Zum Hauptinhalt springen

So konfigurieren Sie SCEP für sicheres Enterprise WiFi und BYOD-Provisionierung

Dieses technische Handbuch erklärt, wie Sie das Simple Certificate Enrolment Protocol (SCEP) konfigurieren, um die sichere 802.1X Enterprise WiFi Authentifizierung und die BYOD-Provisionierung zu automatisieren. Es bietet Netzwerkarchitekten und IT-Managern eine definitive Bereitstellungssequenz, reale Implementierungsszenarien aus der Hotellerie und dem Einzelhandel sowie Strategien zur Risikominderung, um unsichere Pre-Shared Keys und MAC-Authentifizierungs-Bypässe aus Unternehmensnetzwerken zu eliminieren.

📖 8 Min. Lesezeit📝 1,754 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zu diesem technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute befassen wir uns eingehend mit der Konfiguration von SCEP für sicheres Enterprise WiFi und BYOD-Provisionierung. Für IT-Manager, Netzwerkarchitekten und CTOs in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor ist die Verwaltung des Netzwerkzugriffs ein ständiger Spagat zwischen Sicherheit und betrieblicher Effizienz. Sie haben es täglich mit Hunderten, manchmal Tausenden von Geräten zu tun, die sich mit Ihrem Netzwerk verbinden: Smartphones von Mitarbeitern, Laptops von Auftragnehmern, Point-of-Sale-Tablets. Und die alten Methoden, dies zu handhaben, sind einfach nicht mehr gut genug. Die Verwendung von Pre-Shared Keys oder PSKs für das WiFi von Mitarbeitern und BYOD ist eine Sicherheitslücke, die nur darauf wartet, ausgenutzt zu werden. Ein gemeinsam genutztes Passwort gibt nach einer Kompromittierung jedem Zugriff auf Ihr Netzwerk. Und MAC Authentication Bypass, oder MAB, ist nicht besser. Moderne Smartphones verwenden standardmäßig randomisierte MAC-Adressen, was MAB vollständig aushebelt, und MAC-Adressen können in Sekundenschnelle gefälscht werden. Moderne Netzwerkarchitekturen erfordern eine 802.1X-Authentifizierung mit EAP-TLS. Dadurch wird sichergestellt, dass jedes Gerät kryptografisch überprüft wird, bevor es eine Verbindung zum Netzwerk herstellt. Doch hier liegt die Herausforderung: Wie verteilen Sie eindeutige Client-Zertifikate an Tausende von nicht verwalteten Geräten, ohne Ihren Helpdesk zu überlasten? Die Antwort ist das Simple Certificate Enrolment Protocol, kurz SCEP. Beginnen wir mit der Architektur. SCEP ist der Industriestandard für die Registrierung von Enterprise-Geräten, definiert in RFC 8894. Es existiert seit 1999, wurde ursprünglich von VeriSign entwickelt und hat sich im Laufe der Zeit bewährt, weil es ein wirklich schwieriges Problem elegant löst. In einem SCEP-Workflow generiert das Gerät sein eigenes privates und öffentliches Schlüsselpaar lokal. Es erstellt eine Zertifikatsignierungsanforderung, oder CSR, und sendet diese über einen Network Device Enrolment Service, bekannt als NDES, an Ihre Zertifizierungsstelle (Certificate Authority, CA). Die CA validiert die Anforderung und sendet das signierte öffentliche Zertifikat an das Gerät zurück. Der entscheidende Sicherheitsvorteil besteht darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert und im Hardware-Sicherheitsbereich des Geräts gespeichert. Auf einem Windows-Laptop ist das das Trusted Platform Module, oder TPM. Auf einem iPhone ist es die Secure Enclave. Der private Schlüssel wird niemals über das Netzwerk übertragen. Dies macht SCEP gegenüber Alternativen wie PKCS für die Netzwerkauthentifizierung, bei denen die CA das Schlüsselpaar zentral generiert und an das Gerät überträgt, weitaus überlegen. Lassen Sie uns nun über BYOD sprechen. Aus betrieblicher Sicht wird es hier erst richtig interessant. Sie möchten, dass Mitarbeiter ihre persönlichen Geräte für den Zugriff auf interne Tools nutzen können, aber Sie möchten sie nicht zwingen, sich in Ihrem Corporate MDM zu registrieren. Das ist ein Datenschutzproblem und stößt bei den Mitarbeitern auf starken Widerstand. Die Lösung ist ein Self-Service-Onboarding-Portal. Und so funktioniert es: Der Benutzer verbindet sein persönliches Gerät mit einer dedizierten Bereitstellungs-SSID. Dieses Netzwerk ist ein Walled Garden, der den Zugriff auf alles außer dem Onboarding-Portal und Ihrem Identity Provider einschränkt. Der Benutzer authentifiziert sich mit seinen Unternehmens-Anmeldedaten, in der Regel über eine SAML-Integration mit Microsoft Entra ID, Okta oder Google Workspace. Nach erfolgreicher Authentifizierung generiert das System über SCEP ein eindeutiges, gerätespezifisches Client-Zertifikat. Ein Konfigurationsprofil wird auf das Gerät übertragen, das das Zertifikat, das Root-CA-Zertifikat und die Netzwerkeinstellungen enthält. Das Gerät verbindet sich anschließend automatisch über EAP-TLS mit der sicheren Unternehmens-SSID. Das ist nahtlos für den Benutzer und sicher für das Unternehmen. Die Benutzer müssen nichts über Zertifikate oder 802.1X wissen. Sie melden sich einfach einmal an und sind verbunden. Lassen Sie uns nun die Implementierung im Detail durchgehen. Die Bereitstellungsreihenfolge ist entscheidend, und Fehler an dieser Stelle sind die häufigste Ursache für ein Scheitern. Schritt eins: Bereitstellung des Trusted Root-Zertifikats. Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Certificate Authority vertrauen. Exportieren Sie Ihr Root-CA-Zertifikat als .cer-Datei und verteilen Sie es an Ihre Zielgerätegruppen. Dieser Schritt ist unverzichtbar. Ohne ihn schlägt die gesamte Kette fehl. Schritt zwei: Konfiguration des SCEP-Zertifikatsprofils. Dieses weist die Geräte an, wie sie ihr Client-Zertifikat abrufen können. Sie müssen das Format des Subject Name konfigurieren. Für die benutzergesteuerte Authentifizierung ist der Standard "CN equals UserPrincipalName". Für die Geräteauthentifizierung verwenden Sie "CN equals the Azure AD Device ID". Legen Sie die Schlüsselverwendung auf digitale Signatur und Schlüsselverschlüsselung fest. Geben Sie unter der erweiterten Schlüsselverwendung die Client-Authentifizierung mit der OID 1.3.6.1.5.5.7.3.2 an. Verknüpfen Sie dieses Profil mit dem Trusted Root-Zertifikatsprofil aus Schritt eins. Und geben Sie die externe URL Ihres NDES-Servers an. Schritt drei: Bereitstellung des 802.1X WiFi-Profils. Dieses verknüpft die Zertifikate mit der Netzwerk-SSID. Geben Sie den Netzwerknamen genau so ein, wie er von Ihren Access Points ausgestrahlt wird. Stellen Sie den Sicherheitstyp auf WPA2-Enterprise oder WPA3-Enterprise ein. Stellen Sie den EAP-Typ auf EAP-TLS ein. Wählen Sie das SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus. Und geben Sie das Trusted Root-Zertifikat für die Servervalidierung an. Diese Reihenfolge ist das Wichtigste, woran Sie sich bei diesem gesamten Briefing erinnern müssen. Erst Vertrauen, dann Zertifikat, dann WiFi. In genau dieser Reihenfolge, jedes Mal. Lassen Sie mich nun einige Best Practices erläutern, die Ihnen in der Produktionsumgebung viel Ärger ersparen werden. Erstens: Veröffentlichen Sie Ihren NDES-Server über den Azure AD-Anwendungsproxy. Der NDES-Server muss aus dem Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Freigabe eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Der Anwendungsproxy bietet Ihnen einen sicheren Remote-Zugriff, ohne dass eingehende Firewall-Ports geöffnet werden müssen. Zweitens: Implementieren Sie kurzlebige Zertifikate für BYOD-Geräte. Statt eines für drei Jahre gültigen Zertifikats stellen Sie Zertifikate mit einer Gültigkeit von 90 Tagen aus. Wenn das Zertifikat abläuft, muss sich der Benutzer erneut über das Onboarding-Portal authentifizieren. Dies entfernt automatisch inaktive Geräte aus dem Netzwerk. Ein Gerät, das 90 Tage lang nicht genutzt wurde, fällt einfach weg. Keine manuelle Bereinigung erforderlich. Drittens - und das ist absolut entscheidend - konfigurieren Sie Ihren RADIUS-Server so, dass er eine strenge Prüfung der Certificate Revocation List erzwingt. Wenn ein Mitarbeiter das Unternehmen verlässt, wird sein WiFi-Zugang durch das Deaktivieren seines Active Directory-Kontos unter Umständen nicht sofort gesperrt, solange sein Client-Zertifikat gültig bleibt. Ihr RADIUS-Server muss die CRL prüfen, bevor er den Zugriff gewährt. Stellen Sie sicher, dass Ihre CRL-Verteilungspunkte hochverfügbar sind. Wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung für alle fehl. Das führt zu einem flächendeckenden Ausfall. Sehen wir uns nun einige häufige Fehlerszenarien an und wie man sie vermeidet. Das häufigste Problem ist, dass das WiFi-Profil nicht angewendet werden kann. Das Gerät empfängt das Trusted Root- und das SCEP-Zertifikat, aber das WiFi-Profil wird in der MDM-Konsole als Fehler angezeigt. In neun von zehn Fällen liegt dies an einer fehlerhaften Gruppenzuweisung. Wenn das SCEP-Profil einer Benutzergruppe zugewiesen ist, das WiFi-Profil jedoch einer Gerätegruppe, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen. Stellen Sie sicher, dass alle drei Profile auf genau dieselbe Gruppe ausgerichtet sind. Das zweite häufige Problem sind NDES 403 Forbidden-Fehler. Geräte können das SCEP-Zertifikat nicht abrufen, und die NDES-IIS-Protokolle zeigen HTTP-403-Fehler. Dies wird in der Regel dadurch verursacht, dass dem Connector-Dienstkonto die erforderlichen Berechtigungen für die Zertifikatsvorlage fehlen oder eine Firewall die spezifischen, von SCEP verwendeten Abfrage-String-Parameter blockiert. Stellen Sie sicher, dass das Connector-Konto über Lese- und Registrierungsberechtigungen (Read und Enrol) für die CA-Vorlage verfügt. Überprüfen Sie Ihre Firewall-Protokolle, um sicherzustellen, dass URLs, die den Parameter „operation equals GetCACaps“ enthalten, nicht blockiert werden. Lassen Sie mich Ihnen zwei praktische Szenarien vorstellen, um zu veranschaulichen, wie sich dies in der Praxis verhält. Szenario eins: ein Hotel mit 200 Zimmern und 50 Housekeeping-Mitarbeitern, die ihre persönlichen Smartphones für den Zugriff auf die Dienstplan-App nutzen. Der IT-Manager möchte eine vollständige MDM-Registrierung vermeiden, um die Privatsphäre der Mitarbeiter zu schützen. Die Lösung ist ein Self-Service-Portal, das in Microsoft Entra ID integriert ist. Die Mitarbeiter verbinden sich mit der Bereitstellungs-SSID, melden sich mit ihren Entra ID-Anmeldedaten an und laden ein SCEP-Profil herunter. Der SCEP-Server stellt ein 30 Tage gültiges Client-Zertifikat direkt für das Gerät aus. Das Gerät verbindet sich über EAP-TLS mit der Mitarbeiter-WiFi-SSID. Der RADIUS-Server weist diese Geräte einem eingeschränkten VLAN zu, das nur den Zugriff auf die Dienstplan-App erlaubt. Wenn ein Mitarbeiter ausscheidet, wird sein Entra ID-Konto deaktiviert, und der RADIUS-Server verweigert sofort den Netzwerkzugriff. Szenario zwei: eine nationale Einzelhandelskette mit 500 Filialen, die sicheres WiFi für unternehmenseigene Point-of-Sale-Tablets bereitstellt. Der Netzwerkarchitekt muss sicherstellen, dass die Zugangsdaten selbst bei einem Diebstahl des Tablets nicht ausgelesen werden können. Die Lösung ist Microsoft Intune, das Zertifikate über SCEP bereitstellt. Intune pusht das Trusted Root-Zertifikat, gefolgt von einem SCEP-Profil, das das Tablet anweist, seinen eigenen privaten Schlüssel in seiner sicheren Hardware-Enklave zu generieren. Das Tablet sendet einen CSR an den NDES-Server, erhält das Client-Zertifikat und verbindet sich über EAP-TLS mit der Retail POS SSID. Da der private Schlüssel lokal generiert und niemals übertragen wird, können die Zugangsdaten eines gestohlenen Tablets nirgendwo anders verwendet werden. Dies erfüllt die Compliance-Anforderungen von PCI-DSS. Kommen wir nun zum Business Case. Der Übergang zur SCEP 802.1X-Zertifikatsbereitstellung liefert messbare Renditen in den Bereichen Sicherheit und Betrieb. Passwortbasiertes WiFi verursacht ein erhebliches Aufkommen an Helpdesk-Tickets. Passwort-Abläufe, Sperren, Tippfehler. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar. Geräte verbinden sich automatisch. Dies reduziert das WiFi-bezogene Helpdesk-Volumen in der Regel um 70 %. Das ist eine erhebliche Reduzierung der Betriebskosten. EAP-TLS eliminiert das Risiko des Abgreifens von Zugangsdaten und von Man-in-the-Middle-Angriffen. Dies ist entscheidend für die Einhaltung von PCI-DSS im Einzelhandel und der GDPR in allen Sektoren. Die Kosten einer Datenpanne übersteigen die Kosten für den Aufbau einer ordnungsgemäßen PKI-Infrastruktur bei Weitem. Und für Unternehmen, die bereits die Guest WiFi- und Analyseplattform von Purple nutzen, bietet die Ausweitung des sicheren Onboardings auf BYOD-Geräte der Mitarbeiter eine einheitliche Netzwerkmanagement-Strategie. Das hardwareunabhängige Cloud-Overlay von Purple lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet integrieren, sodass Sie nicht an einen einzigen Hardware-Hersteller gebunden sind. Purple ist an 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet, während es Zertifizierungen wie ISO 27001, GDPR, CCPA und Cyber Essentials besitzt. Lassen Sie mich mit einer schnellen Zusammenfassung der wichtigsten Entscheidungen schließen, die Sie treffen müssen. Sollten Sie SCEP oder PKCS verwenden? Verwenden Sie SCEP für die WiFi-Authentifizierung. Der private Schlüssel verbleibt auf dem Gerät. Verwenden Sie PKCS nur für die E-Mail-Verschlüsselung, bei der ein Key Escrow erforderlich ist. Wie lange sollten Zertifikate gültig sein? 90 Tage für BYOD. Ein bis zwei Jahre für unternehmensverwaltete Geräte. Sollten Sie in Ihrem MDM Benutzer- oder Geräte-Targeting verwenden? Verwenden Sie Geräte-Targeting für Unternehmensgeräte, die sich vor dem Benutzer-Login verbinden müssen. Verwenden Sie Benutzer-Targeting für BYOD, bei dem das Zertifikat an die Person gebunden sein soll. Wie gehen Sie mit der Android-Fragmentierung um? Verwenden Sie nach Möglichkeit Passpoint, auch bekannt als Hotspot 2.0. Es bietet ein konsistentes Verbindungserlebnis über verschiedene Android-Hersteller hinweg. Und schließlich, was ist die wichtigste Sache, die Sie richtig machen müssen? Die CRL-Überprüfung auf Ihrem RADIUS-Server. Ohne sie kann ein widerrufenes Zertifikat immer noch Netzwerkzugriff gewähren. Damit ist das heutige Briefing beendet. Wenn Sie sich näher mit diesen Themen befassen möchten, finden Sie die technischen Leitfäden von Purple zu WiFi-Sicherheit in Unternehmen und EAP-TLS-Zertifikatsauthentifizierung auf der Website von Purple unter purple.ai. Vielen Dank fürs Zuhören.

header_image.png

Management-Zusammenfassung

Für Unternehmen in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor stellt die Nutzung von Pre-Shared Keys (PSK) oder MAC Authentication Bypass (MAB) für den WiFi-Zugang von Mitarbeitern und BYOD ein Sicherheitsrisiko dar. Moderne Netzwerkarchitekturen erfordern eine 802.1X-Authentifizierung mittels EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift. Die betriebliche Herausforderung besteht darin, eindeutige Client-Zertifikate an Tausende von unmanaged Geräten zu verteilen, ohne den IT-Helpdesk mit Support-Tickets zu überlasten.

Das in RFC 8894 definierte SCEP (Simple Certificate Enrolment Protocol) löst dieses Verteilungsproblem durch ein automatisiertes Zertifikats-Lifecycle-Management. Durch die Nutzung von SCEP können IT-Teams vertrauenswürdige Root-Zertifikate und Client-Zertifikate auf Endpunkte übertragen, wodurch sichergestellt wird, dass der private Schlüssel das Gerät niemals verlässt. Dieser Leitfaden bietet den maßgeblichen Architektur-Blueprint und die schrittweise Implementierungsstrategie für die SCEP-WiFi-Zertifikatsbereitstellung. Wir behandeln die für den Erfolg erforderliche kritische Bereitstellungssequenz, Praxisbeispiele aus dem Gastgewerbe und dem Einzelhandel sowie Strategien zur Risikominderung, um Ihr Guest WiFi und Ihre Unternehmensnetzwerke sicher und leistungsstark zu halten.

Technischer Deep-Dive: SCEP-Architektur

SCEP ist der Branchenstandard für die Registrierung von Enterprise-Geräten, der von VeriSign entwickelt und 1999 als IETF-Internet-Draft veröffentlicht wurde. Es automatisiert die Ausstellung von X.509-Zertifikaten innerhalb einer Public-Key-Infrastruktur-Umgebung (PKI) und macht die manuelle Verwaltung von Zertifikaten im großen Stil überflüssig.

scep_architecture_overview.png

In einem SCEP-Workflow generiert das Gerät sein eigenes privates und öffentliches Schlüsselpaar lokal. Es erstellt einen Certificate Signing Request (CSR) und sendet ihn über einen Network Device Enrolment Service (NDES)-Server an Ihre Certificate Authority (CA). Die CA validiert die Anfrage mithilfe eines Shared Secret und gibt das signierte öffentliche Zertifikat an das Gerät zurück. Der entscheidende Sicherheitsvorteil besteht darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert und im sicheren Hardware-Enklave des Geräts gespeichert - dem Trusted Platform Module (TPM) unter Windows oder dem Secure Enclave unter iOS. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X-Authentifizierung, im Gegensatz zu PKCS (Public Key Cryptography Standards), bei dem die CA das Schlüsselpaar zentral generiert und über das Netzwerk überträgt.

Die vier Schritte der SCEP-Zertifikatsregistrierung sind wie folgt. Erstens verbindet sich das Gerät mit der vom NDES-Server gehosteten SCEP-Endpunkt-URL. Zweitens präsentiert das Gerät das SCEP Shared Secret (ein statisches Passwort oder ein von der MDM-Plattform generiertes dynamisches Challenge-Passwort), um die Registrierungsanfrage zu validieren. Drittens generiert das Gerät einen CSR, der seinen öffentlichen Schlüssel und Identifikationsinformationen enthält. Viertens validiert die CA den CSR und stellt ein signiertes X.509-Zertifikat aus, das an das Gerät zurückgegeben wird.

SCEP vs PKCS: Den richtigen Mechanismus wählen

Bei der Entwicklung Ihrer Strategie zur Zertifikatsbereitstellung wirkt sich die Wahl zwischen SCEP und PKCS direkt auf die Sicherheit aus. Die folgende Tabelle fasst die wesentlichen Unterschiede zusammen.

Attribut SCEP PKCS
Generierung des privaten Schlüssels Auf dem Gerät (Secure Enclave) Auf dem CA-Server
Übertragung des privaten Schlüssels Wird niemals übertragen Wird über das Netzwerk übertragen
Infrastrukturanforderungen Erfordert einen NDES-Server Kein NDES erforderlich
Bestens geeignet für WiFi und VPN-Authentifizierung S/MIME-E-Mail-Verschlüsselung
Sicherheitsniveau für 802.1X Empfohlen Nicht empfohlen

Für Enterprise WiFi mit SCEP sollten Sie immer SCEP wählen. Dass der private Schlüssel auf dem Gerät verbleibt, ist die grundlegende Sicherheitseigenschaft, die eine zertifikatsbasierte 802.1X-Authentifizierung jeder anmeldedatenbasierten Authentifizierungsmethode überlegen macht.

Der BYOD Self-Service Onboarding-Flow

Die Grundlage für ein sicheres BYOD-Onboarding ist der Übergang von einer Legacy-Authentifizierung zu EAP-TLS, ohne dass eine vollständige Registrierung im Mobile Device Management (MDM) erforderlich ist. Die Mitarbeiter dazu zu zwingen, persönliche Smartphones im MDM des Unternehmens zu registrieren, wirft berechtigte Datenschutzbedenken auf und stößt auf starken Widerstand. Ein Self-Service Onboarding-Portal löst dieses Problem.

Benutzer verbinden ihr persönliches Gerät mit einer dedizierten Bereitstellungs-SSID, die als Walled Garden fungiert und den Zugriff auf das Onboarding-Portal und den Identity Provider beschränkt. Benutzer authentifizieren sich über SAML- oder OAuth-Integration mit Microsoft Entra ID, Okta oder Google Workspace. Nach erfolgreicher Authentifizierung generiert das System über SCEP ein eindeutiges, gerätespezifisches Client-Zertifikat. Ein Konfigurationsprofil (eine .mobileconfig-Datei für Apple oder ein Android Passpoint-Profil) wird auf das Gerät übertragen. Das Gerät verbindet sich anschließend automatisch über EAP-TLS mit der sicheren Unternehmens-SSID. Der Benutzer muss keinerlei Kenntnisse über Zertifikate oder 802.1X besitzen.

Implementierungsleitfaden: Die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration von SCEP für 802.1X erfordert die strikte Einhaltung einer bestimmten Bereitstellungsreihenfolge. Vertrauen muss aufgebaut werden, bevor die Authentifizierung konfiguriert werden kann. Das Abweichen von dieser Reihenfolge ist die häufigste Ursache für fehlerhafte Bereitstellungen.

Schritt 1: Bereitstellung des Trusted Root-Zertifikats. Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es zunächst der ausstellenden Zertifizierungsstelle (CA) vertrauen. Exportieren Sie Ihr Root-CA-Zertifikat (und alle zwischengeschalteten CA-Zertifikate) als .cer-Datei. Stellen Sie dieses Profil über Ihre MDM-Plattform für Ihre Zielgerätegruppen bereit. Dieser Schritt ist nicht verhandelbar.

Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils. Dies weist Geräte an, wie sie ihr Client-Zertifikat erhalten. Konfigurieren Sie das Format des Subject Name - für die benutzergesteuerte Authentifizierung ist der Standard CN={{UserPrincipalName}}; für die Geräteauthentifizierung verwenden Sie CN={{AAD_Device_ID}}. Legen Sie die Schlüsselverwendung auf Digitale Signatur und Schlüsselverschlüsselung fest. Geben Sie unter der erweiterten Schlüsselverwendung Client-Authentifizierung (OID: 1.3.6.1.5.5.7.3.2) an. Verknüpfen Sie dieses Profil mit dem Trusted Root-Zertifikatsprofil aus Schritt 1. Geben Sie die externe URL Ihres NDES-Servers an.

Schritt 3: Bereitstellung des 802.1X WiFi-Profils. Übertragen Sie die WiFi-Konfiguration, die das Zertifikat an die Netzwerk-SSID bindet. Geben Sie den Netzwerknamen genau so ein, wie er von Ihren Access Points (APs) gesendet wird. Stellen Sie den Sicherheitstyp auf WPA2-Enterprise oder WPA3-Enterprise ein. Stellen Sie den EAP-Typ auf EAP-TLS ein. Wählen Sie das SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus. Geben Sie das Trusted Root-Zertifikat für die Servervalidierung an, um sicherzustellen, dass sich Geräte nur mit Ihrem legitimen RADIUS-Server verbinden.

Diese Reihenfolge gilt für alle unterstützten Hardwareplattformen: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet. Das hardwareunabhängige Cloud-Overlay von Purple lässt sich in all diese Plattformen integrieren, sodass Ihre Zertifikatsinfrastruktur nicht an einen einzigen Hardware-Anbieter gebunden ist.

Best Practices

NDES über Azure AD Application Proxy veröffentlichen. Der NDES-Server muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Bereitstellung eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Die Veröffentlichung über den Azure AD Application Proxy bietet sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsablauf anzuwenden.

Kurzlebige Zertifikate für BYOD ausstellen. Da BYOD-Geräte nicht verwaltet werden, ist das Risiko, dass ein kompromittiertes Gerät im Netzwerk verbleibt, höher. Stellen Sie Zertifikate aus, die nur für 90 Tage statt für mehrere Jahre gültig sind. Wenn ein Zertifikat abläuft, muss sich der Benutzer erneut über das Onboarding-Portal authentifizieren. Dies entfernt inaktive Geräte ganz natürlich und ohne manuelles Eingreifen der IT aus dem Netzwerk.

Strikte CRL-Prüfung auf dem RADIUS-Server erzwingen. Die Zertifikatsbereitstellung ist nur die halbe Miete beim Thema Sicherheit. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht die Deaktivierung seines Active Directory-Kontos möglicherweise nicht sofort seinen WiFi-Zugang, solange sein Client-Zertifikat gültig bleibt. Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strikte Prüfung der Zertifikatssperrliste (CRL) erzwingt. Stellen Sie sicher, dass Ihr CRL-Verteilungspunkt (CDP) hochverfügbar ist. Wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung für alle Benutzer fehl, was zu einem großflächigen Ausfall führt.

BYOD in ein dediziertes VLAN segmentieren. BYOD-Geräte sind nicht verwaltet. Sie haben keine Kontrolle über deren Betriebssystem-Updates, den Antiviren-Status oder installierte Anwendungen. Platzieren Sie BYOD-Geräte in einem dedizierten VLAN, das nur Internetzugang bietet und auf die spezifischen internen Anwendungen beschränkt ist, die für die Rolle des Mitarbeiters erforderlich sind. Platzieren Sie BYOD-Geräte niemals im selben VLAN wie Unternehmensserver oder verwaltete Geräte.

byod_vs_psk_comparison.png

Fehlerbehebung und Risikominderung

WiFi-Profil kann nicht angewendet werden. Das Gerät hat das vertrauenswürdige Stammzertifikat und das SCEP-Zertifikat erhalten, aber das WiFi-Profil wird in der MDM-Konsole als "Fehler" angezeigt. Dies wird fast immer durch eine Diskrepanz bei der Gruppenzuweisung verursacht. Wenn das SCEP-Profil einer "Benutzergruppe" zugewiesen ist, während das WiFi-Profil einer "Gerätegruppe" zugewiesen ist, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen und stellen Sie sicher, dass das vertrauenswürdige Stammzertifikat, das SCEP- und das WiFi-Profil alle genau auf dieselbe Azure AD-Gruppe ausgerichtet sind.

NDES 403 Forbidden-Fehler. Geräte können keine SCEP-Zertifikate abrufen, und die NDES-IIS-Protokolle zeigen HTTP 403-Fehler. Dies liegt höchstwahrscheinlich daran, dass dem Connector-Dienstkonto die erforderlichen Berechtigungen für die Zertifikatvorlage fehlen oder Ihre Firewall die von SCEP verwendeten spezifischen Abfragezeichenfolgen-Parameter blockiert. Vergewissern Sie sich, dass das Connector-Konto über die Berechtigungen "Lesen" und "Registrieren" für die CA-Vorlage verfügt. Überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass URLs, die ?operation=GetCACaps enthalten, nicht blockiert werden.

Android-Fragmentierung. Apple iOS-Geräte verarbeiten .mobileconfig-Profile sehr konsistent. Android hingegen ist stark fragmentiert - verschiedene Hersteller und OS-Versionen handhaben WiFi-Profile und die Zertifikatsinstallation unterschiedlich. Stellen Sie im Onboarding-Portal klare, OS-spezifische Anweisungen bereit. Die Verwendung von Passpoint (Hotspot 2.0) bietet einen konsistenten Verbindungsfluss über verschiedene Hersteller hinweg und verbessert das Android-Erlebnis erheblich.

Verzögerungen bei der Zertifikatssperrung. Wenn ein Mitarbeiter das Unternehmen verlässt, muss sein Zugriff sofort widerrufen werden. Das Deaktivieren seines IdP-Kontos ist der erste Schritt, aber der RADIUS-Server muss auch den Zertifikatsstatus validieren. Konfigurieren Sie Ihren RADIUS-Server so, dass er zusätzlich zur CRL-Prüfung das Online Certificate Status Protocol (OCSP) verwendet. OCSP bietet einen Echtzeit-Sperrstatus, anstatt sich auf eine regelmäßig aktualisierte Liste zu verlassen.

ROI und geschäftliche Auswirkungen

Der Übergang zur SCEP 802.1X-Zertifikatsbereitstellung liefert messbare Erträge sowohl in der Sicherheit als auch im Betrieb. Passwortbasiertes WiFi erzeugt ein hohes Aufkommen an Helpdesk-Tickets durch abgelaufene Passwörter, Sperrungen und Tippfehler. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar - Geräte verbinden sich automatisch. Dies reduziert den WiFi-bezogenen Helpdesk-Arbeitsaufwand in der Regel um 70 %, wodurch die IT-Mitarbeiter entlastet werden und sich auf strategische Aufgaben konzentrieren können.

EAP-TLS eliminiert das Risiko von Credential Harvesting und Man-in-the-Middle (MitM)-Angriffen. Dies ist entscheidend für die PCI-DSS-Compliance in Einzelhandels- Umgebungen und die GDPR-Compliance in allen Branchen. Im Gastgewerbe , wo Mitarbeiter Zahlungsdaten und persönliche Informationen von Gästen verarbeiten, übersteigen die Kosten einer Datenpanne die Kosten für die Bereitstellung einer gut durchdachten PKI-Infrastruktur bei Weitem. Dieselben Compliance-Treiber gelten für Transportunternehmen und Einrichtungen im Gesundheitswesen .

Für Standorte, die bereits die Plattformen für Guest WiFi und WiFi Analytics von Purple nutzen, bietet die Erweiterung des sicheren Onboardings auf BYOD-Geräte der Mitarbeiter eine einheitliche und robuste Netzwerkmanagement-Strategie. Purple ist an mehr als 80.000 physischen Standorten weltweit im Einsatz, verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple) und verfügt über die Zertifizierungen ISO 27001, GDPR, CCPA und Cyber Essentials. Unsere Sicherheits-Add-ons SecurePass und Shield lassen sich direkt in die in diesem Handbuch beschriebene zertifikatsbasierte Authentifizierungsarchitektur integrieren.

Für eine breitere Perspektive auf die Sicherheit von Unternehmensnetzwerken lesen Sie unseren Enterprise WiFi Security: Der komplette Leitfaden für 2026 . Für spezifische Überlegungen zur GDPR-Compliance für Netzwerkadministratoren siehe Der Leitfaden für Netzwerkadministratoren zur Einhaltung der GDPR und des Schutzes von Gästedaten .

Schlüsseldefinitionen

SCEP (Simple Certificate Enrolment Protocol)

Ein in RFC 8894 definiertes Protokoll, das die Ausstellung digitaler X.509-Zertifikate an Geräte innerhalb einer PKI-Umgebung automatisiert. Das Gerät generiert seinen eigenen privaten Schlüssel lokal, der das Gerät niemals verlässt.

Wird verwendet, um WiFi-Authentifizierungszertifikate in großem Umfang ohne manuelle IT-Eingriffe auf Unternehmens- und BYOD-Geräten bereitzustellen. Der Branchenstandard für die 802.1X-Zertifikatsbereitstellung.

802.1X

Ein IEEE-Standard (IEEE Std 802.1X-2020) für die portbasierte Netzwerkzugriffskontrolle. Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung mit einem LAN oder WLAN herstellen möchten, bevor ihnen Zugriff auf Netzwerkressourcen gewährt wird.

Die Grundlage für sicheres Enterprise WiFi, das anfällige Pre-Shared Keys ersetzt. Erfordert einen RADIUS-Server, einen Supplicant auf dem Client-Gerät und einen Authenticator auf dem Access Point.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Ein Authentifizierungs-Framework, bei dem sowohl der Server als auch der Client gültige digitale Zertifikate vorlegen müssen. Bietet gegenseitige Authentifizierung, um sicherzustellen, dass das Gerät dem Netzwerk und das Netzwerk dem Gerät vertraut.

Die sicherste Methode für die 802.1X-Authentifizierung. Eliminiert Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffe. Das Ziel-Authentifizierungsprotokoll, das durch die Bereitstellung von SCEP-Zertifikaten ermöglicht werden soll.

NDES (Network Device Enrolment Service)

Eine Microsoft Windows-Serverrolle, die als Brücke fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate von einer Active Directory-Zertifikatsdienst-Zertifizierungsstelle über SCEP zu beziehen.

Eine erforderliche Infrastrukturkomponente bei der Implementierung von SCEP mit Microsoft Intune. Sollte über den Azure AD-Anwendungsproxy veröffentlicht werden, um eine sichere Bereitstellung von Remote-Zertifikaten zu ermöglichen.

BYOD (Bring Your Own Device)

Die Praxis, Mitarbeitern die Nutzung ihrer persönlichen Smartphones, Tablets oder Laptops für den Zugriff auf Unternehmensnetzwerke und -anwendungen zu gestatten.

Erfordert eine sorgfältige Netzwerksegmentierung und ein sicheres Onboarding, um zu verhindern, dass nicht verwaltete Geräte das Unternehmensnetzwerk gefährden. Eine vollständige MDM-Registrierung ist für persönliche Geräte aufgrund von Datenschutzbedenken oft unpraktisch.

CRL (Certificate Revocation List)

Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die vor ihrem Ablaufdatum widerrufen wurden.

Muss vom RADIUS-Server bei jedem Authentifizierungsversuch überprüft werden, um sicherzustellen, dass ausgeschiedene Mitarbeiter oder kompromittierte Geräte nicht auf das Netzwerk zugreifen können. CRL-Verteilungspunkte müssen hochverfügbar sein.

CSR (Certificate Signing Request)

Eine von einem Gerät generierte und an eine Zertifizierungsstelle gesendete Nachricht, um ein digitales Identitätszertifikat zu beantragen. Enthält den öffentlichen Schlüssel des Geräts und Identitätsinformationen.

Wird während des SCEP-Prozesses vom Gerät generiert. Der zur Signierung der CSR verwendete private Schlüssel verbleibt auf dem Gerät und wird niemals übertragen.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung (AAA) für Benutzer und Geräte bietet, die eine Verbindung zu einem Netzwerk herstellen.

Der Server, der das Client-Zertifikat während der 802.1X-Authentifizierung validiert und den Netzwerkzugriff gewährt oder verweigert. Muss so konfiguriert sein, dass eine strenge CRL- oder OCSP-Überprüfung erzwungen wird.

PKCS (Public Key Cryptography Standards)

Ein Satz von Standards, bei dem sowohl der öffentliche als auch der private Schlüssel von der Zertifizierungsstelle generiert und dann sicher an den Endpunkt übermittelt werden.

Weniger gut geeignet für die WiFi-Authentifizierung als SCEP, da der private Schlüssel über das Netzwerk übertragen wird. Besser geeignet für S/MIME-E-Mail-Verschlüsselung, bei der eine Schlüsselhinterlegung erforderlich ist.

OCSP (Online Certificate Status Protocol)

Ein Protokoll, das den Zertifikatswiderrufsstatus in Echtzeit bereitstellt, als Alternative zur regelmäßig aktualisierten CRL.

Wird in hochsicheren Umgebungen gegenüber CRL bevorzugt, da es den sofortigen Widerrufsstatus liefert, anstatt sich auf eine Liste zu verlassen, die unter Umständen bereits einige Stunden alt ist.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss 50 Reinigungskräften sicheren WiFi-Zugang gewähren, damit diese ihre persönlichen Smartphones (BYOD) für den Zugriff auf die Reinigungsplanungs-App nutzen können. Der IT-Manager möchte eine vollständige MDM-Registrierung vermeiden, um die Privatsphäre der Mitarbeiter zu respektieren, muss jedoch sicherstellen, dass der Zugriff sofort entzogen wird, wenn ein Mitarbeiter ausscheidet.

Das Hotel implementiert ein Self-Service-Onboarding-Portal, das in Microsoft Entra ID integriert ist. Die Mitarbeiter verbinden sich mit einer offenen Bereitstellungs-SSID, authentifizieren sich mit ihren Entra ID-Anmeldedaten und laden ein SCEP-Profil herunter. Der SCEP-Server stellt ein 30 Tage gültiges Client-Zertifikat direkt für das Gerät aus, wobei der private Schlüssel lokal generiert und im sicheren Enklave-Speicher des Smartphones gespeichert wird. Das Gerät verbindet sich automatisch über EAP-TLS mit der SSID "Staff_WiFi". Der RADIUS-Server weist diese Geräte einem eingeschränkten VLAN zu, das nur den Zugriff auf die Planungs-App und das Internet erlaubt. Scheidet ein Mitarbeiter aus, wird sein Entra ID-Konto deaktiviert. Der RADIUS-Server, der für eine strikte CRL-Prüfung konfiguriert ist, verweigert beim nächsten Authentifizierungsversuch den Netzwerkzugriff. Die 30-tägige Zertifikatsgültigkeit stellt sicher, dass der Zugriff selbst bei einer Verzögerung der CRL-Prüfung innerhalb eines Monats erlischt.

Kommentar des Prüfers: Dieser Ansatz schafft ein Gleichgewicht zwischen Sicherheit und der Privatsphäre der Mitarbeiter. Durch die Nutzung von SCEP über ein Captive Portal anstelle einer vollständigen MDM-Registrierung vermeidet das Hotel die Installation eines Verwaltungsprofils auf persönlichen Geräten. Die 30-tägige Zertifikatsgültigkeit und die strikte CRL-Prüfung bieten eine mehrstufige Zugriffskontrolle. Die VLAN-Segmentierung stellt sicher, dass selbst ein kompromittiertes BYOD-Gerät keine Unternehmensserver oder Zahlungssysteme erreichen kann.

Eine nationale Einzelhandelskette mit 500 Filialen muss sicheres WiFi für unternehmenseigene Point-of-Sale (POS)-Tablets unter Windows bereitstellen. Der Netzwerkarchitekt muss sicherstellen, dass selbst bei Diebstahl eines Tablets die Netzwerkanmeldedaten nicht extrahiert und verwendet werden können, um von einem anderen Gerät aus auf das Unternehmensnetzwerk zuzugreifen. Die Einhaltung von PCI-DSS ist zwingend erforderlich.

Der Netzwerkarchitekt konfiguriert Microsoft Intune so, dass Zertifikate über SCEP bereitgestellt werden. Intune überträgt das Trusted Root-Zertifikat an die Gerätegruppe "POS Devices", gefolgt von einem SCEP-Profil, das jedes Tablet anweist, seinen eigenen privaten Schlüssel im Windows-TPM zu generieren. Das Tablet sendet einen CSR an den NDES-Server, erhält das Client-Zertifikat und verbindet sich über WPA3-Enterprise und EAP-TLS mit der SSID "Retail_POS". Der RADIUS-Server authentifiziert das Zertifikat und platziert das Gerät im isolierten POS-VLAN, das nur Datenverkehr zum Zahlungsabwickler und zum Bestandsverwaltungssystem zulässt. Alle drei Intune-Profile - Trusted Root, SCEP und WiFi - sind derselben Gerätegruppe "POS Devices" zugewiesen, um Abhängigkeitsfehler zu vermeiden. NDES wird über den Azure AD-Anwendungsproxy veröffentlicht, um die Zertifikatsverlängerung zu ermöglichen, ohne dass sich das Tablet vor Ort befinden muss.

Kommentar des Prüfers: Dies ist die optimale Architektur für Unternehmensgeräte in einer PCI-DSS-Umgebung. Da SCEP sicherstellt, dass der private Schlüssel lokal im TPM generiert und niemals übertragen wird, können die Anmeldedaten eines gestohlenen Tablets nicht extrahiert und von einem anderen Gerät aus repliziert werden. Der WPA3-Enterprise-Standard bietet Forward Secrecy und stellt sicher, dass erfasster Datenverkehr nicht nachträglich entschlüsselt werden kann. Die VLAN-Isolierung begrenzt den Schadensradius eines kompromittierten Geräts ausschließlich auf das POS-Netzwerksegment.

Übungsfragen

Q1. Sie stellen ein SCEP-Profil über Intune für eine Flotte von Windows-Laptops bereit. Die Geräte empfangen das Trusted Root-Zertifikat erfolgreich, aber das WiFi-Profil kann nicht angewendet werden und wird in der Intune-Konsole als „Fehler“ angezeigt. Das SCEP-Profil ist der Azure AD-Gruppe „All Users“ zugewiesen, während das WiFi-Profil der Gerätegruppe „Corporate Laptops“ zugewiesen ist. Was ist die Ursache für den Fehler und wie beheben Sie ihn?

Hinweis: Berücksichtigen Sie die Abhängigkeiten zwischen den Profilen und wie Intune die Gruppenzuweisung auflöst, wenn ein Profil von einem anderen Profil abhängt.

Musterlösung anzeigen

Der Fehler wird durch eine Nichtübereinstimmung bei der Gruppenzuordnung verursacht. Intune kann die Abhängigkeit zwischen dem SCEP-Profil und dem WiFi-Profil nicht auflösen, da sie auf unterschiedliche Gruppentypen abzielen - eine auf Benutzer und die andere auf Geräte. Um dies zu beheben, überprüfen Sie alle drei Profilzuweisungen und stellen Sie sicher, dass die Trusted Root-, SCEP- und WiFi-Profile alle derselben Azure AD-Gruppe zugewiesen sind. Wählen Sie konsistent für alle Profile entweder die Benutzer- oder die Gerätezuordnung.

Q2. Ein Einzelhandelsstandort möchte seine POS-Tablets sichern. Der IT-Leiter schlägt vor, PKCS anstelle von SCEP zu verwenden, da dies die Infrastruktur vereinfacht, da kein NDES-Server erforderlich ist. Warum sollten Sie als Netzwerkarchitekt SCEP für die 802.1X WiFi-Authentifizierung empfehlen, und unter welchen Umständen wäre PKCS die richtige Wahl?

Hinweis: Überlegen Sie, wo der private Schlüssel in beiden Protokollen generiert und gespeichert wird, und berücksichtigen Sie die Sicherheitsaspekte für die Netzwerkauthentifizierung im Vergleich zur E-Mail-Verschlüsselung.

Musterlösung anzeigen

Empfehlen Sie SCEP für die 802.1X WiFi-Authentifizierung, da der private Schlüssel lokal auf dem Gerät generiert und in dessen Hardware-Sicherheits-Enklave gespeichert wird. Der private Schlüssel verlässt das Gerät nie und wird niemals über das Netzwerk übertragen. Wenn ein Tablet gestohlen wird, können die Zugangsdaten nicht extrahiert und von einem anderen Gerät aus verwendet werden. Bei PKCS generiert die CA das Schlüsselpaar zentral und überträgt es an das Gerät, was ein Übertragungsrisiko darstellt, das für die Netzwerkauthentifizierung inakzeptabel ist. PKCS ist nur für die S/MIME-E-Mail-Verschlüsselung die richtige Wahl, bei der ein Key-Escrow erforderlich ist, damit verschlüsselte E-Mails entschlüsselt werden können, wenn das ursprüngliche Gerät verloren geht.

Q3. Sie entwerfen ein BYOD-Onboarding-Portal für ein Krankenhaus mit 500 Betten. Das klinische Personal wird seine persönlichen Smartphones nutzen, um auf unkritische interne Apps wie den Dienstplan und das interne Messaging zuzugreifen. Sie müssen das Risiko minimieren, dass veraltete Geräte im Netzwerk verbleiben, nachdem Mitarbeiter das Unternehmen verlassen haben, ohne dass bei jedem Ausscheiden ein manueller IT-Eingriff erforderlich ist. Welche spezifische Zertifikatskonfiguration sollten Sie implementieren?

Hinweis: Berücksichtigen Sie den Lebenszyklus des Zertifikats und wie Sie Geräte dazu zwingen können, sich regelmäßig neu zu authentifizieren, ohne dass die IT jedes Zertifikat manuell widerrufen muss.

Musterlösung anzeigen

Implementieren Sie kurzlebige Zertifikate mit einer Gültigkeitsdauer von 30 bis 90 Tagen. Wenn das Zertifikat abläuft, muss sich das BYOD-Gerät über das Captive Portal mit den IdP-Zugangsdaten des Mitarbeiters neu authentifizieren. Wenn der Mitarbeiter das Unternehmen verlassen hat und sein IdP-Konto deaktiviert wurde, kann er die erneute Authentifizierung nicht abschließen und erhält kein neues Zertifikat. Dadurch werden veraltete Geräte automatisch aus dem Netzwerk entfernt, ohne dass die IT einzelne Zertifikate manuell widerrufen muss. Kombinieren Sie dies mit einer OCSP-Prüfung auf dem RADIUS-Server, um einen sofortigen Widerruf zu gewährleisten, wenn ein Konto deaktiviert wird, was eine zusätzliche Sicherheitsstufe zwischen den Zertifikatsablaufzyklen bietet.

Q4. Ihr NDES-Server gibt bei allen SCEP-Zertifikatsanforderungen den Fehler „HTTP 403 Forbidden“ zurück. Der NDES-Server ist über den Azure AD-Anwendungsproxy aus dem Internet erreichbar. Was sind die zwei wahrscheinlichsten Ursachen für diesen Fehler und wie diagnostizieren Sie diese jeweils?

Hinweis: Berücksichtigen Sie sowohl die Berechtigungen der Zertifikatsvorlage als auch den Netzwerkpfad zwischen dem Gerät und dem NDES-Server.

Musterlösung anzeigen

Die beiden wahrscheinlichsten Ursachen sind: Erstens verfügt das Dienstkonto des Intune Certificate Connector nicht über die erforderlichen Berechtigungen für die CA-Zertifikatsvorlage. Verifizieren Sie, dass das Dienstkonto in der CA-Konsole über die Berechtigungen "Lesen" und "Registrieren" für die Vorlage verfügt. Zweitens blockiert die Firewall oder der Anwendungsproxy die spezifischen Abfragezeichenfolgen-Parameter, die von SCEP verwendet werden. Überprüfen Sie die Firewall- und Anwendungsproxy-Protokolle auf Anfragen, die Parameter wie "?operation=GetCACaps" oder "?operation=PKIOperation" enthalten. Dies sind Standard-SCEP-Operationen, die zugelassen werden müssen. Wenn der Anwendungsproxy Abfragezeichenfolgen entfernt, passen Sie die Vorauthentifizierungseinstellungen so an, dass der Passthrough für den NDES-URL-Pfad zulässig ist.

Weiterlesen in dieser Reihe

Wie Sie Mitarbeiter- und Gäste-WiFi-Netzwerke sicher trennen

Dieser maßgebliche technische Leitfaden bietet IT-Leitern umsetzbare Strategien zur sicheren Trennung von Mitarbeiter-, Gäste- und IoT-WiFi-Netzwerken mithilfe von VLANs und 802.1X. Er beschreibt im Detail, wie Sie die Infrastruktur Ihres Unternehmens sichern, die PCI-DSS-Compliance wahren und Captive Portale nutzen, um First-Party-Daten zu erfassen.

Leitfaden lesen →

Beste DNS-Filterung: Ein umfassender Leitfaden für Unternehmen

Dieser technische Leitfaden erklärt, wie DNS-Filterung der Enterprise-Klasse öffentliche Netzwerke sichert, indem bösartige Domains auf der Auflösungsebene blockiert werden - noch bevor eine Verbindung hergestellt wird. Er bietet IT-Leitern, Netzwerkarchitekten und Venue-Operations-Teams die Deployment-Architektur, Firewall-Konfiguration und den Compliance-Kontext, die sie benötigen, um Guest WiFi in der Hotellerie, im Einzelhandel und im öffentlichen Sektor zu schützen. Purple Shield blockiert Malware, Botnets und unangemessene Inhalte auf DNS-Ebene an über 80.000 Live-Standorten.

Leitfaden lesen →

Cisco SUDI verstehen: Hardware-verankerte Identität bei der sicheren Netzwerk-Zugangskontrolle

Dieser Leitfaden erklärt, wie Cisco SUDI eine hardware-verankerte, kryptografisch sichere Identität für die IT-Infrastruktur von Unternehmen bereitstellt. Erfahren Sie, wie Sie fälschbare MAC-Adressen durch unveränderliche 802.1AR-Zertifikate ersetzen, um die Netzwerk-Zugangskontrolle Ihres Standorts zu sichern.

Leitfaden lesen →