Zum Hauptinhalt springen

Zertifikatsbasierte Authentifizierung für Unternehmensgeräte (EAP-TLS)

Dieser maßgebliche technische Leitfaden behandelt die Architektur, die Bereitstellung und die bewährten Betriebsmethoden für die zertifikatsbasierte EAP-TLS-Authentifizierung für Unternehmensgeräte. Er wurde für IT-Architekten und Betriebsleiter von Standorten entwickelt und bietet einen praktischen Fahrplan zur Eliminierung passwortbasierter Anmelderisiken und zur Erreichung einer robusten 802.1X-Netzwerkzugriffskontrolle in standortübergreifenden Unternehmensumgebungen.

📖 13 Min. Lesezeit📝 3,062 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Zertifikatsbasierte Authentifizierung für Unternehmensgeräte - EAP-TLS Ein technisches Briefing von Purple | Ca. 10 Minuten --- EINFÜHRUNG UND KONTEXT - ca. 1 Minute Willkommen zur technischen Briefing-Reihe von Purple. Ich bin Ihr Gastgeber, und heute kommen wir direkt zu einer der wichtigsten Entscheidungen, vor der ein IT-Team bei der Verwaltung eines standortübergreifenden Unternehmensnetzwerks in den Jahren 2025 und 2026 steht: der Umstellung Ihrer Mitarbeiter-WiFi-Authentifizierung von passwortbasierten Methoden auf die zertifikatsbasierte Authentifizierung mittels EAP-TLS. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO bei einer Hotelgruppe, einer Einzelhandelskette, einem Stadion oder einer Organisation des öffentlichen Sektors sind, ist dieses Briefing genau das Richtige für Sie. Wir erklären, was EAP-TLS unter der Haube eigentlich ist, wie Sie es ohne Betriebsunterbrechungen implementieren, wie es in Ihre Compliance-Strategie passt und welche konkreten Ergebnisse Sie erwarten können. Keine akademische Theorie - nur die praktischen Ratschläge, die Sie benötigen, um in diesem Quartal eine Entscheidung zu treffen. Legen wir los. --- TECHNISCHER DEEP-DIVE - ca. 5 Minuten Was also ist EAP-TLS? EAP steht für Extensible Authentication Protocol und TLS steht für Transport Layer Security - dasselbe kryptografische Protokoll, das den HTTPS-Verkehr im gesamten Web sichert. EAP-TLS ist unter IEEE 802.1X definiert, dem portbasierten Standard für die Netzwerkzugriffskontrolle, und gilt weithin als die sicherste derzeit verfügbare Methode zur drahtlosen Authentifizierung. Der grundlegende Unterschied zwischen EAP-TLS und allen anderen Systemen, die Sie vielleicht verwenden - wie PEAP-MSCHAPv2, EAP-TTLS oder Pre-Shared Keys - besteht darin, dass eine gegenseitige zertifikatsbasierte Authentifizierung durchgeführt wird. Sowohl das Client-Gerät als auch der RADIUS-Server weisen beim TLS-Handshake digitale X.509-Zertifikate vor. Keine der beiden Seiten kann sich als die andere ausgeben. Bei diesem Austausch wird überhaupt kein Passwort verwendet. Lassen Sie mich kurz beschreiben, was tatsächlich passiert, wenn sich ein verwalteter Laptop über EAP-TLS mit Ihrer Unternehmens-SSID verbindet. Schritt eins: Das Gerät verbindet sich mit dem Access Point, und der 802.1X-Austausch beginnt. Der Access Point - der als Authentifikator fungiert - leitet EAP-Frames zwischen dem Gerät und Ihrem RADIUS-Server weiter. Der RADIUS-Server sendet sein Serverzertifikat an den Client. Der Client validiert dieses Zertifikat mit der vertrauenswürdigen Zertifizierungsstelle (CA), die ihm bereits bekannt ist - in der Regel Ihre interne PKI oder eine in der Cloud gehostete CA. Schritt zwei: Der Client sendet sein eigenes Zertifikat - das Gerätezertifikat, das über Ihr MDM oder Ihre Gruppenrichtlinie bereitgestellt wurde - an den RADIUS-Server. Der RADIUS-Server validiert dieses Zertifikat mit derselben CA. Wenn beide Zertifikate gültig, nicht abgelaufen und nicht widerrufen sind, wird der TLS-Tunnel aufgebaut, und der RADIUS-Server sendet eine Access-Accept-Nachricht über den Access Point zurück. Das Gerät befindet sich im Netzwerk. Der gesamte Austausch dauert weniger als eine Sekunde. Nun zu den kritischen Infrastrukturkomponenten, die vorhanden sein müssen. Erstens: Eine Public Key Infrastructure - Ihre PKI. Dies ist die Zertifizierungsstelle, die Zertifikate ausstellt und verwaltet. Bei den meisten Unternehmensumgebungen handelt es sich dabei entweder um Microsoft Active Directory Certificate Services, eine lokale CA oder eine in der Cloud gehostete PKI wie EJBCA, Smallstep oder einen Managed Service. Zweitens: Ein RADIUS-Server - FreeRADIUS, Cisco ISE, Aruba ClearPass oder ein Cloud-RADIUS-Service. Drittens: Eine MDM- oder Endpunkt-Management-Plattform - Intune, Jamf, Workspace ONE - um Gerätezertifikate an Ihre verwaltete Geräteflotte zu verteilen. Und viertens: Ihre Wireless-Infrastruktur - Access Points, die für WPA2-Enterprise oder WPA3-Enterprise mit 802.1X konfiguriert sind. Die entscheidende architektonische Entscheidung ist der Standort Ihres RADIUS-Servers. Ein lokaler RADIUS-Server bietet Ihnen die volle Kontrolle, erhöht jedoch den Aufwand für die Infrastruktur. Ein Cloud-RADIUS - immer häufiger die bevorzugte Option für Unternehmen mit mehreren Standorten - macht die Verwaltung von RADIUS-Servern an jedem einzelnen Standort überflüssig und lässt sich direkt in Ihren Cloud-Identity-Provider integrieren. Wenn Sie tiefer in dieses spezifische Bereitstellungsmodell einsteigen möchten, bietet Purple einen detaillierten Leitfaden zur Implementierung von 802.1X mit Cloud-RADIUS, der die Konfigurationsschritte von Anfang bis Ende abdeckt. Lassen Sie uns nun über die PKI-Seite sprechen, denn hier entscheidet sich bei den meisten Implementierungen Erfolg oder Misserfolg. Ihre CA ist die Vertrauensbasis für das gesamte System. Jedes von dieser CA ausgestellte Gerätezertifikat wird von Ihrem RADIUS-Server als vertrauenswürdig eingestuft. Jedes von dieser CA ausgestellte RADIUS-Serverzertifikat wird von Ihren Geräten als vertrauenswürdig eingestuft. Wird ein Gerät außer Dienst gestellt, widerrufen Sie sein Zertifikat - via CRL oder OCSP - und es verliert sofort den Netzwerkzugriff. Kein Zurücksetzen des Passworts erforderlich. Kein Ticket beim Helpdesk. Das Gerät wird einfach ausgeschlossen. Das Zertifikatslebenszyklus-Management ist die operative Disziplin, die über den Erfolg einer EAP-TLS-Bereitstellung entscheidet. Zertifikate haben ein Ablaufdatum - in der Regel ein bis zwei Jahre für Gerätezertifikate. Wenn Ihr MDM diese nicht automatisch vor dem Ablauf erneuert, erhalten Sie Anrufe von Benutzern, die plötzlich keine Verbindung mehr herstellen können. Die automatische Registrierung über SCEP- oder EST-Protokolle, integriert in Ihr MDM, ist für jede Flotte mit mehr als etwa fünfzig Geräten unverzichtbar. Auf der Seite der Wireless-Infrastruktur funktioniert EAP-TLS mit jedem Access-Point-Anbieter, der WPA2-Enterprise oder WPA3-Enterprise unterstützt - Cisco, Aruba, Ruckus, Meraki, Ubiquiti und andere. Die Konfiguration der Access Points ist relativ einfach: Verweisen Sie den AP auf Ihren RADIUS-Server, konfigurieren Sie das Shared Secret und aktivieren Sie 802.1X auf der SSID. Die Komplexität liegt fast ausschließlich in den PKI- und MDM-Schichten, nicht in der Funkschicht. --- EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND NEBENWIRKUNGEN - ca. 2 Minuten Lassen Sie mich Ihnen die praktische Bereitstellungsreihenfolge vorstellen, die sich in der Praxis bewährt hat. Beginnen Sie mit Ihrer PKI. Wenn Sie keine haben, richten Sie eine zweistufige Hierarchie ein - eine Offline-Root-CA und eine Online-ausstellende CA. Halten Sie die Root-CA offline. Stellen Sie Ihr RADIUS-Serverzertifikat von der ausstellenden CA aus. Stellen Sie Gerätezertifikate über die automatische Registrierung über Ihr MDM aus. Bevor Sie in die Produktion gehen, führen Sie ein Pilotprojekt mit einer kleinen Gruppe - zwanzig bis dreißig Geräte - auf einer Test-SSID durch. Validieren Sie die gesamte Zertifikatskette, testen Sie den Zertifikatswiderruf und bestätigen Sie, dass Ihr MDM-Verlängerungsprozess von Anfang bis Ende funktioniert. Erst dann führen Sie den Rollout für die gesamte Flotte durch. Die drei Fallstricke, die ich bei Enterprise-Bereitstellungen am häufigsten sehe. Erstens: Fehlkonfiguration des Zertifikats-Vertrauensankers. Wenn Ihre Geräte dem Zertifikat Ihres RADIUS-Servers nicht explizit vertrauen - weil die CA-Kette nicht an den Vertrauensspeicher des Geräts übertragen wurde - schlägt der TLS-Handshake geräuschlos fehl. Der Benutzer sieht "Verbindung nicht möglich" ohne nützliche Fehlermeldung. Validieren Sie die Vertrauenskette vor dem Live-Gang immer aus beiden Richtungen. Zweitens: BYOD-Bereichsüberschreitung. EAP-TLS ist für verwaltete, im Besitz des Unternehmens befindliche Geräte konzipiert. Wenn Sie versuchen, dies auf persönliche Geräte auszuweiten, stoßen Sie sofort auf das Problem, wie Sie Zertifikate auf Geräten bereitstellen, die Sie nicht kontrollieren. Die Antwort lautet: Tun Sie es nicht. Verwenden Sie eine separate SSID mit einer anderen Authentifizierungsmethode - vielleicht PEAP oder ein Captive Portal - für persönliche Geräte. Halten Sie Ihre EAP-TLS-SSID ausschließlich für die verwaltete Flotte bereit. Drittens: Zertifikatsablauf im großen Stil. Wenn bei einer Bereitstellung von fünfhundert oder tausend Geräten die automatische Zertifikatsverlängerung nicht ordnungsgemäß funktioniert, stehen Sie vor einer Welle von Authentifizierungsfehlern, wenn Zertifikate gleichzeitig ablaufen. Testen Sie Ihren Verlängerungs-Workflow unter Last, bevor Sie die Produktionsgröße erreichen. Für Organisationen mit mehreren Standorten - Hotelgruppen, Einzelhandelsketten, Stadionbetreiber - wird das Cloud-RADIUS-Modell dringend empfohlen. Es eliminiert die RADIUS-Infrastruktur pro Standort, zentralisiert das Richtlinienmanagement und integriert sich in Ihren vorhandenen Cloud-Identitäts-Stack. Kombinieren Sie es mit einer Cloud-gehosteten PKI, und Ihre gesamte Authentifizierungsinfrastruktur wird über eine einzige Konsole betrieblich verwaltbar. --- SCHNELLE FRAGEN UND ANTWORTEN - ca. 1 Minute Einige Fragen, die ich regelmäßig von IT-Teams höre. "Kann EAP-TLS mit WPA3 funktionieren?" Ja. WPA3-Enterprise mit 192-Bit-Sicherheitsmodus schreibt tatsächlich eine zertifikatsbasierte Authentifizierung vor, was EAP-TLS zur natürlichen Lösung macht. "Müssen wir unsere Access Points austauschen?" Fast sicher nicht. Jeder AP, der in den letzten fünf Jahren erworben wurde, unterstützt WPA2-Enterprise mit 802.1X. Überprüfen Sie Ihre Firmware-Version, und Sie können wahrscheinlich direkt starten. "Was ist mit IoT-Geräten, die keine Zertifikate unterstützen?" Diese Geräte sollten sich in einem separaten VLAN mit angemessener Netzwerksegmentierung befinden. EAP-TLS ist für Ihre verwaltete Geräteflotte gedacht. IoT ist ein separates Problem. "Wie wirkt sich das auf unsere PCI-DSS-Compliance-Position aus?" Positiv. Die PCI-DSS-Anforderung 8 verlangt eine starke Authentifizierung für den Zugriff auf Karteninhaber-Datenumgebungen. Die zertifikatsbasierte Authentifizierung erfüllt diese Anforderung wesentlich robuster als Passwörter. Ihr QSA wird es Ihnen danken. "Wie sieht der typische Zeitrahmen für die Bereitstellung aus?" Für eine Neuinstallation mit einer neuen Cloud-PKI und MDM-Integration sollten Sie acht bis zwölf Wochen einplanen. Wenn Sie bereits Active Directory Certificate Services und Intune im Einsatz haben, können Sie in drei bis vier Wochen produktiv gehen. - ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - ca. 1 Minute Lassen Sie mich das zusammenfassen. EAP-TLS ist der Goldstandard für die Authentifizierung im Firmen-WiFi. Es eliminiert das Risiko passwortbasierter Anmeldedaten vollständig, bietet eine gegenseitige Authentifizierung zwischen Gerät und Netzwerk und sorgt für eine kryptografisch erzwungene Geräteidentität. Der operative Aufwand ist real - Sie benötigen eine PKI, ein MDM und eine RADIUS-Infrastruktur - aber für jedes Unternehmen, das mehr als fünfzig Firmengeräte an mehreren Standorten verwaltet, überwiegen die Sicherheits- und Compliance-Vorteile die Investition bei Weitem. Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Authentifizierungsmethode und stellen Sie fest, ob Sie PEAP oder einen Pre-Shared Key verwenden. Bewerten Sie Ihre MDM-Abdeckung - wenn Sie keine vollständige MDM-Registrierung Ihrer Geräteflotte haben, ist dies die erste Voraussetzung, die Sie angehen müssen. Evaluieren Sie dann Ihre PKI-Optionen - Cloud-gehostete PKI-Dienste haben die Einstiegshürde drastisch gesenkt. Und wenn Sie sehen möchten, wie sich die Plattform von Purple in Ihre 802.1X-Infrastruktur integrieren lässt, um sowohl Ihr Mitarbeiter-WiFi als auch Ihr Gäste-WiFi über eine einzige Plattform zu verwalten, wenden Sie sich an unser Solutions-Team. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

In der modernen Unternehmensnetzwerkumgebung ist die passwortbasierte drahtlose Authentifizierung einer der anfälligsten Wege für Vorfälle wie Anmeldedaten-Diebstahl, Man-in-the-Middle-Angriffe und unbefugten Netzwerkzugriff. Veraltete Protokolle wie PEAP-MSCHAPv2 sind zwar aufgrund ihrer niedrigen Einstiegshürde historisch beliebt, stützen sich jedoch auf Benutzer-Anmeldedaten, die leicht über gefälschte Access Points abgefangen oder durch Social Engineering kompromittiert werden können. Für IT-Manager, Netzwerkarchitekten und CTOs, die hochfrequentierte Standorte mit vielen Filialen verwalten - wie Hotels, Einzelhandelsketten, Stadien und Büros des öffentlichen Sektors - ist die Absicherung des "Mitarbeiter-WiFi" eine geschäftskritische Priorität, die sich direkt auf die Geschäftskontinuität, das Markenvertrauen und die Einhaltung gesetzlicher Vorschriften auswirkt.

Dieser Leitfaden liefert den technischen Entwurf für die Migration von firmeneigenen Geräten auf EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), das kryptografische Standardprotokoll der Branche für zertifikatsbasierte gegenseitige Authentifizierung nach dem IEEE 802.1X Standard. Durch den Ersatz fehleranfälliger Benutzerpasswörter durch kryptografisch gebundene digitale X.509-Zertifikate eliminiert EAP-TLS die auf Anmeldedaten basierende Angriffsfläche vollständig. Die Implementierung von EAP-TLS stellt sicher, dass sich nur verifizierte, vom Unternehmen verwaltete Geräte mit internen Netzwerken verbinden können. Dies vereinfacht die Einhaltung strenger Standards wie PCI-DSS und GDPR und reduziert gleichzeitig Helpdesk-Tickets im Zusammenhang mit dem Ablauf und Zurücksetzen von Passwörtern drastisch.

Obwohl die Sicherheitsvorteile von EAP-TLS unbestreitbar sind, erfordert eine erfolgreiche Bereitstellung einen strukturierten Ansatz für die Public Key Infrastructure (PKI), die Integration des Mobile Device Management (MDM) und die Automatisierung des Zertifikatslebenszyklus. Dieses Dokument bietet die praktischen technischen Anleitungen und Architekturmuster, die für die Bereitstellung, Skalierung und Wartung einer robusten EAP-TLS-Infrastruktur in komplexen Unternehmensumgebungen mit mehreren Standorten erforderlich sind.

Technische Detailanalyse

Kryptografische Grundlagen und gegenseitige Authentifizierung

Im Kern wendet EAP-TLS den Transport Layer Security (TLS)-Handshake auf die Netzwerkzugriffskontrolle im Rahmen des Extensible Authentication Protocol (EAP)-Frameworks an, wie in RFC 5216 [1] definiert. Im Gegensatz zu passwortbasierten EAP-Methoden (wie PEAP oder EAP-TTLS), die einen Tunnel aufbauen, um einen veralteten Austausch von Anmeldedaten zu schützen, nutzt EAP-TLS TLS zur Durchführung einer gegenseitigen kryptografischen Authentifizierung.

Während des EAP-TLS-Handshakes müssen sowohl der Client (in der 802.1X-Terminologie als Supplicant bezeichnet) als auch der RADIUS-Server (der Authentifizierungsserver) gültige digitale X.509-Zertifikate vorlegen. Der Authentifizierungsablauf gestaltet sich wie folgt:

  1. Server-Authentifizierung: Der RADIUS-Server präsentiert sein Server-Zertifikat dem Client. Der Client validiert dieses Zertifikat mit seinem lokalen Trust Store und bestätigt, dass es von einer vertrauenswürdigen Root-Zertifizierungsstelle (CA) signiert ist, nicht abgelaufen ist und mit der erwarteten Server-Identität (Common Name/Subject Alternative Name) übereinstimmt.
  2. Client-Authentifizierung: Sobald die Identität des Servers überprüft wurde, präsentiert der Client sein eindeutiges Geräte-Zertifikat dem RADIUS-Server. Der Server validiert dieses Zertifikat mit seinem Trust Store und bestätigt dessen Signatur, Gültigkeitsdauer und Sperrstatus.
  3. Schlüsselableitung: Nachdem beide Parteien die gegenseitige Überprüfung abgeschlossen haben, leiten sie kryptografisch einen eindeutigen Pairwise Master Key (PMK) und einen Group Temporal Key (GTK) ab. Diese Schlüssel werden verwendet, um den drahtlosen Datenverkehr über die Luft via WPA2-Enterprise oder WPA3-Enterprise zu verschlüsseln, wodurch sichergestellt wird, dass jede Sitzung eindeutige, nicht wiederverwendbare Verschlüsselungsschlüssel verwendet.

Da die Authentifizierung vollständig auf asymmetrischer Kryptografie (RSA oder Elliptische-Kurven-Kryptografie) beruht, wird kein Passwort, Hash oder gemeinsames Geheimnis über die Luft übertragen oder auf dem Authentifizierungsserver gespeichert. Dieses Design macht das Netzwerk absolut immun gegen Offline-Brute-Force-Angriffe, Wörterbuchangriffe und den Diebstahl von Anmeldedaten über gefälschte Access Points.

architecture_overview.png

Architekturkomponenten

Eine produktionsbereite EAP-TLS-Bereitstellung umfasst vier zentrale Infrastruktursäulen, die jeweils eine eigene Rolle innerhalb der Vertrauenskette einnehmen:

Säule Komponente Technische Funktion Optionen der Enterprise-Klasse
PKI Zertifizierungsstelle (CA) Stellt X.509-Digitalzertifikate aus, signiert sie und verwaltet deren Lebenszyklus für Server und Geräte. Active Directory Certificate Services (AD CS), Cloud PKI (Sectigo, EZCA, Smallstep), EJBCA
RADIUS Authentifizierungsserver Beendet den EAP-TLS-Handshake, validiert Zertifikate und trifft 802.1X-Zulassungsentscheidungen (Erlauben/Verweigern). Cisco ISE, Aruba ClearPass, FreeRADIUS, Cloud RADIUS (JoinNow, Foxpass)
MDM Endpoint-Management Stellt automatisch Vertrauensprofile für Root-CAs bereit und stößt die SCEP/EST-Zertifikatsregistrierung auf Geräten an. Microsoft Intune, Jamf Pro, Ivanti Neurons (MobileIron), VMware Workspace ONE
WLAN Netzwerkinfrastruktur Fungiert als 802.1X-Authenticator und leitet EAP-Frames zwischen dem Client und RADIUS via RADIUS-over-UDP/TCP weiter. Cisco Catalyst, Aruba AP, Ruckus Wireless, Mist Systems, Meraki AP
Identität Identity Provider (IdP) Verwaltet die Single Source of Truth für Benutzer- und Gerätekonten, die von RADIUS während der Richtlinienbewertung referenziert wird. Microsoft Entra ID, Okta, Active Directory, Google Workspace

Vergleich der EAP-Methoden

Um zu verstehen, warum EAP-TLS der zwingende Standard für firmeneigene Geräte ist, lohnt sich ein Vergleich mit anderen EAP-Methoden, die in Unternehmensumgebungen häufig anzutreffen sind:

comparison_chart.png

Wie die obige Tabelle zeigt, ist EAP-TLS die einzige Methode, die ein hohes Sicherheitsniveau erreicht und gleichzeitig passwortbasierte Risiken vollständig eliminiert. Methoden wie PEAP-MSCHAPv2 sind nach wie vor sehr anfällig für Angriffe zum Diebstahl von Anmeldedaten mit einfachen Toolchains wie Hostapd-WPE. Dies macht sie ungeeignet für den Schutz sensibler Unternehmensressourcen in der modernen Bedrohungslandschaft.

Implementierungshandbuch

Die Bereitstellung von EAP-TLS in einem verteilten Unternehmensnetzwerk erfordert eine systematische Umsetzung auf den Ebenen der PKI, des MDM, der RADIUS- und der Wireless-Infrastruktur. Die folgenden Schritte beschreiben ein herstellerunabhängiges, praxiserprobtes Framework für die Bereitstellung.

Schritt 1: Aufbau der Public Key Infrastructure (PKI)

Die PKI ist das kryptografische Fundament von EAP-TLS. Für die Sicherheit im Unternehmen wird eine zweistufige CA-Architektur dringend empfohlen:

  1. Offline Root CA: Eine hochgradig gesicherte, offline betriebene Zertifizierungsstelle, die ausschließlich zum Signieren der Zertifikate der ausstellenden CAs (Issuing CAs) verwendet wird. Der private Schlüssel der Root CA muss durch ein Hardware-Sicherheitsmodul (HSM) oder strenge physische Zutrittskontrollen geschützt werden.
  2. Online Issuing CA: Eine aktive, online betriebene Zertifizierungsstelle, die in Ihr Netzwerk und Ihre MDM-Plattform integriert ist und zur Ausstellung von Zertifikaten für RADIUS-Server und Client-Geräte verwendet wird.

Konfiguration des RADIUS-Serverzertifikats:

  • Stellen Sie Ihrem RADIUS-Server ein Serverzertifikat von der ausstellenden CA aus.
  • Stellen Sie sicher, dass das Zertifikat die Extended Key Usage (EKU) OID für Server-Authentifizierung (1.3.6.1.5.5.7.3.1) enthält.
  • Konfigurieren Sie den Subject Alternative Name (SAN) so, dass er mit dem vollqualifizierten Domänennamen (FQDN) des RADIUS-Servers übereinstimmt.

Schritt 2: Automatisierung der Client-Zertifikatsregistrierung über MDM

Eine manuelle Zertifikatsinstallation ist nicht skalierbar und birgt erhebliche Sicherheitsrisiken. Bereitstellungen in Unternehmen müssen eine MDM-Plattform nutzen, um die Zertifikatsbereitstellung über das Simple Certificate Enrolment Protocol (SCEP) oder Enrolment over Secure Transport (EST) zu automatisieren.

+-------------+         1. SCEP Profile Push         +------------+
|             | -----------------------------------> |            |
|     MDM     |                                      |   Client   |
|  (Intune/   | <----------------------------------- |   Device   |
|    Jamf)    |    3. SCEP Challenge Validation      |            |
+-------------+                                      +------------+
       ^                                                   |
       | 2. Challenge Get                                  | 4. SCEP Request
       v                                                   v
+-------------+                                      +------------+
|  SCEP/EST   | <----------------------------------- |  Issuing   |
|   Gateway   |       5. Certificate Issuance        |     CA     |
+-------------+                                      +------------+

MDM-Profil-Bereitstellungsreihenfolge:

  1. Root-CA-Profil: Stellen Sie ein vertrauenswürdiges Zertifikatsprofil bereit, das die öffentlichen Zertifikate der Root CA und der Issuing CA enthält, und übertragen Sie es in den Speicher für vertrauenswürdige Stammzertifizierungsstellen des Geräts. Dies stellt sicher, dass das Gerät dem RADIUS-Serverzertifikat vertraut.
  2. SCEP/EST-Profil: Konfigurieren Sie ein SCEP-Zertifikatsprofil, das auf das SCEP-Gateway Ihrer Issuing CA verweist. Konfigurieren Sie das Profil mit:
    • Format des Antragstellernamens: CN={{DevicePhysicalIds:AADDeviceId}} oder CN={{UserPrincipalName}}, um das Zertifikat an eine eindeutige Geräte- oder Benutzeridentität zu binden.
    • Erweiterte Schlüsselverwendung (EKU): Muss Client-Authentifizierung (1.3.6.1.5.5.7.3.2) enthalten.
    • Schlüsselverwendung: Digitale Signatur, Schlüsselverschlüsselung (Key Encipherment).
    • Schlüssellänge: Mindestens RSA 2048-Bit oder ECC SECP256R1.
  3. WiFi-Profil: Stellen Sie ein WLAN-Netzwerkprofil bereit, das für WPA3-Enterprise (mit WPA2-Enterprise-Fallback) konfiguriert ist und Folgendes enthält:
    • EAP-Typ: EAP-TLS.
    • Vertrauenswürdiges Serverzertifikat: Geben Sie explizit den FQDN Ihres RADIUS-Servers an und wählen Sie das in Schritt 1 bereitgestellte Root-CA-Profil als Vertrauensanker aus. Dies verhindert, dass sich Geräte mit einem böswilligen RADIUS-Server verbinden.
    • Authentifizierungsmethode: Verwenden Sie das über das SCEP-Profil registrierte Zertifikat.

Schritt 3: Konfigurieren Sie die RADIUS-Policy-Engine

Ihr RADIUS-Server (z. B. Cisco ISE, Aruba ClearPass oder Cloud RADIUS) muss so konfiguriert sein, dass er eingehende 802.1X-Authentifizierungsanfragen von den Access Points verarbeitet.

  1. Konfiguration des Vertrauensspeichers: Importieren Sie die öffentlichen Zertifikate der Root CA und der Issuing CA in den vertrauenswürdigen Zertifikatsspeicher des RADIUS-Servers. Aktivieren Sie die Zertifikatsvalidierung für die Client-Authentifizierung.
  2. Zuordnung der Identitätsquelle: Konfigurieren Sie die RADIUS-Richtlinie so, dass die aus dem Subject oder SAN des Client-Zertifikats extrahierte Identität (z. B. der UPN oder die Azure AD-Geräte-ID) Ihrem Identitätsanbieter (wie Microsoft Entra ID oder Okta) zugeordnet wird. Dies ermöglicht es dem RADIUS-Server zu überprüfen, ob das Benutzer- oder Gerätekonto im Verzeichnis noch aktiv ist, bevor der Netzwerkzugriff gewährt wird.
  3. Autorisierungsregeln: Erstellen Sie granulare Autorisierungsrichtlinien basierend auf Zertifikatsattributen und Verzeichnisgruppenmitgliedschaften. Zum Beispiel:
    • Regel 1: Wenn Certificate:Issuer gleich Corporate Issuing CA ist und EntraID:DeviceStatus gleich Compliant ist, weisen Sie VLAN 10 (Unternehmensdatennetzwerk) zu und wenden Sie eine rollenbasierte ACL mit hoher Priorität an.
    • Regel 2: Wenn Certificate:Issuer gleich Corporate Issuing CA ist und EntraID:UserGroup gleich Finance ist, weisen Sie VLAN 20 (segmentiertes Finanznetzwerk) zu.

Schritt 4: Konfigurieren Sie die Wireless LAN (WLAN) Infrastruktur

Konfigurieren Sie Ihre Wireless-Controller oder Cloud-gesteuerten Access Points (z. B. Cisco Catalyst, Aruba oder Meraki) so, dass sie die 802.1X Authentifizierung auf der Unternehmens-SSID erzwingen.

  1. RADIUS-Server definieren: Fügen Sie die IP-Adressen Ihres RADIUS-Servers hinzu und konfigurieren Sie ein starkes, eindeutiges Shared Secret für jeden AP oder Wireless-Controller.
  2. WPA3-Enterprise aktivieren: Konfigurieren Sie die Unternehmens-SSID für die Verwendung von WPA3-Enterprise. WPA3 bietet robusten Schutz vor Offline-Wörterbuchangriffen und schreibt Protected Management Frames (PMF) vor, wodurch der Kontrollverkehr über die Luft gesichert wird. Bieten Sie WPA2-Enterprise als Übergangsmodus nur dort an, wo ältere Unternehmens-Clients vorhanden sind.
  3. 802.1X/EAP-Konfiguration: Stellen Sie den Authentifizierungstyp auf 802.1X ein. Aktivieren Sie die dynamische VLAN-Zuweisung, wenn Ihr RADIUS-Server so konfiguriert ist, dass er VLAN-Attribute im Access-Accept-Paket zurückgibt.

Best Practices

Um Betriebsstabilität, hohe Verfügbarkeit und robuste Sicherheit zu gewährleisten, müssen EAP-TLS-Bereitstellungen der Enterprise-Klasse die folgenden branchenüblichen Best Practices einhalten:

1. Überprüfung des Zertifikatswiderrufs

Die Echtzeit-Validierung der Zertifikatsgültigkeit ist unverzichtbar. Wenn ein Firmen-Laptop verloren geht oder gestohlen wird, muss sein Netzwerkzugriff sofort beendet werden. Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strikte Widerrufsprüfung erzwingt, indem Sie Folgendes verwenden:

  • Online Certificate Status Protocol (OCSP): Sehr empfehlenswert für die Echtzeit-Validierung einzelner Zertifikate mit geringer Latenz.
  • Zertifikatswiderrufslisten (CRLs): Konfigurieren Sie einen lokalen Cache der CRL auf dem RADIUS-Server mit häufigen Aktualisierungen (z. B. alle 2 bis 4 Stunden), um Authentifizierungsausfälle zu verhindern, falls die CA offline geht.
  • Ausfallsicherheitsrichtlinie: Definieren Sie das Verhalten von RADIUS, wenn Widerrufsserver nicht erreichbar sind. Für hochsichere Umgebungen gilt standardmäßig "Zugriff verweigern" (Hard-Fail). Für die Geschäftskontinuität in verteilten Einzelhandels- oder Hotelimmobilien kann eine "Soft-Fail"-Richtlinie angewendet werden, die den Zugriff vorübergehend auf ein isoliertes VLAN beschränkt.

2. Strikte clientseitige Vertrauensvalidierung

Um Man-in-the-Middle (MitM)-Angriffe zu verhindern - bei denen ein Angreifer einen gefälschten Access Point einrichtet, der sich als Unternehmens-SSID ausgibt - müssen Client-Geräte streng konfiguriert werden, um die Identität des RADIUS-Servers zu validieren. Dies wird über das MDM-Drahtlosprofil erzwungen:

  • Benutzeraufforderungen deaktivieren: Stellen Sie sicher, dass die Option "Benutzer auffordern, neuen Servern oder Zertifizierungsstellen zu vertrauen" deaktiviert ist. Wenn eine Diskrepanz beim Serverzertifikat auftritt, muss das Gerät die Verbindung lautlos trennen, anstatt dem Benutzer das Übergehen der Warnung zu ermöglichen.
  • Expliziter Domänenabgleich: Beschränken Sie vertrauenswürdige Server auf bestimmte FQDNs (z. B. radius01.purple.ai oder radius02.purple.ai).

3. Netzwerkesegmentierung und rollenbasierte Zugriffskontrolle (RBAC)

Eine erfolgreiche 802.1X Authentifizierung sollte keinen uneingeschränkten seitlichen Zugriff auf das Unternehmensnetzwerk gewähren. Implementieren Sie die Netzwerkesegmentierung am Wireless Edge:- Nutzen Sie RADIUS-Attribute (beispielsweise Tunnel-Private-Group-ID für VLANs oder Filter-Id für ACLs), um Clients basierend auf ihrer Rolle (z. B. Vorstand, Entwicklung, HR, Finanzen) dynamisch isolierten Netzwerksegmenten zuzuweisen.

  • Kombinieren Sie dies mit einer modernen Network Access Control (NAC)-Lösung, um die Geräte-Compliance kontinuierlich zu überwachen. Wenn ein aktives Gerät in Ihrem MDM nicht mehr compliant ist (z. B. Firewall deaktiviert oder Malware erkannt), sollte das MDM eine Zertifikatsrückrufung auslösen oder das NAC benachrichtigen, um das Gerät dynamisch in ein Quarantäne-VLAN zu verschieben. Für eine umfassende Übersicht führender Steuerungssysteme lesen Sie unseren Leitfaden: 10 Best Network Access Control (NAC) Solutions for 2026 .

4. Hochverfügbarkeit und geografische Redundanz

Bei standortübergreifenden Betrieben bedeutet ein Ausfall von RADIUS, dass die Geräte der Mitarbeiter sofort nicht mehr funktionieren. Stellen Sie sicher, dass Ihre Architektur vollständig redundant ist:

  • Stellen Sie mindestens zwei RADIUS-Server pro Region hinter einem Load Balancer der Enterprise-Klasse bereit oder konfigurieren Sie sie als primäre und sekundäre Ziele im Wireless Controller.
  • Nutzen Sie bei globalen Bereitstellungen (z. B. internationale Hotelketten oder Einzelhandelsmarken) eine Cloud RADIUS-Architektur mit geografisch verteilten Points of Presence (PoPs), um Handshakes mit geringer Latenz und lokale Ausfallsicherheit zu gewährleisten. Dieses Modell wird in unserem technischen Leitfaden How to Implement 802.1X Authentication with Cloud RADIUS ausführlich beschrieben.

Fehlerbehebung und Risikominderung

Die Bereitstellung von EAP-TLS beseitigt passwortbezogene Probleme, führt jedoch kryptografische und infrastrukturelle Abhängigkeiten ein. Es ist unerlässlich, die typischen Fehlerszenarien zu verstehen und ein strukturiertes Protokoll zur Fehlerbehebung für Betriebsteams zu etablieren.

Typische Fehlerszenarien und Workflows zur Behebung

1. Handshake-Fehler: "Unbekannte CA" oder "Zertifikat nicht vertrauenswürdig"

  • Symptom: Das Client-Gerät versucht eine Verbindung herzustellen, bricht jedoch während des TLS-Handshakes sofort ab. Die RADIUS-Protokolle zeigen TLS Alert: Alert Certificate Unknown.
  • Ursache: Der Client vertraut der Certificate Authority (CA) nicht, die das RADIUS-Serverzertifikat signiert hat, oder der RADIUS-Server vertraut der CA nicht, die das Client-Zertifikat signiert hat.
  • Behebung: Überprüfen Sie via MDM, ob die öffentlichen Zertifikate der Root CA und der ausstellenden CA korrekt im Speicher für vertrauenswürdige Stammzertifikate des Clients installiert sind. Prüfen Sie, ob der Trust Store des RADIUS-Servers das Zertifikat der ausstellenden CA des Clients enthält und ob die Zertifikatskette des RADIUS-Serverzertifikats selbst vollständig ist.

2. SCEP-Registrierungsfehler

  • Symptom: Ein neues Unternehmensgerät kann keine Verbindung zum WiFi herstellen, da kein Client-Zertifikat vorhanden ist. Die MDM-Protokolle zeigen SCEP-Registrierungsfehler.
  • Ursache: Das SCEP-Gateway ist nicht erreichbar, das SCEP-Challenge-Passwort ist abgelaufen oder der NDES-Server (Network Device Enrollment Service) ist überlastet.
  • Fehlerbehebung: Überprüfen Sie die Netzwerkverbindung zwischen dem Client, dem MDM und dem SCEP-Gateway. Starten Sie den NDES IIS-Anwendungspool neu und stellen Sie sicher, dass der SCEP-Challenge-Validierungsdienst ordnungsgemäß funktioniert. Stellen Sie sicher, dass das MDM-Dienstkonto über die entsprechenden Berechtigungen auf der Zertifizierungsstelle verfügt.

3. Timeouts beim lautlosen Handshake

  • Symptom: Der Client versucht, sich zu authentifizieren, aber die Verbindung läuft in ein Timeout. Das RADIUS-Protokoll zeigt keinen Eintrag für den Versuch oder zeigt einen teilweise unterbrochenen Handshake.
  • Ursache: IP-Fragmentierung. Der EAP-TLS-Austausch beinhaltet große Zertifikats-Payloads, was dazu führt, dass EAP-Pakete die standardmäßige MTU von 1500 Byte überschreiten. Wenn ein zwischengeschalteter Switch oder Router die fragmentierten Pakete verwirft, läuft der Handshake in ein Timeout.
  • Fehlerbehebung: Konfigurieren Sie das Attribut Framed-MTU auf dem RADIUS-Server und den Wireless-Controllern. Wenn Sie die Framed-MTU auf 1344 oder 1300 festlegen, wird der RADIUS-Server gezwungen, EAP-Nachrichten in kleinere Pakete zu fragmentieren, die das Netzwerk problemlos und ohne Fragmentierung auf IP-Ebene durchqueren.

Strukturiertes Diagnoseprotokoll

Bei der Behebung von Authentifizierungsproblemen sollten Netzwerkingenieure diesem sequenziellen Diagnoseprotokoll folgen:

+-------------------------------------------------------------+
| Schritt 1: Physische/kabellose Verbindung am Access Point prüfen |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Schritt 2: Aktive EAP-TLS-Sitzung in den RADIUS-Echtzeitprotokollen prüfen |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Schritt 3: TLS-Handshake-Details und Zertifikats-EKU-OIDs untersuchen |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Schritt 4: CRL/OCSP-Erreichbarkeit und Latenzstatus validieren |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Schritt 5: Endpoint-Verzeichnisstatus im Identity Provider prüfen |
+-------------------------------------------------------------+

ROI und geschäftliche Auswirkungen

Der Übergang zu EAP-TLS stellt eine bedeutende technische Umstellung dar, aber die Rendite (ROI) ist schnell und in Sicherheits-, Betriebs- und Finanzdimensionen messbar.

1. Eliminierung von anmeldedatenbasierten Risiken

Passwortbasierte Netzwerke sind von Natur aus anfällig für das Teilen von Anmeldedaten, Brute-Force-Angriffe und Social Engineering. In Branchen mit hoher Personalfluktuation, wie dem Gastgewerbe und dem Einzelhandel , ist die Verwaltung der Passwortsicherheit ein operativer Albtraum. Wenn ein Mitarbeiter das Unternehmen verlässt, ist das Ändern eines gemeinsam genutzten WPA2-Passworts auf Hunderten von Geräten praktisch unmöglich, was eine dauerhafte Insider-Bedrohung darstellt. EAP-TLS bindet den Netzwerkzugriff an das physische Gerät. Wenn ein Mitarbeiter ausscheidet oder ein Gerät ausgemustert wird, wird das Zertifikat im MDM widerrufen, wodurch der Netzwerkzugriff an jedem physischen Standort sofort beendet wird, ohne andere Geräte zu beeinträchtigen.

2. Reduzierte Betriebskosten

Branchenstatistiken zufolge beziehen sich bis zu 30 % aller IT-Helpdesk-Tickets auf Passwort-Zurücksetzungen, Sperren und WLAN-Verbindungsprobleme, die durch abgelaufene Anmeldedaten verursacht werden. EAP-TLS arbeitet vollständig im Hintergrund. Nach der Bereitstellung über das MDM erfolgt die Verbindung automatisch, geräuschlos und dauerhaft. Automatisierte Workflows zur Zertifikatsverlängerung stellen sicher, dass Geräte ohne Benutzereingriff verbunden bleiben, was Tausende von Stunden verlorener Produktivität vermeidet und den Helpdesk-Aufwand drastisch reduziert. Für Großumgebungen wie das Gesundheitswesen oder Transportknotenpunkte führt diese betriebliche Effizienz direkt zu jährlichen Einsparungen bei den Supportkosten in sechsstelliger Höhe.

3. Compliance und regulatorische Konformität

Für Standorte, die mit sensiblen Daten arbeiten, ist eine strenge Netzwerkzugriffskontrolle gesetzlich vorgeschrieben. EAP-TLS erfüllt und beschleunigt direkt die Einhaltung wichtiger regulatorischer Rahmenbedingungen:

  • PCI DSS 4.0 (Anforderung 8): Schreibt eine starke kryptografische Authentifizierung und eine eindeutige Überprüfung der Anmeldedaten für alle Systemkomponenten vor, die auf die Karteninhaber-Datenumgebung zugreifen. EAP-TLS bietet eine eindeutige, kryptografisch gebundene Geräteidentität, die diese Anforderung für Unternehmensnetzwerke im Einzelhandel und im Gastgewerbe vollständig erfüllt.
  • GDPR: Verlangt von Organisationen, geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Die gegenseitige TLS-Authentifizierung bietet den höchsten Schutz vor unbefugtem Zugriff auf Unternehmenssysteme, die personenbezogene Daten enthalten.
  • ISO/IEC 27001 (Control A.8): Erfordert eine strenge Zugriffskontrolle und sichere Authentifizierung. EAP-TLS liefert einen präzisen, kryptografisch überprüfbaren Nachweis darüber, welches physische Gerät zu welcher Zeit und von welchem Access Point aus auf das Netzwerk zugegriffen hat.

Business Value Matrix

Um den Übergang vor der Geschäftsführung zu rechtfertigen, können IT-Leiter die folgende Business Value Matrix nutzen:

Business-Treiber Vor EAP-TLS (Passwörter/PEAP) Nach EAP-TLS (Zertifikate) Finanzielle & operative Auswirkungen
Sicherheit der Anmeldedaten Extrem hohes Risiko von Credential Harvesting, Weitergabe von Zugangsdaten und Brute-Force-Angriffen. Kryptografisch sicher. Null Risiko für den Diebstahl von Anmeldedaten über die Luft. Reduziertes Risiko von Datenpannen (durchschnittliche Kosten einer Datenpanne übersteigen 3,4 Mio. £).
Aufwand für das Onboarding Manuelle Eingabe von Anmeldedaten, Benutzerschulung, häufige Fehlerbehebung bei Verbindungsproblemen. Zero-Touch-Bereitstellung im Hintergrund über MDM. Sofortige Konnektivität. 90 % weniger Support-Tickets im Bereich Onboarding mit Bezug auf WiFi.
Offboarding/Widerruf Erfordert die Änderung gemeinsam genutzter Geheimnisse oder die manuelle Deaktivierung von Konten über mehrere Systeme hinweg. Sofortiger One-Click-Zertifikatswiderruf über MDM/RADIUS. Unmittelbare Eliminierung von Insider-Bedrohungsvektoren und dem Zugriff durch nicht autorisierte Geräte.
Compliance-Audits Identität des exakten Geräts schwer nachweisbar; Protokolle basieren auf fehleranfälligen Benutzeranmeldedaten. Kryptografisch verifizierbarer Audit-Trail, der physische Geräte an Sitzungen bindet. Nahtlose Compliance-Audits für PCI DSS, GDPR und SOC 2.
Arbeitsbelastung des Help-Desks Hohes Ticketvolumen für Passwort-Resets, abgelaufene Anmeldedaten und Sperrzustände. Nahezu null Tickets. Zertifikate werden geräuschlos und automatisch im Hintergrund erneuert. Umverteilung von IT-Ressourcen auf wertschöpfende, strategische Initiativen.

Indem IT-Verantwortliche die EAP-TLS-Migration unter den Gesichtspunkten Risikominimierung, betriebliche Effizienz und Compliance betrachten, können sie ein überzeugendes Business Case vorlegen, das die Netzwerksicherheit direkt an den finanziellen und strategischen Zielen des Unternehmens ausrichtet.

Referenzen

Schlüsseldefinitionen

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Ein RFC-definiertes Netzwerkauthentifizierungsprotokoll, das auf gegenseitigen Zertifikaten basierende Kryptografie nutzt, um Verbindungen unter IEEE 802.1X zu sichern.

Der absolute Goldstandard für die Sicherheit von Unternehmens-WiFi, der Passwörter komplett überflüssig macht.

Supplicant

Der Software-Client, der auf einem Endgerät (wie einem Laptop, Tablet oder Smartphone) ausgeführt wird, die 802.1X-Authentifizierungsanfrage initiiert und den EAP-Handshake aushandelt.

Der Supplicant muss über das MDM konfiguriert werden, um das richtige Client-Zertifikat vorzulegen und dem RADIUS-Server zu vertrauen.

Authenticator

Das Netzwerkgerät (typischerweise ein kabelloser Access Point oder ein kabelgebundener Switch), das den physischen Zugriff auf das Netzwerk steuert. Es leitet EAP-Pakete zwischen dem Supplicant und dem RADIUS-Server weiter, verarbeitet die Anmeldedaten jedoch nicht selbst.

Der AP fungiert als Gatekeeper und hält den Port blockiert, bis der RADIUS-Server ein Access-Accept zurückgibt.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung (AAA) für Benutzer und Geräte bietet, die sich mit einem Netzwerk verbinden.

Der RADIUS-Server beendet den EAP-TLS-Handshake, validiert Zertifikate und weist den AP an, den Zugriff zu gewähren oder zu verweigern.

PKI

Public Key Infrastructure (Infrastruktur für öffentliche Schlüssel). Ein System aus Rollen, Richtlinien, Hardware, Software und Verfahren, das zur Erstellung, Verwaltung, Verteilung, Nutzung, Speicherung und zum Widerruf digitaler Zertifikate sowie zur Verwaltung der Verschlüsselung mit öffentlichen Schlüsseln benötigt wird.

Die PKI fungiert als Root of Trust; ihre Zertifizierungsstelle (CA) signiert die Anmeldedaten, die die Identität im Netzwerk belegen.

SCEP

Simple Certificate Enrolment Protocol. Ein IP-basiertes Protokoll, das die Absicherung und Bereitstellung digitaler Zertifikate für Netzwerkgeräte automatisiert, in der Regel verwaltet über eine MDM-Plattform.

SCEP ist für die Skalierung von EAP-TLS von entscheidender Bedeutung, da es Geräten ermöglicht, Zertifikate geräuschlos und ohne Eingreifen der IT zu registrieren und zu erneuern.

OCSP

Online Certificate Status Protocol. Ein Internetprotokoll, das von Netzwerkgeräten verwendet wird, um den Widerrufsstatus eines digitalen X.509-Zertifikats in Echtzeit abzufragen, und dient als Alternative zu CRLs.

RADIUS-Server verwenden OCSP, um sofort zu überprüfen, ob ein vorgelegtes Client-Zertifikat aufgrund von Geräteverlust oder Mitarbeiterentlassung widerrufen wurde.

WPA3-Enterprise

Der neueste Sicherheitsstandard der Wi-Fi Alliance für Unternehmensnetzwerke. Er schreibt Protected Management Frames (PMF) vor und bietet einen 192-Bit-Sicherheitsmodus, der der NSA Suite B Kryptografie entspricht.

Die Kombination von WPA3-Enterprise mit EAP-TLS bietet die höchste kommerziell verfügbare WLAN-Sicherheitsstufe.

Ausgearbeitete Beispiele

Eine Luxushotelmarke mit 45 Standorten weltweit möchte ihre geschäftlichen Geräte im Backoffice-Bereich (Laptops an der Rezeption, Tablets des Housekeepings und Smartphones der Manager) in einer dedizierten SSID sichern. Derzeit verwenden sie an allen Standorten einen einzigen Pre-Shared Key (PSK), der bereits mehrfach kompromittiert wurde. Sie nutzen Microsoft Entra ID und Microsoft Intune für die Geräteverwaltung, verfügen jedoch über kein lokales Active Directory oder PKI.

Stellen Sie eine cloudnative EAP-TLS-Architektur unter Verwendung von Microsoft Intune und einer in Cloud RADIUS integrierten, in der Cloud gehosteten PKI bereit.

  1. PKI-Einrichtung: Richten Sie eine cloudgehostete PKI (wie SCEPman oder EZCA) ein, die direkt in Microsoft Entra ID integriert ist. Generieren Sie ein Aussteller-CA-Zertifikat.
  2. Intune-Konfiguration:
    • Erstellen Sie ein Vertrauenswürdiges Zertifikatsprofil in Intune und laden Sie das öffentliche Zertifikat der Cloud-Aussteller-CA hoch. Weisen Sie dieses Profil „Allen Geräten“ (Windows, iOS, Android) zu.
    • Konfigurieren Sie ein SCEP-Zertifikatsprofil in Intune, das auf die SCEP-URL der Cloud-PKI verweist. Legen Sie das Format des Antragstellernamens auf CN={{AADDeviceId}} und den alternativen Antragstellernamen auf den UPN fest. Fügen Sie die EKU-OID für „Client-Authentifizierung“ (1.3.6.1.5.5.7.3.2) hinzu.
    • Erstellen Sie ein WiFi-Profil in Intune. Legen Sie die SSID auf „Purple-Staff“, den Sicherheitstyp auf WPA3-Enterprise und den EAP-Typ auf EAP-TLS fest. Wählen Sie das vertrauenswürdige Zertifikatsprofil als Root-Anker und geben Sie die FQDNs der Cloud RADIUS-Server an. Verknüpfen Sie das SCEP-Zertifikatsprofil als Client-Anmeldeinformation.
  3. RADIUS-Integration: Konfigurieren Sie den Cloud RADIUS-Dienst (z. B. JoinNow oder Foxpass) so, dass er der Cloud-Aussteller-CA vertraut. Konfigurieren Sie die RADIUS-Richtlinie so, dass Client-Zertifikate mit Entra ID abgeglichen werden. Dabei wird geprüft, ob das Gerät in Intune als „Konform“ gekennzeichnet ist, bevor ein Access-Accept-Paket zurückgegeben wird.
  4. Einrichtung des Wireless-Controllers: Konfigurieren Sie auf dem zentralen Wireless-Controller (oder dem Cloud-Dashboard wie Meraki/Aruba Central) die SSID „Purple-Staff“ so, dass sie über 802.1X auf die Cloud RADIUS-IP-Adressen verweist. Aktivieren Sie WPA3-Enterprise mit dem WPA2-Enterprise-Übergangsmodus.
Kommentar des Prüfers: Dieser cloudnative Ansatz wird für Betreiber von standortübergreifenden Einrichtungen wie Hotelketten dringend empfohlen. Durch den Verzicht auf ein lokales Active Directory und ein veraltetes AD CS eliminiert die Hotelmarke den Aufwand für die lokale Infrastruktur und vermeidet die betriebliche Komplexität der Verwaltung von VPNs oder lokalen Servern an jedem Standort. Die Nutzung von Microsoft Intune SCEP-Profilen stellt sicher, dass Housekeeping-Tablets und Rezeptions-Laptops automatisch mit eindeutigen, nicht exportierbaren Zertifikaten bereitgestellt werden. Die Integration des RADIUS-Servers mit dem Gerätekonformitätsstatus von Entra ID sorgt für eine dynamische Sicherheitslage: Wenn das Tablet eines Managers aufgrund eines fehlenden Sicherheitsupdates als „nicht konform“ eingestuft wird, verweigert RADIUS sofort den Netzwerkzugriff und schützt die Backoffice-Umgebung vor lateralen Bedrohungsbewegungen.

Eine Organisation des öffentlichen Sektors, die 12 lokale Gemeindeverwaltungen verwaltet, möchte 1.500 geschäftliche Windows-Laptops von PEAP-MSCHAPv2 auf EAP-TLS umstellen. Sie verfügen derzeit über eine lokale Microsoft Active Directory Domain Services (AD DS)-Umgebung mit Active Directory Certificate Services (AD CS), die als Unternehmens-CA fungiert. Die Laptops sind in die Domäne eingebunden und werden über Gruppenrichtlinienobjekte (GPOs) verwaltet.

Nutzen Sie die vorhandene AD CS- und Active Directory-Infrastruktur, um EAP-TLS über die automatische Registrierung per Gruppenrichtlinie bereitzustellen.

  1. Zertifizierungsstellen-Konfiguration: Duplizieren Sie auf der AD CS-Ausstellungszertifizierungsstelle die Standard-Zertifikatsvorlage "Arbeitsstationsauthentifizierung". Nennen Sie die neue Vorlage "Corporate Wireless Authentication". Erteilen Sie auf der Registerkarte "Sicherheit" der Gruppe "Domänencomputer" die Berechtigungen "Lesen", "Registrieren" und "Automatisch registrieren". Stellen Sie sicher, dass die Vorlage die EKU "Clientauthentifizierung" enthält.
  2. Gruppenrichtlinien-Konfiguration:
    • Erstellen Sie ein neues Gruppenrichtlinienobjekt mit dem Namen "Wireless Certificate Auto-Enrollment". Navigieren Sie zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel. Öffnen Sie "Zertifikatdienstclient - Automatische Registrierung", stellen Sie es auf "Aktiviert" und aktivieren Sie "Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen".
    • Navigieren Sie im selben Gruppenrichtlinienobjekt zu Drahtlosnetzwerkrichtlinien (802.11). Erstellen Sie eine neue Drahtlosrichtlinie. Konfigurieren Sie den SSID-Namen, stellen Sie die Sicherheit auf WPA3-Enterprise ein, wählen Sie EAP-TLS und aktivieren Sie explizit das AD CS Root CA-Zertifikat in der Liste der vertrauenswürdigen Zertifikate. Geben Sie den FQDN der lokalen RADIUS-Server (z. B. Cisco ISE) an.
  3. RADIUS-Richtlinie (Cisco ISE): Importieren Sie das AD CS Root CA-Zertifikat in den Speicher für vertrauenswürdige Zertifikate von Cisco ISE. Konfigurieren Sie eine Authentifizierungsrichtlinie, um EAP-TLS zu akzeptieren. Konfigurieren Sie eine Autorisierungsrichtlinie, die prüft, ob der verbindende Computer zur Active Directory-Gruppe "Domänencomputer" gehört, und weisen Sie ihn in diesem Fall dynamisch dem sicheren Unternehmens-VLAN zu.
Kommentar des Prüfers: Dies stellt ein klassisches Bereitstellungsmuster für lokale Unternehmen dar. Durch die Nutzung von AD CS und Gruppenrichtlinien erreicht das Unternehmen eine zu 100 % automatisierte Zertifikatsregistrierung, ohne zusätzliche Software von Drittanbietern erwerben zu müssen. Der entscheidende architektonische Vorteil ist die enge Integration mit den Active Directory Domain Services: Wenn ein Laptop aus dem AD gelöscht wird (z. B. bei der Außerbetriebnahme), wird sein Computerkonto inaktiv, und Cisco ISE lehnt den EAP-TLS-Handshake automatisch ab, selbst wenn das physische Zertifikat auf dem Gerät noch nicht abgelaufen ist. Das primäre betriebliche Risiko ist die Latenz bei der GPO-Replikation über die 12 Standorte hinweg. Die Netzwerkteams müssen sicherstellen, dass die automatische Zertifikatsregistrierung über kabelgebundene Verbindungen erfolgreich abgeschlossen wird, bevor die Drahtlos-SSID in den exklusiven EAP-TLS-Modus migriert wird.

Ein Unternehmen, das ein großes Ausstellungs- und Konferenzzentrum betreibt, möchte sein Unternehmensnetzwerk absichern, das von den Scannern des Veranstaltungspersonals, Ticket-Terminals und Medienproduktionsanlagen genutzt wird. Der Veranstaltungsort ist während der Events einer hohen HF-Interferenz ausgesetzt und erfordert Roaming-Zeiten im Subsekundenbereich für Mitarbeiter, die sich auf einer Fläche von 50.000 Quadratmetern bewegen. Sie nutzen einen physischen Ruckus SmartZone-Controller und lokale FreeRADIUS-Server.

Stellen Sie EAP-TLS lokal mit FreeRADIUS bereit, optimiert für Fast Transition (802.11r) und die Vermeidung von Paketfragmentierung.

  1. PKI & Zertifikatserstellung: Verwenden Sie eine lokale CA zur Ausstellung von Zertifikaten. Da Ticket-Terminals und Scanner oft spezialisierte Betriebssysteme (Android Enterprise, benutzerdefiniertes Linux) ausführen, sollten Sie Client-Zertifikate mit ECC SECP256R1-Schlüsseln generieren, um die Zertifikatsnutzlast zu verringern und so den kryptografischen Handshake zu beschleunigen.
  2. FreeRADIUS-Optimierung:
    • Setzen Sie in eap.conf den Wert fragment_size = 1024. Dies zwingt FreeRADIUS, große Zertifikatsnutzlasten in EAP-Pakete zu fragmentieren, die kleiner als die Standard-Netzwerk-MTU sind, wodurch Paketverluste über WAN-Verbindungen oder überlastete Funkkanäle verhindert werden.
    • Stellen Sie sicher, dass unter dem TLS-Abschnitt cache = yes konfiguriert ist, um die TLS-Sitzungswiederaufnahme zu aktivieren. Dies ermöglicht Roaming-Clients eine erneute Authentifizierung über einen verkürzten Handshake (ohne erneutes Senden vollständiger Zertifikate), wodurch die Roaming-Zeiten auf unter 50 Millisekunden sinken.
  3. Optimierung des Wireless Controllers (SmartZone):
    • Konfigurieren Sie die Mitarbeiter-SSID mit WPA3-Enterprise und aktivieren Sie 802.11r (Fast BSS Transition). Konfigurieren Sie Over-the-Air (OTA) Roaming.
    • Weisen Sie die SSID den primären und sekundären FreeRADIUS-Servern zu.
    • Setzen Sie das RADIUS-Timeout am Controller auf 5 Sekunden mit 3 Wiederholungsversuchen, um gelegentlichen HF-Paketverlust abzufangen, ohne dass Client-Sitzungen getrennt werden.
Kommentar des Prüfers: Veranstaltungsorte mit hoher Nutzerdichte stellen besondere Herausforderungen an die physikalische Ebene für 802.1X. Der Hauptfehlerzustand in diesen Umgebungen ist nicht kryptografischer Natur, sondern Paketverlust aufgrund von HF-Überlastung und IP-Fragmentierung. Durch die Anpassung der `fragment_size` in FreeRADIUS auf 1024 verhindern wir lautlose Authentifizierungsfehler, die dadurch entstehen, dass zwischengeschaltete Switches fragmentierte UDP-Pakete verwerfen. Die Implementierung von 802.11r Fast Transition in Kombination mit TLS-Sitzungswiederaufnahme ist von entscheidender Bedeutung: Sie ermöglicht es einem Ticket-Scanner, nahtlos zwischen APs auf der Ausstellungsfläche zu wechseln, ohne jedes Mal einen vollständigen gegenseitigen EAP-TLS-Handshake durchzuführen. So bleibt die Datenbankverbindung durchgehend bestehen und Warteschlangen am Eingang werden vermieden.

Übungsfragen

Q1. Eine Einzelhandelskette mit 300 Filialen möchte EAP-TLS für ihre Unternehmens-Inventarscanner einführen. Während des Pilotprojekts stellen sie fest, dass Laptops sich in unter einer Sekunde authentifizieren, während einige ältere Handscanner bis zu 10 Sekunden für die Authentifizierung benötigen oder über Remote-WAN-Verbindungen, die die Filialen mit dem zentralen RADIUS-Server verbinden, komplett fehlschlagen. Was ist die wahrscheinlichste technische Ursache für dieses Problem und wie sollte es gelöst werden?

Hinweis: Berücksichtigen Sie die Größe des Zertifikats-Payloads sowie die Auswirkungen von WAN-Latenz und Paketfragmentierung auf den UDP-basierten RADIUS-Verkehr.

Musterlösung anzeigen

Das technische Problem wird durch EAP-Paketfragmentierung in Verbindung mit WAN-Paketverlust und -Latenz verursacht. Bei EAP-TLS-Handshakes werden vollständige X.509-Zertifikatsketten übertragen, die häufig die Standard-Netzwerk-MTU (1500 Byte) überschreiten. Wenn diese Payloads über UDP-basiertes RADIUS gesendet werden, müssen sie fragmentiert werden. Wenn zwischengeschaltete WAN-Router auch nur ein einzelnes Fragment verwerfen, schlägt der gesamte EAP-Handshake fehl, läuft in ein Timeout und muss neu gestartet werden, was sich bei hochlatenten Remote-Verbindungen sehr stark bemerkbar macht.

Zur Behebung dieses Problems muss das Netzwerkteam:

  1. Framed-MTU anpassen: Das Attribut Framed-MTU auf dem RADIUS-Server und dem Wireless Controller auf einen niedrigeren Wert (z. B. 1300 oder 1200) konfigurieren. Dies zwingt den RADIUS-Server, die EAP-Nachrichten auf der Anwendungsschicht in kleinere Pakete zu fragmentieren, die das WAN ohne Fragmentierung auf IP-Ebene durchqueren können.
  2. Zertifikatsgröße optimieren: Die Client-Zertifikate für die Scanner unter Verwendung von Elliptic Curve Cryptography (ECC) mit SECP256R1-Schlüsseln anstelle von RSA 2048 neu ausstellen. ECC-Zertifikate sind deutlich kleiner (ca. 300 Byte gegenüber 2048 Byte bei RSA), wodurch sich die Anzahl der für den Handshake erforderlichen Fragmente verringert.
  3. TLS-Sitzungswiederaufnahme aktivieren: FreeRADIUS/RADIUS so konfigurieren, dass TLS-Sitzungen zwischengespeichert werden. Wenn ein Scanner ein Roaming durchführt oder sich neu verbindet, kann er einen verkürzten Handshake durchführen, bei dem die vollständige Zertifikatskette nicht übertragen werden muss, was die Authentifizierungszeit auf unter 100 Millisekunden verkürzt.

Q2. Ein IT-Sicherheitsadministrator konfiguriert eine EAP-TLS SSID über ein MDM. Er verteilt das Client-Zertifikat und das WLAN-Profil auf alle Unternehmens-Laptops. Beim Testen stellt er jedoch fest, dass sich Laptops gelegentlich immer noch mit einem Rogue Access Point verbinden, der denselben SSID-Namen ausstrahlt, und eine Eingabeaufforderung erscheint, die den Benutzer auffordert, einem neuen Serverzertifikat zu vertrauen. Welcher Konfigurationsfehler wurde im MDM-Profil gemacht und welches Sicherheitsrisiko besteht?

Hinweis: Überprüfen Sie die Einstellungen zur Vertrauensprüfung in der Konfiguration des WLAN-Profils des MDM.

Musterlösung anzeigen

Der Konfigurationsfehler besteht darin, dass für das über das MDM bereitgestellte Drahtlosprofil keine strikte Server-Vertrauensprüfung (Strict Server Trust Validation) erzwungen wird. Konkret hat der Administrator es versäumt, die FQDNs des vertrauenswürdigen RADIUS-Servers explizit anzugeben, und hat die Option "Benutzer auffordern, neuen Servern zu vertrauen" nicht deaktiviert.

Das Sicherheitsrisiko ist ein Man-in-the-Middle (MitM) / Rogue AP-Angriff. Wenn ein Angreifer einen betrügerischen Access Point einrichtet, der die Unternehmens-SSID ausstrahlt und ein selbstsigniertes Zertifikat vorweist, versucht das Client-Gerät, sich zu authentifizieren. Da keine strikte Validierung erzwungen wird, fordert das Betriebssystem den Benutzer auf, dem neuen Zertifikat zu vertrauen. Wenn ein technisch nicht versierter Mitarbeiter auf "Vertrauen" oder "Trotzdem verbinden" klickt, kann der Rogue AP eine Verbindung herstellen. Während EAP-TLS verhindert, dass der Angreifer das Passwort des Benutzers stiehlt (da keines gesendet wird), kann der Angreifer nun unverschlüsselten Netzwerkverkehr abfangen, DNS-Spoofing durchführen oder lokale Exploits auf dem Endpunkt ausführen.

Q3. Ein Stadionbetreiber hat EAP-TLS für 200 mobile POS-Terminals (Point of Sale) des Personals implementiert, die während der Spiele genutzt werden. Am Spieltag, als 50.000 Fans das Stadion betraten, kam es bei den POS-Terminals zu häufigen Authentifizierungsabbrüchen und Verbindungsverlusten, was den Umsatz an den Verkaufsständen stark beeinträchtigte. Die RADIUS-Protokolle zeigten hohe Raten an "Handshake Timeout"- und "Max Retries Exceeded"-Fehlern, aber die CPU- und Speicherauslastung auf den RADIUS-Servern blieb unter 15 %. Welche Faktoren auf der physischen und logischen Ebene haben diesen Ausfall verursacht, und wie sollte die Architektur optimiert werden?

Hinweis: Berücksichtigen Sie die Auswirkungen extremer RF-Überlastung auf kryptografische Handshakes und die Rolle von Roaming-Optimierungsprotokollen.

Musterlösung anzeigen

Dieser Ausfall ist ein klassischer Fall von RF-Überlastung, die zu Timeouts beim kryptografischen Handshake führt. EAP-TLS erfordert mehrere Round-Trip-Frames (in der Regel 4 bis 6 Round Trips), um den gegenseitigen TLS-Handshake abzuschließen. In einer Stadionumgebung mit 50.000 aktiven Client-Geräten kommt es im 2,4-GHz- und 5-GHz-Band zu massiven Paketkollisionen und hohen Wiederholungsraten. Da EAP-TLS über die Luft sehr kommunikationsintensiv ist, führt ein Paketverlust bei einem der Handshake-Frames dazu, dass die EAP-State-Machine das Timeout erreicht und den gesamten Handshake neu startet, was eine Kaskade von Fehlern auslöst.

Um die Architektur zu optimieren und das Problem zu beheben, muss der Betreiber die folgenden physischen und logischen Optimierungen implementieren:

  1. Fast Roaming (802.11r) aktivieren: Konfigurieren Sie 802.11r (Fast BSS Transition) auf der POS-SSID. Dies ermöglicht es den Terminals, Roaming-Schlüssel auszuhandeln, bevor sie zu einem neuen AP wechseln, was den Datenaustausch über die Luft während des Roamings reduziert.
  2. TLS-Sitzungswiederaufnahme (Session Resumption) implementieren: Stellen Sie sicher, dass auf dem RADIUS-Server das TLS-Sitzungscaching aktiviert ist. Wenn sich ein Terminal neu verbindet oder ein Roaming durchführt, kann es einen abgekürzten Handshake durchführen (der nur 1 - 2 Round Trips erfordert und keine Zertifikatsübertragung beinhaltet), was die Airtime-Nutzung und das Risiko von RF-Paketverlusten erheblich reduziert.
  3. Gezielte RF-Optimierung: Verschieben Sie die POS-Terminals ausschließlich in das 5-GHz- oder 6-GHz-Band. Deaktivieren Sie 2,4 GHz auf der POS-SSID. Implementieren Sie eine strikte Kanalplanung, reduzieren Sie die Kanalbreite auf 20 MHz, um die verfügbaren überlappungsfreien Kanäle zu maximieren, und konfigurieren Sie minimale Basisdatenraten (z. B. Deaktivierung von Raten unter 12 Mbps oder 24 Mbps), um die Management-Frame-Belastung aus der Luft zu eliminieren.

Weiterlesen in dieser Reihe

Roaming-Optimierung für VoIP- und Videoanrufe im Corporate WiFi

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs ein umfassendes, herstellerneutrales Konzept zur Optimierung von WiFi-Roaming zur Unterstützung nahtloser VoIP- und Videoanrufe in Unternehmensnetzwerken. Er deckt den IEEE 802.11k/r/v-Protokoll-Stack, die WMM QoS-Konfiguration, das RF-Zelldesign und das End-to-End-Wired-QoS-Mapping ab, das erforderlich ist, um eine Handoff-Latenz von unter 50 ms zu erreichen. Diese Referenz ist für das Gastgewerbe, den Einzelhandel, das Gesundheitswesen und große Veranstaltungsorte anwendbar und enthält praxisnahe Implementierungsszenarien, Frameworks zur Fehlerbehebung sowie eine messbare ROI-Analyse.

Leitfaden lesen →

WPA3-Enterprise vs. WPA2-Enterprise: Upgrade für Ihr Mitarbeiter-WiFi

Dieser maßgebliche technische Leitfaden beschreibt die architektonischen Unterschiede, Sicherheitsverbesserungen und Migrationsstrategien für das Upgrade von drahtlosen Mitarbeiternetzwerken von WPA2-Enterprise auf WPA3-Enterprise. Er wurde für leitende IT-Entscheidungsträger und Netzwerkarchitekten entwickelt und bietet praxisnahe Bereitstellungspläne, Fallstudien aus der Praxis im Gastgewerbe und Einzelhandel sowie ein umfassendes Risikominderungs-Framework, um einen nahtlosen Übergang zu gewährleisten und gleichzeitig die Einhaltung von PCI DSS v4.0 und GDPR Artikel 32 zu wahren.

Leitfaden lesen →

Entwurf sicherer Mitarbeiter-WiFi-Netzwerke getrennt vom Gast-Traffic

Ein maßgeblicher technischer Leitfaden für Netzwerkarchitekten und IT-Leiter zur Entwicklung sicherer, leistungsstarker Mitarbeiter-WiFi-Netzwerke. Er beschreibt die logische und physische Segmentierung des betrieblichen Datenverkehrs von öffentlichen Gastnetzwerken mithilfe von VLANs, 802.1X-Authentifizierung und WPA3-Enterprise, um Compliance-Vorgaben (PCI DSS, GDPR) zu erfüllen und Sicherheitsrisiken durch laterale Bewegungen zu eliminieren.

Leitfaden lesen →