig bleibt. Konfigurieren Sie Ihren RADIUS-Server so, dass eine strenge Prüfung der Zertifikatswiderrufsliste (CRL) erzwungen wird. Stellen Sie sicher, dass Ihre CRL-Verteilungspunkte hochverfügbar sind. Wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl, was zu einem weitreichenden Ausfall führt.

Hardware-Integration

Stellen Sie sicher, dass Ihre Netzwerkinfrastruktur die erforderlichen Protokolle unterstützt. Purple lässt sich nahtlos in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Konfigurieren Sie diese Systeme so, dass Authentifizierungsanfragen an Ihre zentralisierte RADIUS-Infrastruktur weitergeleitet werden.

Fehlerbehebung & Risikominderung

Selbst bei sorgfältiger Planung kann es bei der Zertifikatsbereitstellung zu Problemen kommen. Hier sind häufige Fehlerszenarien und Strategien zur Schadensbegrenzung.

Abhängigkeitsfehler

Ein häufiges Problem tritt auf, wenn das Gerät das vertrauenswürdige Root- und das SCEP-Zertifikat erhält, das WiFi-Profil jedoch nicht angewendet werden kann. Dies wird fast immer durch eine Diskrepanz bei der Gruppenzuweisung innerhalb des MDM verursacht. Wenn das SCEP-Profil einer Benutzergruppe zugewiesen ist, das WiFi-Profil jedoch einer Gerätegruppe, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen und stellen Sie sicher, dass alle zugehörigen Profile genau derselben Verzeichnisgruppe zugewiesen sind.

Registrierungsfehler

Wenn Geräte das SCEP-Zertifikat nicht abrufen können und die Gateway-Protokolle HTTP-403-Fehler anzeigen, verfügt das Dienstkonto möglicherweise nicht über die erforderlichen Berechtigungen für die Zertifikatsvorlage, oder die URL-Filterung auf Ihrer Firewall blockiert die spezifischen von SCEP verwendeten Abfrage-String-Parameter. Stellen Sie sicher, dass das Connector-Konto über Lese- und Registrierungsberechtigungen (Enroll) für die CA-Vorlage verfügt, und überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass SCEP-URLs nicht blockiert werden.

ROI & geschäftliche Auswirkungen

Der Übergang zur automatisierten 802.1X-Zertifikatsbereitstellung liefert messbare Erträge in den Bereichen Sicherheit und Betrieb.

Passwortbasiertes WiFi erzeugt ein erhebliches Volumen an Support-Tickets aufgrund von Passwortabläufen, Sperrungen und Tippfehlern. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar und reduziert das WiFi-bezogene Helpdesk-Volumen in der Regel um 70 % bis 80 %.

Darüber hinaus eliminiert EAP-TLS das Risiko von Credential Harvesting und Man-in-the-Middle-Angriffen. Dies ist entscheidend für die Compliance mit Frameworks wie PCI DSS und GDPR. Für ein Filialunternehmen mit mehreren Standorten oder eine große Hotelkette gewährleistet die Automatisierung dieses Prozesses eine einheitliche, Zero-Touch-Bereitstellung vom ersten Tag an, was den Betriebsaufwand erheblich reduziert und gleichzeitig die Netzwerkgrenzen sichert.

Schlüsseldefinitionen

SCEP

Simple Certificate Enrollment Protocol. Ein Protokoll, das den Prozess der Anforderung und Installation digitaler Zertifikate auf Geräten automatisiert, wobei der private Schlüssel lokal generiert wird.

Die empfohlene Methode zur skalierbaren Bereitstellung von WiFi-Authentifizierungszertifikaten über MDM-Plattformen.

PKCS

Public Key Cryptography Standards. Eine Bereitstellungsmethode, bei der die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel generiert und an den Endpunkt übermittelt.

Wird häufig für die S/MIME-E-Mail-Verschlüsselung verwendet, ist jedoch aufgrund der Netzwerkübertragung des privaten Schlüssels für WiFi weniger ideal.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die obligatorische Baseline für WiFi-Sicherheit in Unternehmen, die anfällige Pre-Shared Keys ersetzt.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Ein Authentifizierungsprotokoll, bei dem sowohl der Client als auch der Server gültige digitale Zertifikate vorlegen müssen.

Gilt als die sicherste Authentifizierungsmethode für 802.1X-Netzwerke und eliminiert passwortbasierte Schwachstellen.

NDES

Network Device Enrollment Service. Eine Serverrolle, die als Gateway fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate über SCEP zu beziehen.

Eine erforderliche Infrastrukturkomponente bei der Implementierung der SCEP-Zertifikatsbereitstellung mit Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.

Der Server, der die Client-Zertifikate mit dem Verzeichnis abgleicht und den Netzwerkzugriff gewährt.

CRL

Certificate Revocation List. Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die widerrufen wurden.

RADIUS-Server müssen die CRL prüfen, um sicherzustellen, dass ein vorgelegtes Zertifikat noch gültig ist und nicht kompromittiert wurde.

CSR

Certificate Signing Request. Ein Block codierten Textes, der an eine Zertifizierungsstelle übermittelt wird, wenn ein SSL/TLS-Zertifikat beantragt wird.

Wird während des SCEP-Registrierungsprozesses vom Gerät generiert, um ein signiertes Zertifikat anzufordern.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss ein sicheres Mitarbeiter-WiFi für 150 verwaltete iOS-Geräte bereitstellen, die vom Reinigungs- und Wartungspersonal verwendet werden. Derzeit nutzen sie ein WPA2-PSK-Netzwerk, aber die Mitarbeiter teilen das Passwort ständig mit Gästen. Wie sollte der IT-Leiter eine sichere, automatisierte Lösung implementieren?

Der IT-Leiter sollte das Mitarbeiter-WiFi auf WPA2-Enterprise mit 802.1X EAP-TLS-Authentifizierung umstellen. Er muss sein MDM (z. B. Jamf) so konfigurieren, dass eine SCEP-Payload an die iOS-Geräte übertragen wird. Die Bereitstellungssequenz lautet: 1) Übertragen des Root-CA-Zertifikats, damit die Geräte dem Netzwerk vertrauen. 2) Übertragen des SCEP-Profils, das die Geräte anweist, ein Client-Zertifikat von der CA über das SCEP-Gateway anzufordern. 3) Übertragen des für WPA2-Enterprise und EAP-TLS konfigurierten WiFi-Profils, das mit dem SCEP-Zertifikat verknüpft ist. Die Netzwerk-Access-Points (z. B. HPE Aruba) sind so konfiguriert, dass sie Clients mit einem zentralen RADIUS-Server authentifizieren. Wenn Mitarbeiter eintreffen, authentifizieren sich ihre Geräte automatisch über das Zertifikat, ohne dass ein Passwort erforderlich ist.

Kommentar des Prüfers: Dieser Ansatz eliminiert das Sicherheitsrisiko gemeinsam genutzter Passwörter vollständig. Durch den Einsatz von SCEP und EAP-TLS stellt das Hotel sicher, dass nur verwaltete, autorisierte Geräte auf das Mitarbeiter-WiFi zugreifen können. Die privaten Schlüssel verbleiben sicher auf den iOS-Geräten, und falls ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, kann das Zertifikat zentral über die CRL widerrufen werden, was den Netzwerkzugriff sofort beendet.

Eine Einzelhandelskette führt neue Point-of-Sale (POS)-Tablets in 50 Filialen ein. Um die PCI DSS-Anforderungen zu erfüllen, müssen die Tablets eine Verbindung zu einem sicheren Drahtlosnetzwerk herstellen. Der Netzwerkarchitekt plant, Microsoft Intune für die Bereitstellung zu nutzen. Welche Architekturentscheidungen gewährleisten Compliance und Sicherheit?

Um die PCI DSS-Anforderungen an starke Kryptografie und Authentifizierung zu erfüllen, muss der Architekt 802.1X EAP-TLS bereitstellen. Bei Verwendung von Microsoft Intune sollte er SCEP gegenüber PKCS für die Zertifikatsbereitstellung bevorzugen. Dies stellt sicher, dass der private Schlüssel auf dem TPM des POS-Tablets generiert und niemals über das Netzwerk übertragen wird. Sie müssen einen NDES-Server einrichten, der sicher über den Azure AD-Anwendungsproxy bereitgestellt wird. Schließlich müssen sie den RADIUS-Server so konfigurieren, dass er eine strikte CRL-Prüfung erzwingt, um sicherzustellen, dass das Zertifikat eines kompromittierten POS-Tablets sofort widerrufen und der Netzwerkzugriff blockiert werden kann.

Kommentar des Prüfers: Die Wahl von SCEP gegenüber PKCS ist hier die entscheidende Entscheidung für die PCI DSS-Compliance, da sie die Übertragung des privaten Schlüssels verhindert. Die Bereitstellung des NDES-Servers über einen Anwendungsproxy sichert die Registrierungsinfrastruktur. Eine strikte CRL-Prüfung ist zwingend erforderlich; ohne sie könnte ein widerrufenes Zertifikat einem kompromittierten Gerät immer noch den Zugriff auf das Zahlungsnetzwerk ermöglichen.

Übungsfragen

Q1. Sie stellen ein neues 802.1X WiFi-Netzwerk für einen Unternehmenscampus mit Microsoft Intune bereit. Sie haben das Trusted Root-Profil, das SCEP-Profil und das WiFi-Profil konfiguriert. Während des Tests erhalten die Geräte zwar die Zertifikate, aber das WiFi-Profil wird in der Intune-Konsole als "Fehler" angezeigt. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, wie das MDM Abhängigkeiten zwischen Profilen auflöst.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine Diskrepanz bei der Gruppenzuweisung. Intune erfordert, dass abhängige Profile genau derselben Azure AD-Gruppe zugewiesen werden. Wenn das SCEP-Profil einer Benutzergruppe und das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann Intune die Abhängigkeit nicht auflösen, was zu einem Fehler führt.

Q2. Ein Einzelhandelsunternehmen möchte die Zertifikatsbereitstellung für die Tablets seiner Filialleiter automatisieren. Sie schwanken zwischen der Verwendung von SCEP oder PKCS. Sicherheit ist ihr Hauptanliegen, insbesondere der Schutz der privaten Schlüssel. Welches Protokoll sollten sie wählen und warum?

Hinweis: Denken Sie daran, wo der private Schlüssel bei den einzelnen Protokollen generiert wird.

Musterlösung anzeigen

Sie sollten SCEP wählen. Bei einem SCEP-Workflow wird der private Schlüssel lokal auf dem Tablet generiert und in dessen Secure Enclave gespeichert; er verlässt das Gerät nie. Bei PKCS generiert die Zertifizierungsstelle den privaten Schlüssel und überträgt ihn über das Netzwerk an das Gerät, was ein potenzielles Sicherheitsrisiko darstellt.

Q3. Ein Mitarbeiter verlässt das Unternehmen und sein Active Directory-Konto wird deaktiviert. Das IT-Team stellt jedoch fest, dass das Gerät des Mitarbeiters immer noch mit dem WiFi-Netzwerk des Unternehmens verbunden ist. Das Netzwerk verwendet EAP-TLS-Authentifizierung. Welche Konfiguration fehlt auf dem RADIUS-Server?

Hinweis: Das Deaktivieren eines Kontos führt nicht automatisch zum Erlöschen eines zuvor ausgestellten Zertifikats.

Musterlösung anzeigen

Auf dem RADIUS-Server fehlt die strikte Überprüfung der Certificate Revocation List (CRL). Selbst wenn das Verzeichniskonto deaktiviert ist, bleibt das Client-Zertifikat kryptografisch gültig, bis es abläuft oder explizit widerrufen wird. Der RADIUS-Server muss so konfiguriert sein, dass er die CRL prüft, um sicherzustellen, dass widerrufenen Zertifikaten der Netzwerkzugriff verweigert wird.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

Leitfaden lesen →

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

Leitfaden lesen →

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.

Leitfaden lesen →