Automatisierung von Enterprise WiFi Security: Der SCEP-Zertifikatsbereitstellungs-Leitfaden
Dieser technische Leitfaden erklärt, wie Sie die WiFi-Sicherheit für Unternehmen durch die Bereitstellung von SCEP-Zertifikaten automatisieren. Er bietet einen detaillierten Architekturentwurf und Implementierungsschritte für die Bereitstellung von 802.1X EAP-TLS-Authentifizierung in Unternehmens- und Gästenetzwerken.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technischer Deep Dive: SCEP-Architektur und EAP-TLS
- Die Vorteile von SCEP gegenüber PKCS
- 802.1X und EAP-TLS Authentifizierung
- Implementierungshandbuch: Die Bereitstellungsreihenfolge
- Schritt 1: Bereitstellen des vertrauenswürdigen Root-Zertifikats
- Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils
- Schritt 3: Bereitstellen des 802.1X WiFi Profils
- Best Practices für Enterprise-Umgebungen
- Sichern Sie das SCEP-Gateway
- Erzwingen Sie eine strenge CRL-Prüfung
- Hardware-Integration
- Fehlerbehebung und Risikominderung
- Abhängigkeitsfehler
- Registrierungsfehler
- ROI und geschäftlicher Nutzen

Executive Summary
Für Unternehmen in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor birgt die Nutzung von Pre-Shared Keys oder einem einfachen Captive Portal für den Netzwerkzugriff schwerwiegende Sicherheitsrisiken. Moderne Netzwerkarchitekturen erfordern eine 802.1X Authentifizierung mittels EAP-TLS, um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift. Für IT-Manager und Netzwerkarchitekten liegt die Herausforderung in der effizienten Bereitstellung einzigartiger Client-Zertifikate auf Tausenden von Windows, iOS und Android Geräten.
Dieser Leitfaden bietet den maßgeblichen Architektur-Blueprint und die schrittweise Implementierungsstrategie für die automatisierte WiFi Zertifikatsbereitstellung über das Simple Certificate Enrolment Protocol (SCEP). Durch die Integration Ihrer Mobile-Device-Management-Plattform (MDM) mit einem SCEP-Gateway und einer Certificate Authority (CA) können Sie vertrauenswürdige Root- und Client-Zertifikate im Hintergrund auf verwaltete Endpunkte aufspielen. Wir untersuchen die entscheidenden Unterschiede zwischen SCEP und PKCS, beschreiben die genaue Abfolge der für eine erfolgreiche Bereitstellung erforderlichen Schritte und skizzieren praktische Strategien zur Risikominderung, um Ihr WiFi Netzwerk sicher und leistungsstark zu halten.
Hören Sie sich das begleitende Podcast-Briefing an:
Technischer Deep Dive: SCEP-Architektur und EAP-TLS
Bei der Entwicklung einer WiFi Zertifikatsbereitstellungsstrategie für Unternehmen besteht die zentrale architektonische Entscheidung darin, wie Zertifikate sicher bereitgestellt werden. Der Branchenstandard für diesen Prozess ist SCEP. SCEP automatisiert den Prozess der Zertifikatsregistrierung und ermöglicht es Geräten, Zertifikate über ein standardisiertes Protokoll sicher von einer Certificate Authority anzufordern.
Die Vorteile von SCEP gegenüber PKCS
Obwohl Plattformen wie Microsoft Intune sowohl SCEP als auch Public Key Cryptography Standards (PKCS) unterstützen, unterscheiden sich ihre Funktionsweisen grundlegend. Im SCEP-Workflow weist der MDM-Dienst den Endpunkt an, sein eigenes privates und öffentliches Schlüsselpaar zu generieren. Das Gerät erstellt dann eine Zertifikatsregistrierungsanfrage (CSR) und sendet diese über einen Network Device Enrolment Service (NDES)-Server an Ihre CA. Die CA signiert die Anfrage und sendet das öffentliche Schlüsselzertifikat an das Gerät zurück.
Der entscheidende Sicherheitsvorteil von SCEP liegt darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert und im Secure Enclave des Geräts gespeichert. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X Authentifizierung. Im Gegensatz dazu generiert die Zertifizierungsstelle bei PKCS beide Schlüssel zentral und überträgt sie über das Netzwerk. PKCS eignet sich besser für Anwendungsfälle, die eine Schlüsselhinterlegung erfordern (wie die S/MIME-E-Mail-Verschlüsselung), und weniger für die Netzwerkauthentifizierung.

802.1X und EAP-TLS Authentifizierung
Der Standard IEEE 802.1X bietet das Framework für die zentralisierte Netzwerkzugriffsverwaltung. Er definiert, wie Pakete des Extensible Authentication Protocol (EAP) über das LAN (EAPoL) transportiert werden, um die Authentifizierung zwischen dem Client, dem Access Point und dem Authentifizierungsserver - in der Regel ein RADIUS Server - zu ermöglichen.
EAP-TLS ist das sicherste Authentierungsprotokoll für 802.1X Netzwerke. Es erfordert eine gegenseitige Authentifizierung: Der Client validiert das Zertifikat des RADIUS Servers und der RADIUS Server validiert das Zertifikat des Clients. Dieser strenge Validierungsprozess stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf registrierten Geräten Zugriff erhalten, wodurch das Netzwerk vor Bedrohungen wie Evil-Twin-Angriffen geschützt wird.
Implementierungshandbuch: Die Bereitstellungsreihenfolge
Die erfolgreiche Konfiguration der automatisierten Zertifikatsbereitstellung für 802.1X erfordert die strikte Einhaltung einer bestimmten Reihenfolge. Profilabhängigkeiten schreiben vor, dass Vertrauen aufgebaut werden muss, bevor die Authentifizierung konfiguriert wird. Dies gilt unabhängig davon, ob Sie Microsoft Intune, Jamf oder eine andere MDM-Plattform verwenden.
Schritt 1: Bereitstellen des vertrauenswürdigen Root-Zertifikats
Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS Server vertrauen kann, muss es der Zertifizierungsstelle vertrauen, die die Zertifikate ausstellt.
- Exportieren Sie Ihr Root-CA-Zertifikat und alle Intermediate-CA-Zertifikate.
- Erstellen Sie in Ihrer MDM-Plattform ein Profil für vertrauenswürdige Zertifikate.
- Laden Sie die Zertifikatsdateien hoch und stellen Sie dieses Profil für Ihre Zielgerätegruppen bereit.
Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils
Sobald das Vertrauen hergestellt ist, konfigurieren Sie das SCEP-Profil, um Geräten mitzuteilen, wie sie ihre Client-Zertifikate erhalten.
- Erstellen Sie ein neues SCEP-Zertifikatskonfigurationsprofil.
- Konfigurieren Sie das Format des Subjektnamens. Verwenden Sie für die benutzergesteuerte Authentifizierung den User Principal Name (UPN). Verwenden Sie für die Geräteauthentifizierung die Geräte-ID.
- Legen Sie die Schlüsselverwendung auf digitale Signatur und Schlüsselverschlüsselung fest.
- Spezifizieren Sie die Client-Authentifizierung für die erweiterte Schlüsselverwendung.
- Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten Profil für das vertrauenswürdige Root-Zertifikat.
- Geben Sie die externe URL Ihres SCEP-Gateways oder NDES-Servers an.
Schritt 3: Bereitstellen des 802.1X WiFi Profils
Der letzte Schritt ist das Übertragen der WiFi Konfiguration, die das Zertifikat an die SSID des Netzwerks bindet.
- Erstellen Sie ein WiFi-Konfigurationsprofil.
- Geben Sie die SSID genau so ein, wie sie von Ihren Access Points ausgestrahlt wird.
- Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp.
- Stellen Sie den EAP-Typ auf EAP-TLS ein.
- Wählen Sie das in Schritt 2 erstellte SCEP-Zertifikatsprofil für die Client-Authentifizierung aus.
- Geben Sie das vertrauenswürdige Stammzertifikat für die Servervalidierung an, um sicherzustellen, dass sich Geräte nur mit Ihrem legitimen RADIUS-Server verbinden.

Best Practices für Enterprise-Umgebungen
Befolgen Sie bei der Implementierung der SCEP-Zertifikatsbereitstellung diese herstellerunabhängigen Best Practices, um Compliance und Zuverlässigkeit zu gewährleisten.
Sichern Sie das SCEP-Gateway
Das SCEP-Gateway oder der NDES-Server muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Freigabe eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Veröffentlichen Sie die URL über einen Anwendungsproxy. Dies bietet einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsdatenfluss anzuwenden.
Erzwingen Sie eine strenge CRL-Prüfung
Die Zertifikatsbereitstellung ist nur die halbe Miete der Sicherheit; der Widerruf ist ebenso wichtig. Wenn ein Mitarbeiter das Unternehmen verlässt, wird durch das Deaktivieren seines Verzeichniskontos der WiFi-Zugriff möglicherweise nicht sofort entzogen, wenn sein Client-Zertifikat gültig bleibt. Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strenge Prüfung der Zertifikatssperrliste (CRL) erzwingt. Stellen Sie sicher, dass Ihre CRL-Verteilungspunkte hochverfügbar sind; wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl, was zu weitreichenden Serviceunterbrechungen führt.
Hardware-Integration
Stellen Sie sicher, dass Ihre Netzwerkinfrastruktur die erforderlichen Protokolle unterstützt. Purple lässt sich nahtlos in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Konfigurieren Sie diese Systeme so, dass sie Authentifizierungsanfragen an Ihre zentralisierte RADIUS-Infrastruktur weiterleiten.
Fehlerbehebung und Risikominderung
Selbst bei sorgfältiger Planung kann es bei der Zertifikatsbereitstellung zu Problemen kommen. Im Folgenden finden Sie häufige Fehlermodi und Strategien zur Risikominderung.
Abhängigkeitsfehler
Ein häufiges Problem ist, dass ein Gerät das vertrauenswürdige Stamm- und SCEP-Zertifikat erhält, das WiFi-Profil jedoch nicht angewendet werden kann. Dies wird fast immer durch eine nicht übereinstimmende Gruppenzuweisung innerhalb des MDM verursacht. Wenn das SCEP-Profil einer Benutzergruppe zugewiesen ist, während das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen und stellen Sie sicher, dass alle zugehörigen Profile genau denselben Verzeichnisgruppen zugewiesen sind.
Registrierungsfehler
Wenn Geräte keine SCEP-Zertifikate abrufen können und die Gateway-Protokolle HTTP-403-Fehler anzeigen, fehlen dem Dienstkonto möglicherweise die erforderlichen Berechtigungen für die Zertifikatsvorlage, oder die URL-Filterung auf der Firewall blockiert die spezifischen von SCEP verwendeten Abfrageparameter. Stellen Sie sicher, dass das Connector-Konto über Lese- und Registrierungsberechtigungen für die CA-Vorlage verfügt, und überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass die SCEP-URL nicht blockiert wird.
ROI und geschäftlicher Nutzen
Der Übergang zur automatisierten Zertifikatsbereitstellung für 802.1X liefert messbare Renditen sowohl im Sicherheitsbereich als auch im Betrieb.
Kennwortbasiertes WiFi verursacht aufgrund von Kennwortabläufen, Sperren und Tippfehlern ein hohes Aufkommen an Support-Tickets. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar und reduziert das Aufkommen an WiFi-bezogenen Helpdesk-Tickets in der Regel um 70 % bis 80 %.
Darüber hinaus eliminiert EAP-TLS das Risiko von Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffen. Dies ist für die Einhaltung von Frameworks wie PCI-DSS und GDPR unerlässlich. Für Einzelhandelsunternehmen mit mehreren Standorten oder große Hotelketten sorgt die Automatisierung dieses Prozesses ab dem ersten Tag für eine konsistente, berührungslose Bereitstellung, die den Netzwerkperimeter sichert und gleichzeitig den betrieblichen Aufwand erheblich reduziert.
Schlüsseldefinitionen
SCEP
Simple Certificate Enrolment Protocol. Ein Protokoll, das den Prozess der Anforderung und Installation digitaler Zertifikate auf Geräten automatisiert, wobei der private Schlüssel lokal generiert wird.
Die empfohlene Methode zur skalierbaren Bereitstellung von WiFi-Authentifizierungszertifikaten über MDM-Plattformen.
PKCS
Public Key Cryptography Standards. Eine Bereitstellungsmethode, bei der die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel generiert und an den Endpunkt überträgt.
Wird häufig für die S/MIME-E-Mail-Verschlüsselung verwendet, ist jedoch aufgrund der Netzwerkübertragung des privaten Schlüssels für WiFi weniger ideal.
802.1X
Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.
Die obligatorische Basis für die WiFi-Sicherheit in Unternehmen, die unsichere Pre-Shared Keys ersetzt.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Ein Authentifizierungsprotokoll, bei dem sowohl der Client als auch der Server gültige digitale Zertifikate vorlegen müssen.
Gilt als die sicherste Authentifizierungsmethode für 802.1X-Netzwerke, da sie passwortbasierte Sicherheitsrisiken eliminiert.
NDES
Network Device Enrolment Service. Eine Serverrolle, die als Gateway fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate über SCEP zu erhalten.
Eine erforderliche Infrastrukturkomponente bei der Implementierung der SCEP-Zertifikatsbereitstellung mit Microsoft Intune.
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung bereitstellt.
Der Server, der die Client-Zertifikate mit dem Verzeichnis abgleicht und den Netzwerkzugriff gewährt.
CRL
Certificate Revocation List. Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern der widerrufenen Zertifikate enthält.
RADIUS-Server müssen die CRL prüfen, um sicherzustellen, dass ein vorgelegtes Zertifikat noch gültig ist und nicht kompromittiert wurde.
CSR
Certificate Signing Request. Ein Block codierten Textes, der einer Zertifizierungsstelle bei der Beantragung eines SSL/TLS-Zertifikats übergeben wird.
Wird während des SCEP-Registrierungsprozesses vom Gerät generiert, um ein signiertes Zertifikat anzufordern.
Ausgearbeitete Beispiele
Ein Hotel mit 200 Zimmern muss ein sicheres Mitarbeiter-WiFi auf 150 verwalteten iOS-Geräten bereitstellen, die vom Reinigungsdienst und der Wartung genutzt werden. Derzeit verwenden sie ein WPA2-PSK-Netzwerk, aber das Personal teilt das Passwort immer wieder mit Gästen. Wie sollte der IT-Leiter eine sichere, automatisierte Lösung implementieren?
Der IT-Leiter sollte das Mitarbeiter-WiFi auf WPA2-Enterprise mit 802.1X EAP-TLS-Authentifizierung umstellen. Er muss sein MDM (z. B. Jamf) so konfigurieren, dass es eine SCEP-Payload auf die iOS-Geräte überträgt. Der Ablauf der Bereitstellung ist: 1) Bereitstellung des Root-CA-Zertifikats, damit die Geräte dem Netzwerk vertrauen. 2) Bereitstellung des SCEP-Profils, das die Geräte anweist, ein Client-Zertifikat von der CA über das SCEP-Gateway anzufordern. 3) Bereitstellung des für WPA2-Enterprise und EAP-TLS konfigurierten WiFi-Profils, das mit dem SCEP-Zertifikat verknüpft ist. Die Access Points des Netzwerks (z. B. HPE Aruba) werden so konfiguriert, dass sie Clients mit einem zentralen RADIUS-Server authentifizieren. Wenn Mitarbeiter eintreffen, authentifizieren sich ihre Geräte automatisch über das Zertifikat, ohne dass ein Passwort erforderlich ist.
Eine Einzelhandelskette führt an 50 Standorten neue Point-of-Sale (POS)-Tablets ein. Um die PCI-DSS-Anforderungen zu erfüllen, müssen die Tablets eine Verbindung zu einem sicheren drahtlosen Netzwerk herstellen. Der Netzwerkarchitekt plant, Microsoft Intune für die Bereitstellung zu nutzen. Welche Architekturentscheidungen gewährleisten Compliance und Sicherheit?
Um die PCI-DSS-Anforderungen für starke Kryptografie und Authentifizierung zu erfüllen, muss der Architekt 802.1X EAP-TLS bereitstellen. Bei der Verwendung von Microsoft Intune sollte er SCEP gegenüber PKCS für die Zertifikatsbereitstellung bevorzugen. Dies stellt sicher, dass der private Schlüssel auf dem TPM des POS-Tablets generiert und niemals über das Netzwerk übertragen wird. Sie müssen einen NDES-Server einrichten, der sicher über den Azure AD Application Proxy veröffentlicht wird. Schließlich müssen sie den RADIUS-Server so konfigurieren, dass er eine strenge CRL-Prüfung erzwingt. Dadurch wird sichergestellt, dass bei der Kompromittierung eines POS-Tablets dessen Zertifikat widerrufen und der Netzwerkzugriff sofort gesperrt werden kann.
Übungsfragen
Q1. Sie stellen ein neues 802.1X WiFi-Netzwerk für einen Unternehmenscampus mithilfe von Microsoft Intune bereit. Sie haben das Trusted-Root-Profil, das SCEP-Profil und das WiFi-Profil konfiguriert. Bei Tests erhalten die Geräte zwar die Zertifikate, das WiFi-Profil wird in der Intune-Konsole jedoch als "Fehler" angezeigt. Was ist die wahrscheinlichste Ursache?
Hinweis: Überlegen Sie, wie das MDM Abhängigkeiten zwischen Profilen auflöst.
Musterlösung anzeigen
Die wahrscheinlichste Ursache ist eine Diskrepanz beim Gruppen-Targeting. Intune erfordert, dass abhängige Profile exakt derselben Azure AD-Gruppe zugewiesen werden. Wenn das SCEP-Profil einer Benutzergruppe und das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann Intune die Abhängigkeit nicht auflösen, was zu einem Fehler führt.
Q2. Ein Einzelhandelsunternehmen möchte die Zertifikatsbereitstellung für die Tablets seiner Filialleiter automatisieren. Es wird zwischen SCEP und PKCS abgewogen. Die Sicherheit steht dabei an erster Stelle, insbesondere der Schutz der privaten Schlüssel. Welches Protokoll sollten sie wählen und warum?
Hinweis: Überlegen Sie, wo bei den einzelnen Protokollen der private Schlüssel generiert wird.
Musterlösung anzeigen
Sie sollten SCEP wählen. Bei einem SCEP-Workflow wird der private Schlüssel lokal auf dem Tablet generiert und in dessen Secure Enclave gespeichert; er verlässt das Gerät nie. Bei PKCS generiert die Zertifizierungsstelle den privaten Schlüssel und überträgt ihn über das Netzwerk an das Gerät, was eine potenzielle Sicherheitslücke darstellt.
Q3. Ein Mitarbeiter verlässt das Unternehmen und sein Active Directory-Konto wird deaktiviert. Das IT-Team stellt jedoch fest, dass das Gerät des Mitarbeiters immer noch mit dem WiFi-Netzwerk des Unternehmens verbunden ist. Das Netzwerk verwendet die EAP-TLS-Authentifizierung. Welche Konfiguration fehlt auf dem RADIUS-Server?
Hinweis: Das Deaktivieren eines Kontos führt nicht automatisch zum Erlöschen eines zuvor ausgestellten Zertifikats.
Musterlösung anzeigen
Auf dem RADIUS-Server fehlt die strikte Prüfung der Certificate Revocation List (CRL). Selbst wenn das Verzeichnis-Konto deaktiviert ist, bleibt das Client-Zertifikat kryptografisch gültig, bis es abläuft oder explizit widerrufen wird. Der RADIUS-Server muss so konfiguriert sein, dass er die CRL prüft, um sicherzustellen, dass widerrufenen Zertifikaten der Netzwerkzugriff verweigert wird.
Weiterlesen in dieser Reihe
Wie Sie Mitarbeiter- und Gäste-WiFi-Netzwerke sicher trennen
Dieser maßgebliche technische Leitfaden bietet IT-Leitern umsetzbare Strategien zur sicheren Trennung von Mitarbeiter-, Gäste- und IoT-WiFi-Netzwerken mithilfe von VLANs und 802.1X. Er beschreibt im Detail, wie Sie die Infrastruktur Ihres Unternehmens sichern, die PCI-DSS-Compliance wahren und Captive Portale nutzen, um First-Party-Daten zu erfassen.
Beste DNS-Filterung: Ein umfassender Leitfaden für Unternehmen
Dieser technische Leitfaden erklärt, wie DNS-Filterung der Enterprise-Klasse öffentliche Netzwerke sichert, indem bösartige Domains auf der Auflösungsebene blockiert werden - noch bevor eine Verbindung hergestellt wird. Er bietet IT-Leitern, Netzwerkarchitekten und Venue-Operations-Teams die Deployment-Architektur, Firewall-Konfiguration und den Compliance-Kontext, die sie benötigen, um Guest WiFi in der Hotellerie, im Einzelhandel und im öffentlichen Sektor zu schützen. Purple Shield blockiert Malware, Botnets und unangemessene Inhalte auf DNS-Ebene an über 80.000 Live-Standorten.
Cisco SUDI verstehen: Hardware-verankerte Identität bei der sicheren Netzwerk-Zugangskontrolle
Dieser Leitfaden erklärt, wie Cisco SUDI eine hardware-verankerte, kryptografisch sichere Identität für die IT-Infrastruktur von Unternehmen bereitstellt. Erfahren Sie, wie Sie fälschbare MAC-Adressen durch unveränderliche 802.1AR-Zertifikate ersetzen, um die Netzwerk-Zugangskontrolle Ihres Standorts zu sichern.