So konfigurieren Sie SCEP für sicheres Enterprise WiFi und BYOD-Provisionierung
Dieses technische Handbuch erklärt, wie Sie das Simple Certificate Enrolment Protocol (SCEP) konfigurieren, um die sichere 802.1X Enterprise WiFi Authentifizierung und die BYOD-Provisionierung zu automatisieren. Es bietet Netzwerkarchitekten und IT-Managern eine definitive Bereitstellungssequenz, reale Implementierungsszenarien aus der Hotellerie und dem Einzelhandel sowie Strategien zur Risikominderung, um unsichere Pre-Shared Keys und MAC-Authentifizierungs-Bypässe aus Unternehmensnetzwerken zu eliminieren.
Diesen Leitfaden anhören
Podcast-Transkript ansehen

Management-Zusammenfassung
Für Unternehmen in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor stellt die Nutzung von Pre-Shared Keys (PSK) oder MAC Authentication Bypass (MAB) für den WiFi-Zugang von Mitarbeitern und BYOD ein Sicherheitsrisiko dar. Moderne Netzwerkarchitekturen erfordern eine 802.1X-Authentifizierung mittels EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift. Die betriebliche Herausforderung besteht darin, eindeutige Client-Zertifikate an Tausende von unmanaged Geräten zu verteilen, ohne den IT-Helpdesk mit Support-Tickets zu überlasten.
Das in RFC 8894 definierte SCEP (Simple Certificate Enrolment Protocol) löst dieses Verteilungsproblem durch ein automatisiertes Zertifikats-Lifecycle-Management. Durch die Nutzung von SCEP können IT-Teams vertrauenswürdige Root-Zertifikate und Client-Zertifikate auf Endpunkte übertragen, wodurch sichergestellt wird, dass der private Schlüssel das Gerät niemals verlässt. Dieser Leitfaden bietet den maßgeblichen Architektur-Blueprint und die schrittweise Implementierungsstrategie für die SCEP-WiFi-Zertifikatsbereitstellung. Wir behandeln die für den Erfolg erforderliche kritische Bereitstellungssequenz, Praxisbeispiele aus dem Gastgewerbe und dem Einzelhandel sowie Strategien zur Risikominderung, um Ihr Guest WiFi und Ihre Unternehmensnetzwerke sicher und leistungsstark zu halten.
Technischer Deep-Dive: SCEP-Architektur
SCEP ist der Branchenstandard für die Registrierung von Enterprise-Geräten, der von VeriSign entwickelt und 1999 als IETF-Internet-Draft veröffentlicht wurde. Es automatisiert die Ausstellung von X.509-Zertifikaten innerhalb einer Public-Key-Infrastruktur-Umgebung (PKI) und macht die manuelle Verwaltung von Zertifikaten im großen Stil überflüssig.

In einem SCEP-Workflow generiert das Gerät sein eigenes privates und öffentliches Schlüsselpaar lokal. Es erstellt einen Certificate Signing Request (CSR) und sendet ihn über einen Network Device Enrolment Service (NDES)-Server an Ihre Certificate Authority (CA). Die CA validiert die Anfrage mithilfe eines Shared Secret und gibt das signierte öffentliche Zertifikat an das Gerät zurück. Der entscheidende Sicherheitsvorteil besteht darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert und im sicheren Hardware-Enklave des Geräts gespeichert - dem Trusted Platform Module (TPM) unter Windows oder dem Secure Enclave unter iOS. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X-Authentifizierung, im Gegensatz zu PKCS (Public Key Cryptography Standards), bei dem die CA das Schlüsselpaar zentral generiert und über das Netzwerk überträgt.
Die vier Schritte der SCEP-Zertifikatsregistrierung sind wie folgt. Erstens verbindet sich das Gerät mit der vom NDES-Server gehosteten SCEP-Endpunkt-URL. Zweitens präsentiert das Gerät das SCEP Shared Secret (ein statisches Passwort oder ein von der MDM-Plattform generiertes dynamisches Challenge-Passwort), um die Registrierungsanfrage zu validieren. Drittens generiert das Gerät einen CSR, der seinen öffentlichen Schlüssel und Identifikationsinformationen enthält. Viertens validiert die CA den CSR und stellt ein signiertes X.509-Zertifikat aus, das an das Gerät zurückgegeben wird.
SCEP vs PKCS: Den richtigen Mechanismus wählen
Bei der Entwicklung Ihrer Strategie zur Zertifikatsbereitstellung wirkt sich die Wahl zwischen SCEP und PKCS direkt auf die Sicherheit aus. Die folgende Tabelle fasst die wesentlichen Unterschiede zusammen.
| Attribut | SCEP | PKCS |
|---|---|---|
| Generierung des privaten Schlüssels | Auf dem Gerät (Secure Enclave) | Auf dem CA-Server |
| Übertragung des privaten Schlüssels | Wird niemals übertragen | Wird über das Netzwerk übertragen |
| Infrastrukturanforderungen | Erfordert einen NDES-Server | Kein NDES erforderlich |
| Bestens geeignet für | WiFi und VPN-Authentifizierung | S/MIME-E-Mail-Verschlüsselung |
| Sicherheitsniveau für 802.1X | Empfohlen | Nicht empfohlen |
Für Enterprise WiFi mit SCEP sollten Sie immer SCEP wählen. Dass der private Schlüssel auf dem Gerät verbleibt, ist die grundlegende Sicherheitseigenschaft, die eine zertifikatsbasierte 802.1X-Authentifizierung jeder anmeldedatenbasierten Authentifizierungsmethode überlegen macht.
Der BYOD Self-Service Onboarding-Flow
Die Grundlage für ein sicheres BYOD-Onboarding ist der Übergang von einer Legacy-Authentifizierung zu EAP-TLS, ohne dass eine vollständige Registrierung im Mobile Device Management (MDM) erforderlich ist. Die Mitarbeiter dazu zu zwingen, persönliche Smartphones im MDM des Unternehmens zu registrieren, wirft berechtigte Datenschutzbedenken auf und stößt auf starken Widerstand. Ein Self-Service Onboarding-Portal löst dieses Problem.
Benutzer verbinden ihr persönliches Gerät mit einer dedizierten Bereitstellungs-SSID, die als Walled Garden fungiert und den Zugriff auf das Onboarding-Portal und den Identity Provider beschränkt. Benutzer authentifizieren sich über SAML- oder OAuth-Integration mit Microsoft Entra ID, Okta oder Google Workspace. Nach erfolgreicher Authentifizierung generiert das System über SCEP ein eindeutiges, gerätespezifisches Client-Zertifikat. Ein Konfigurationsprofil (eine .mobileconfig-Datei für Apple oder ein Android Passpoint-Profil) wird auf das Gerät übertragen. Das Gerät verbindet sich anschließend automatisch über EAP-TLS mit der sicheren Unternehmens-SSID. Der Benutzer muss keinerlei Kenntnisse über Zertifikate oder 802.1X besitzen.
Implementierungsleitfaden: Die Bereitstellungsreihenfolge
Die erfolgreiche Konfiguration von SCEP für 802.1X erfordert die strikte Einhaltung einer bestimmten Bereitstellungsreihenfolge. Vertrauen muss aufgebaut werden, bevor die Authentifizierung konfiguriert werden kann. Das Abweichen von dieser Reihenfolge ist die häufigste Ursache für fehlerhafte Bereitstellungen.
Schritt 1: Bereitstellung des Trusted Root-Zertifikats. Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es zunächst der ausstellenden Zertifizierungsstelle (CA) vertrauen. Exportieren Sie Ihr Root-CA-Zertifikat (und alle zwischengeschalteten CA-Zertifikate) als .cer-Datei. Stellen Sie dieses Profil über Ihre MDM-Plattform für Ihre Zielgerätegruppen bereit. Dieser Schritt ist nicht verhandelbar.
Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils. Dies weist Geräte an, wie sie ihr Client-Zertifikat erhalten. Konfigurieren Sie das Format des Subject Name - für die benutzergesteuerte Authentifizierung ist der Standard CN={{UserPrincipalName}}; für die Geräteauthentifizierung verwenden Sie CN={{AAD_Device_ID}}. Legen Sie die Schlüsselverwendung auf Digitale Signatur und Schlüsselverschlüsselung fest. Geben Sie unter der erweiterten Schlüsselverwendung Client-Authentifizierung (OID: 1.3.6.1.5.5.7.3.2) an. Verknüpfen Sie dieses Profil mit dem Trusted Root-Zertifikatsprofil aus Schritt 1. Geben Sie die externe URL Ihres NDES-Servers an.
Schritt 3: Bereitstellung des 802.1X WiFi-Profils. Übertragen Sie die WiFi-Konfiguration, die das Zertifikat an die Netzwerk-SSID bindet. Geben Sie den Netzwerknamen genau so ein, wie er von Ihren Access Points (APs) gesendet wird. Stellen Sie den Sicherheitstyp auf WPA2-Enterprise oder WPA3-Enterprise ein. Stellen Sie den EAP-Typ auf EAP-TLS ein. Wählen Sie das SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus. Geben Sie das Trusted Root-Zertifikat für die Servervalidierung an, um sicherzustellen, dass sich Geräte nur mit Ihrem legitimen RADIUS-Server verbinden.
Diese Reihenfolge gilt für alle unterstützten Hardwareplattformen: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet. Das hardwareunabhängige Cloud-Overlay von Purple lässt sich in all diese Plattformen integrieren, sodass Ihre Zertifikatsinfrastruktur nicht an einen einzigen Hardware-Anbieter gebunden ist.
Best Practices
NDES über Azure AD Application Proxy veröffentlichen. Der NDES-Server muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Bereitstellung eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Die Veröffentlichung über den Azure AD Application Proxy bietet sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsablauf anzuwenden.
Kurzlebige Zertifikate für BYOD ausstellen. Da BYOD-Geräte nicht verwaltet werden, ist das Risiko, dass ein kompromittiertes Gerät im Netzwerk verbleibt, höher. Stellen Sie Zertifikate aus, die nur für 90 Tage statt für mehrere Jahre gültig sind. Wenn ein Zertifikat abläuft, muss sich der Benutzer erneut über das Onboarding-Portal authentifizieren. Dies entfernt inaktive Geräte ganz natürlich und ohne manuelles Eingreifen der IT aus dem Netzwerk.
Strikte CRL-Prüfung auf dem RADIUS-Server erzwingen. Die Zertifikatsbereitstellung ist nur die halbe Miete beim Thema Sicherheit. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht die Deaktivierung seines Active Directory-Kontos möglicherweise nicht sofort seinen WiFi-Zugang, solange sein Client-Zertifikat gültig bleibt. Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strikte Prüfung der Zertifikatssperrliste (CRL) erzwingt. Stellen Sie sicher, dass Ihr CRL-Verteilungspunkt (CDP) hochverfügbar ist. Wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung für alle Benutzer fehl, was zu einem großflächigen Ausfall führt.
BYOD in ein dediziertes VLAN segmentieren. BYOD-Geräte sind nicht verwaltet. Sie haben keine Kontrolle über deren Betriebssystem-Updates, den Antiviren-Status oder installierte Anwendungen. Platzieren Sie BYOD-Geräte in einem dedizierten VLAN, das nur Internetzugang bietet und auf die spezifischen internen Anwendungen beschränkt ist, die für die Rolle des Mitarbeiters erforderlich sind. Platzieren Sie BYOD-Geräte niemals im selben VLAN wie Unternehmensserver oder verwaltete Geräte.

Fehlerbehebung und Risikominderung
WiFi-Profil kann nicht angewendet werden. Das Gerät hat das vertrauenswürdige Stammzertifikat und das SCEP-Zertifikat erhalten, aber das WiFi-Profil wird in der MDM-Konsole als "Fehler" angezeigt. Dies wird fast immer durch eine Diskrepanz bei der Gruppenzuweisung verursacht. Wenn das SCEP-Profil einer "Benutzergruppe" zugewiesen ist, während das WiFi-Profil einer "Gerätegruppe" zugewiesen ist, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen und stellen Sie sicher, dass das vertrauenswürdige Stammzertifikat, das SCEP- und das WiFi-Profil alle genau auf dieselbe Azure AD-Gruppe ausgerichtet sind.
NDES 403 Forbidden-Fehler. Geräte können keine SCEP-Zertifikate abrufen, und die NDES-IIS-Protokolle zeigen HTTP 403-Fehler. Dies liegt höchstwahrscheinlich daran, dass dem Connector-Dienstkonto die erforderlichen Berechtigungen für die Zertifikatvorlage fehlen oder Ihre Firewall die von SCEP verwendeten spezifischen Abfragezeichenfolgen-Parameter blockiert. Vergewissern Sie sich, dass das Connector-Konto über die Berechtigungen "Lesen" und "Registrieren" für die CA-Vorlage verfügt. Überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass URLs, die ?operation=GetCACaps enthalten, nicht blockiert werden.
Android-Fragmentierung. Apple iOS-Geräte verarbeiten .mobileconfig-Profile sehr konsistent. Android hingegen ist stark fragmentiert - verschiedene Hersteller und OS-Versionen handhaben WiFi-Profile und die Zertifikatsinstallation unterschiedlich. Stellen Sie im Onboarding-Portal klare, OS-spezifische Anweisungen bereit. Die Verwendung von Passpoint (Hotspot 2.0) bietet einen konsistenten Verbindungsfluss über verschiedene Hersteller hinweg und verbessert das Android-Erlebnis erheblich.
Verzögerungen bei der Zertifikatssperrung. Wenn ein Mitarbeiter das Unternehmen verlässt, muss sein Zugriff sofort widerrufen werden. Das Deaktivieren seines IdP-Kontos ist der erste Schritt, aber der RADIUS-Server muss auch den Zertifikatsstatus validieren. Konfigurieren Sie Ihren RADIUS-Server so, dass er zusätzlich zur CRL-Prüfung das Online Certificate Status Protocol (OCSP) verwendet. OCSP bietet einen Echtzeit-Sperrstatus, anstatt sich auf eine regelmäßig aktualisierte Liste zu verlassen.
ROI und geschäftliche Auswirkungen
Der Übergang zur SCEP 802.1X-Zertifikatsbereitstellung liefert messbare Erträge sowohl in der Sicherheit als auch im Betrieb. Passwortbasiertes WiFi erzeugt ein hohes Aufkommen an Helpdesk-Tickets durch abgelaufene Passwörter, Sperrungen und Tippfehler. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar - Geräte verbinden sich automatisch. Dies reduziert den WiFi-bezogenen Helpdesk-Arbeitsaufwand in der Regel um 70 %, wodurch die IT-Mitarbeiter entlastet werden und sich auf strategische Aufgaben konzentrieren können.
EAP-TLS eliminiert das Risiko von Credential Harvesting und Man-in-the-Middle (MitM)-Angriffen. Dies ist entscheidend für die PCI-DSS-Compliance in Einzelhandels- Umgebungen und die GDPR-Compliance in allen Branchen. Im Gastgewerbe , wo Mitarbeiter Zahlungsdaten und persönliche Informationen von Gästen verarbeiten, übersteigen die Kosten einer Datenpanne die Kosten für die Bereitstellung einer gut durchdachten PKI-Infrastruktur bei Weitem. Dieselben Compliance-Treiber gelten für Transportunternehmen und Einrichtungen im Gesundheitswesen .
Für Standorte, die bereits die Plattformen für Guest WiFi und WiFi Analytics von Purple nutzen, bietet die Erweiterung des sicheren Onboardings auf BYOD-Geräte der Mitarbeiter eine einheitliche und robuste Netzwerkmanagement-Strategie. Purple ist an mehr als 80.000 physischen Standorten weltweit im Einsatz, verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple) und verfügt über die Zertifizierungen ISO 27001, GDPR, CCPA und Cyber Essentials. Unsere Sicherheits-Add-ons SecurePass und Shield lassen sich direkt in die in diesem Handbuch beschriebene zertifikatsbasierte Authentifizierungsarchitektur integrieren.
Für eine breitere Perspektive auf die Sicherheit von Unternehmensnetzwerken lesen Sie unseren Enterprise WiFi Security: Der komplette Leitfaden für 2026 . Für spezifische Überlegungen zur GDPR-Compliance für Netzwerkadministratoren siehe Der Leitfaden für Netzwerkadministratoren zur Einhaltung der GDPR und des Schutzes von Gästedaten .
Schlüsseldefinitionen
SCEP (Simple Certificate Enrolment Protocol)
Ein in RFC 8894 definiertes Protokoll, das die Ausstellung digitaler X.509-Zertifikate an Geräte innerhalb einer PKI-Umgebung automatisiert. Das Gerät generiert seinen eigenen privaten Schlüssel lokal, der das Gerät niemals verlässt.
Wird verwendet, um WiFi-Authentifizierungszertifikate in großem Umfang ohne manuelle IT-Eingriffe auf Unternehmens- und BYOD-Geräten bereitzustellen. Der Branchenstandard für die 802.1X-Zertifikatsbereitstellung.
802.1X
Ein IEEE-Standard (IEEE Std 802.1X-2020) für die portbasierte Netzwerkzugriffskontrolle. Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung mit einem LAN oder WLAN herstellen möchten, bevor ihnen Zugriff auf Netzwerkressourcen gewährt wird.
Die Grundlage für sicheres Enterprise WiFi, das anfällige Pre-Shared Keys ersetzt. Erfordert einen RADIUS-Server, einen Supplicant auf dem Client-Gerät und einen Authenticator auf dem Access Point.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Ein Authentifizierungs-Framework, bei dem sowohl der Server als auch der Client gültige digitale Zertifikate vorlegen müssen. Bietet gegenseitige Authentifizierung, um sicherzustellen, dass das Gerät dem Netzwerk und das Netzwerk dem Gerät vertraut.
Die sicherste Methode für die 802.1X-Authentifizierung. Eliminiert Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffe. Das Ziel-Authentifizierungsprotokoll, das durch die Bereitstellung von SCEP-Zertifikaten ermöglicht werden soll.
NDES (Network Device Enrolment Service)
Eine Microsoft Windows-Serverrolle, die als Brücke fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate von einer Active Directory-Zertifikatsdienst-Zertifizierungsstelle über SCEP zu beziehen.
Eine erforderliche Infrastrukturkomponente bei der Implementierung von SCEP mit Microsoft Intune. Sollte über den Azure AD-Anwendungsproxy veröffentlicht werden, um eine sichere Bereitstellung von Remote-Zertifikaten zu ermöglichen.
BYOD (Bring Your Own Device)
Die Praxis, Mitarbeitern die Nutzung ihrer persönlichen Smartphones, Tablets oder Laptops für den Zugriff auf Unternehmensnetzwerke und -anwendungen zu gestatten.
Erfordert eine sorgfältige Netzwerksegmentierung und ein sicheres Onboarding, um zu verhindern, dass nicht verwaltete Geräte das Unternehmensnetzwerk gefährden. Eine vollständige MDM-Registrierung ist für persönliche Geräte aufgrund von Datenschutzbedenken oft unpraktisch.
CRL (Certificate Revocation List)
Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die vor ihrem Ablaufdatum widerrufen wurden.
Muss vom RADIUS-Server bei jedem Authentifizierungsversuch überprüft werden, um sicherzustellen, dass ausgeschiedene Mitarbeiter oder kompromittierte Geräte nicht auf das Netzwerk zugreifen können. CRL-Verteilungspunkte müssen hochverfügbar sein.
CSR (Certificate Signing Request)
Eine von einem Gerät generierte und an eine Zertifizierungsstelle gesendete Nachricht, um ein digitales Identitätszertifikat zu beantragen. Enthält den öffentlichen Schlüssel des Geräts und Identitätsinformationen.
Wird während des SCEP-Prozesses vom Gerät generiert. Der zur Signierung der CSR verwendete private Schlüssel verbleibt auf dem Gerät und wird niemals übertragen.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung (AAA) für Benutzer und Geräte bietet, die eine Verbindung zu einem Netzwerk herstellen.
Der Server, der das Client-Zertifikat während der 802.1X-Authentifizierung validiert und den Netzwerkzugriff gewährt oder verweigert. Muss so konfiguriert sein, dass eine strenge CRL- oder OCSP-Überprüfung erzwungen wird.
PKCS (Public Key Cryptography Standards)
Ein Satz von Standards, bei dem sowohl der öffentliche als auch der private Schlüssel von der Zertifizierungsstelle generiert und dann sicher an den Endpunkt übermittelt werden.
Weniger gut geeignet für die WiFi-Authentifizierung als SCEP, da der private Schlüssel über das Netzwerk übertragen wird. Besser geeignet für S/MIME-E-Mail-Verschlüsselung, bei der eine Schlüsselhinterlegung erforderlich ist.
OCSP (Online Certificate Status Protocol)
Ein Protokoll, das den Zertifikatswiderrufsstatus in Echtzeit bereitstellt, als Alternative zur regelmäßig aktualisierten CRL.
Wird in hochsicheren Umgebungen gegenüber CRL bevorzugt, da es den sofortigen Widerrufsstatus liefert, anstatt sich auf eine Liste zu verlassen, die unter Umständen bereits einige Stunden alt ist.
Ausgearbeitete Beispiele
Ein Hotel mit 200 Zimmern muss 50 Reinigungskräften sicheren WiFi-Zugang gewähren, damit diese ihre persönlichen Smartphones (BYOD) für den Zugriff auf die Reinigungsplanungs-App nutzen können. Der IT-Manager möchte eine vollständige MDM-Registrierung vermeiden, um die Privatsphäre der Mitarbeiter zu respektieren, muss jedoch sicherstellen, dass der Zugriff sofort entzogen wird, wenn ein Mitarbeiter ausscheidet.
Das Hotel implementiert ein Self-Service-Onboarding-Portal, das in Microsoft Entra ID integriert ist. Die Mitarbeiter verbinden sich mit einer offenen Bereitstellungs-SSID, authentifizieren sich mit ihren Entra ID-Anmeldedaten und laden ein SCEP-Profil herunter. Der SCEP-Server stellt ein 30 Tage gültiges Client-Zertifikat direkt für das Gerät aus, wobei der private Schlüssel lokal generiert und im sicheren Enklave-Speicher des Smartphones gespeichert wird. Das Gerät verbindet sich automatisch über EAP-TLS mit der SSID "Staff_WiFi". Der RADIUS-Server weist diese Geräte einem eingeschränkten VLAN zu, das nur den Zugriff auf die Planungs-App und das Internet erlaubt. Scheidet ein Mitarbeiter aus, wird sein Entra ID-Konto deaktiviert. Der RADIUS-Server, der für eine strikte CRL-Prüfung konfiguriert ist, verweigert beim nächsten Authentifizierungsversuch den Netzwerkzugriff. Die 30-tägige Zertifikatsgültigkeit stellt sicher, dass der Zugriff selbst bei einer Verzögerung der CRL-Prüfung innerhalb eines Monats erlischt.
Eine nationale Einzelhandelskette mit 500 Filialen muss sicheres WiFi für unternehmenseigene Point-of-Sale (POS)-Tablets unter Windows bereitstellen. Der Netzwerkarchitekt muss sicherstellen, dass selbst bei Diebstahl eines Tablets die Netzwerkanmeldedaten nicht extrahiert und verwendet werden können, um von einem anderen Gerät aus auf das Unternehmensnetzwerk zuzugreifen. Die Einhaltung von PCI-DSS ist zwingend erforderlich.
Der Netzwerkarchitekt konfiguriert Microsoft Intune so, dass Zertifikate über SCEP bereitgestellt werden. Intune überträgt das Trusted Root-Zertifikat an die Gerätegruppe "POS Devices", gefolgt von einem SCEP-Profil, das jedes Tablet anweist, seinen eigenen privaten Schlüssel im Windows-TPM zu generieren. Das Tablet sendet einen CSR an den NDES-Server, erhält das Client-Zertifikat und verbindet sich über WPA3-Enterprise und EAP-TLS mit der SSID "Retail_POS". Der RADIUS-Server authentifiziert das Zertifikat und platziert das Gerät im isolierten POS-VLAN, das nur Datenverkehr zum Zahlungsabwickler und zum Bestandsverwaltungssystem zulässt. Alle drei Intune-Profile - Trusted Root, SCEP und WiFi - sind derselben Gerätegruppe "POS Devices" zugewiesen, um Abhängigkeitsfehler zu vermeiden. NDES wird über den Azure AD-Anwendungsproxy veröffentlicht, um die Zertifikatsverlängerung zu ermöglichen, ohne dass sich das Tablet vor Ort befinden muss.
Übungsfragen
Q1. Sie stellen ein SCEP-Profil über Intune für eine Flotte von Windows-Laptops bereit. Die Geräte empfangen das Trusted Root-Zertifikat erfolgreich, aber das WiFi-Profil kann nicht angewendet werden und wird in der Intune-Konsole als „Fehler“ angezeigt. Das SCEP-Profil ist der Azure AD-Gruppe „All Users“ zugewiesen, während das WiFi-Profil der Gerätegruppe „Corporate Laptops“ zugewiesen ist. Was ist die Ursache für den Fehler und wie beheben Sie ihn?
Hinweis: Berücksichtigen Sie die Abhängigkeiten zwischen den Profilen und wie Intune die Gruppenzuweisung auflöst, wenn ein Profil von einem anderen Profil abhängt.
Musterlösung anzeigen
Der Fehler wird durch eine Nichtübereinstimmung bei der Gruppenzuordnung verursacht. Intune kann die Abhängigkeit zwischen dem SCEP-Profil und dem WiFi-Profil nicht auflösen, da sie auf unterschiedliche Gruppentypen abzielen - eine auf Benutzer und die andere auf Geräte. Um dies zu beheben, überprüfen Sie alle drei Profilzuweisungen und stellen Sie sicher, dass die Trusted Root-, SCEP- und WiFi-Profile alle derselben Azure AD-Gruppe zugewiesen sind. Wählen Sie konsistent für alle Profile entweder die Benutzer- oder die Gerätezuordnung.
Q2. Ein Einzelhandelsstandort möchte seine POS-Tablets sichern. Der IT-Leiter schlägt vor, PKCS anstelle von SCEP zu verwenden, da dies die Infrastruktur vereinfacht, da kein NDES-Server erforderlich ist. Warum sollten Sie als Netzwerkarchitekt SCEP für die 802.1X WiFi-Authentifizierung empfehlen, und unter welchen Umständen wäre PKCS die richtige Wahl?
Hinweis: Überlegen Sie, wo der private Schlüssel in beiden Protokollen generiert und gespeichert wird, und berücksichtigen Sie die Sicherheitsaspekte für die Netzwerkauthentifizierung im Vergleich zur E-Mail-Verschlüsselung.
Musterlösung anzeigen
Empfehlen Sie SCEP für die 802.1X WiFi-Authentifizierung, da der private Schlüssel lokal auf dem Gerät generiert und in dessen Hardware-Sicherheits-Enklave gespeichert wird. Der private Schlüssel verlässt das Gerät nie und wird niemals über das Netzwerk übertragen. Wenn ein Tablet gestohlen wird, können die Zugangsdaten nicht extrahiert und von einem anderen Gerät aus verwendet werden. Bei PKCS generiert die CA das Schlüsselpaar zentral und überträgt es an das Gerät, was ein Übertragungsrisiko darstellt, das für die Netzwerkauthentifizierung inakzeptabel ist. PKCS ist nur für die S/MIME-E-Mail-Verschlüsselung die richtige Wahl, bei der ein Key-Escrow erforderlich ist, damit verschlüsselte E-Mails entschlüsselt werden können, wenn das ursprüngliche Gerät verloren geht.
Q3. Sie entwerfen ein BYOD-Onboarding-Portal für ein Krankenhaus mit 500 Betten. Das klinische Personal wird seine persönlichen Smartphones nutzen, um auf unkritische interne Apps wie den Dienstplan und das interne Messaging zuzugreifen. Sie müssen das Risiko minimieren, dass veraltete Geräte im Netzwerk verbleiben, nachdem Mitarbeiter das Unternehmen verlassen haben, ohne dass bei jedem Ausscheiden ein manueller IT-Eingriff erforderlich ist. Welche spezifische Zertifikatskonfiguration sollten Sie implementieren?
Hinweis: Berücksichtigen Sie den Lebenszyklus des Zertifikats und wie Sie Geräte dazu zwingen können, sich regelmäßig neu zu authentifizieren, ohne dass die IT jedes Zertifikat manuell widerrufen muss.
Musterlösung anzeigen
Implementieren Sie kurzlebige Zertifikate mit einer Gültigkeitsdauer von 30 bis 90 Tagen. Wenn das Zertifikat abläuft, muss sich das BYOD-Gerät über das Captive Portal mit den IdP-Zugangsdaten des Mitarbeiters neu authentifizieren. Wenn der Mitarbeiter das Unternehmen verlassen hat und sein IdP-Konto deaktiviert wurde, kann er die erneute Authentifizierung nicht abschließen und erhält kein neues Zertifikat. Dadurch werden veraltete Geräte automatisch aus dem Netzwerk entfernt, ohne dass die IT einzelne Zertifikate manuell widerrufen muss. Kombinieren Sie dies mit einer OCSP-Prüfung auf dem RADIUS-Server, um einen sofortigen Widerruf zu gewährleisten, wenn ein Konto deaktiviert wird, was eine zusätzliche Sicherheitsstufe zwischen den Zertifikatsablaufzyklen bietet.
Q4. Ihr NDES-Server gibt bei allen SCEP-Zertifikatsanforderungen den Fehler „HTTP 403 Forbidden“ zurück. Der NDES-Server ist über den Azure AD-Anwendungsproxy aus dem Internet erreichbar. Was sind die zwei wahrscheinlichsten Ursachen für diesen Fehler und wie diagnostizieren Sie diese jeweils?
Hinweis: Berücksichtigen Sie sowohl die Berechtigungen der Zertifikatsvorlage als auch den Netzwerkpfad zwischen dem Gerät und dem NDES-Server.
Musterlösung anzeigen
Die beiden wahrscheinlichsten Ursachen sind: Erstens verfügt das Dienstkonto des Intune Certificate Connector nicht über die erforderlichen Berechtigungen für die CA-Zertifikatsvorlage. Verifizieren Sie, dass das Dienstkonto in der CA-Konsole über die Berechtigungen "Lesen" und "Registrieren" für die Vorlage verfügt. Zweitens blockiert die Firewall oder der Anwendungsproxy die spezifischen Abfragezeichenfolgen-Parameter, die von SCEP verwendet werden. Überprüfen Sie die Firewall- und Anwendungsproxy-Protokolle auf Anfragen, die Parameter wie "?operation=GetCACaps" oder "?operation=PKIOperation" enthalten. Dies sind Standard-SCEP-Operationen, die zugelassen werden müssen. Wenn der Anwendungsproxy Abfragezeichenfolgen entfernt, passen Sie die Vorauthentifizierungseinstellungen so an, dass der Passthrough für den NDES-URL-Pfad zulässig ist.
Weiterlesen in dieser Reihe
Wie Sie Mitarbeiter- und Gäste-WiFi-Netzwerke sicher trennen
Dieser maßgebliche technische Leitfaden bietet IT-Leitern umsetzbare Strategien zur sicheren Trennung von Mitarbeiter-, Gäste- und IoT-WiFi-Netzwerken mithilfe von VLANs und 802.1X. Er beschreibt im Detail, wie Sie die Infrastruktur Ihres Unternehmens sichern, die PCI-DSS-Compliance wahren und Captive Portale nutzen, um First-Party-Daten zu erfassen.
Beste DNS-Filterung: Ein umfassender Leitfaden für Unternehmen
Dieser technische Leitfaden erklärt, wie DNS-Filterung der Enterprise-Klasse öffentliche Netzwerke sichert, indem bösartige Domains auf der Auflösungsebene blockiert werden - noch bevor eine Verbindung hergestellt wird. Er bietet IT-Leitern, Netzwerkarchitekten und Venue-Operations-Teams die Deployment-Architektur, Firewall-Konfiguration und den Compliance-Kontext, die sie benötigen, um Guest WiFi in der Hotellerie, im Einzelhandel und im öffentlichen Sektor zu schützen. Purple Shield blockiert Malware, Botnets und unangemessene Inhalte auf DNS-Ebene an über 80.000 Live-Standorten.
Cisco SUDI verstehen: Hardware-verankerte Identität bei der sicheren Netzwerk-Zugangskontrolle
Dieser Leitfaden erklärt, wie Cisco SUDI eine hardware-verankerte, kryptografisch sichere Identität für die IT-Infrastruktur von Unternehmen bereitstellt. Erfahren Sie, wie Sie fälschbare MAC-Adressen durch unveränderliche 802.1AR-Zertifikate ersetzen, um die Netzwerk-Zugangskontrolle Ihres Standorts zu sichern.