EAP-TLS vs EAP-TTLS: Welches zertifikatsbasierte WiFi Protokoll sollten Sie wählen?
Dieser Leitfaden bietet einen definitiven, direkten Vergleich von EAP-TLS und EAP-TTLS für die WiFi Authentifizierung in Unternehmen unter 802.1X. Er erklärt den architektonischen Unterschied zwischen gegenseitiger Zertifikatsauthentifizierung und reiner Server-Zertifikatstunnelung und bietet IT-Managern, Netzwerkarchitekten und CISOs einen klaren Entscheidungsrahmen auf der Grundlage von Geräteverwaltungsfunktionen und Compliance-Anforderungen. Purple unterstützt sowohl EAP-TLS- als auch EAP-TTLS-Authentifizierungspfade für Mitarbeiter-WiFi, und dieser Leitfaden hilft Unternehmen, die infrastrukturellen Kompromisse zu verstehen, bevor sie sich für einen der beiden Ansätze entscheiden.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Technischer Deep-Dive
- Architektur von EAP-TLS
- Struktur von EAP-TTLS
- Vergleich im direkten Vergleich
- Implementierungshandbuch
- Bereitstellung von EAP-TLS für verwaltete Geräteflotten
- Bereitstellung von EAP-TTLS für gemischte Umgebungen
- Best Practices
- Server-Zertifikatsvalidierung auf jedem Client erzwingen
- Automatisiertes Zertifikats-Lifecycle-Management
- Segmentieren Sie Ihr Netzwerk nach Authentifizierungsmethode
- Zeitsynchronisation in der gesamten Infrastruktur
- Fehlerbehebung und Risikominimierung
- Unknown CA (Unbekannte CA) Fehler
- EAP-Methoden-Fehlanpassung
- Massenausfälle aufgrund abgelaufener Zertifikate
- Fehlkonfiguration des RADIUS-Clients
- Compliance und Einhaltung gesetzlicher Vorschriften
- ROI und geschäftliche Auswirkungen

Management-Zusammenfassung
Die Wahl der richtigen EAP-Methode für Ihre 802.1X Implementierung entscheidet darüber, ob Ihr Enterprise WiFi wirklich sicher oder nur auf dem Papier konform ist. EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definiert in RFC 5216, erfordert eine gegenseitige Zertifikatsauthentifizierung: Sowohl das Client-Gerät als auch der RADIUS-Server legen gültige X.509-Zertifikate vor, bevor der Netzwerkzugriff gewährt wird. Zu keinem Zeitpunkt werden Passwörter ausgetauscht. EAP-TTLS (Tunneled Transport Layer Security), definiert in RFC 5281, erfordert nur ein serverseitiges Zertifikat, um einen verschlüsselten TLS-Tunnel aufzubauen, in dem sich der Client mit vorhandenen Verzeichnis-Anmeldedaten authentifiziert.
Für CTOs und Netzwerkarchitekten, die die Infrastruktur in Einzelhandelsketten, Hotel- und Gastronomiebetrieben sowie Organisationen des öffentlichen Sektors verwalten, läuft diese Entscheidung auf eine Frage hinaus: Verwalten Sie die Geräte? Wenn Sie die Geräteflotte über MDM kontrollieren, ist EAP-TLS die definitive Wahl. Wenn Sie eine vielfältige BYOD-Umgebung unterstützen oder keine robuste Public Key Infrastructure (PKI) besitzen, bietet EAP-TTLS eine pragmatische, hochsichere Alternative. Purple unterstützt beide Authentifizierungswege für Mitarbeiter-WiFi an über 80.000 Live-Standorten.

Technischer Deep-Dive
Architektur von EAP-TLS
EAP-TLS basiert auf einem gegenseitigen Authentifizierungsmodell innerhalb des IEEE 802.1X portbasierten Zugriffskontroll-Frameworks. Jeder Authentifizierungsaustausch umfasst drei Kernkomponenten: den Supplicant (Client-Gerät), den Authenticator (Wireless Access Point) und den Authentifizierungsserver (RADIUS-Server). Der Access Point trifft die Authentifizierungsentscheidung nicht selbst. Er fungiert als transparentes Relay, kapselt EAP-Nachrichten in RADIUS-Pakete und leitet diese an den Authentifizierungsserver weiter. Der EAP-TLS Handshake läuft wie folgt ab. Der Access Point sendet einen EAP-Request/Identity an das verbindende Gerät. Das Gerät antwortet mit seiner Identität. Der RADIUS-Server initiiert den TLS Handshake mit einer EAP-TLS/Start-Nachricht. Der Client sendet ein ClientHello und kündigt seine unterstützten TLS-Verschlüsselungssammlungen an. Der RADIUS-Server antwortet mit einem ServerHello, seinem X.509-Serverzertifikat und einer Zertifikatsanforderung. Der Client validiert das Serverzertifikat anhand seines Speichers für vertrauenswürdige Root-CAs. Schlägt die Validierung fehl, wird der Handshake abgebrochen - was Schutz vor betrügerischen Access Points bietet. Der Client legt dann sein eigenes X.509-Zertifikat vor. Der RADIUS-Server validiert das Client-Zertifikat, prüft die Signaturkette bis zur vertrauenswürdigen Root-CA, verifiziert, dass das Zertifikat nicht abgelaufen ist, und prüft die Zertifikatssperrliste (CRL) oder fragt OCSP ab. Erst wenn beide Parteien zufrieden sind, wird der TLS-Tunnel etabliert und der Netzwerkzugriff gewährt.
Da keine Passwörter ausgetauscht werden, ist EAP-TLS sicher vor Offline-Wörterbuchangriffen, Credential Stuffing und Phishing. Es ist die einzige EAP-Methode, die die WPA3-Enterprise 192-Bit (Suite B) Anforderungen erfüllt, und sie wird von PCI-DSS 4.0 für Karteninhaber-Datenumgebungen sowie von NIST SP 800-120 für hochsichere Wireless-Bereitstellungen zwingend vorgeschrieben oder dringend empfohlen.
EAP-TLS erfordert eine PKI. Sie benötigen mindestens eine Offline-Root-CA und eine Online-Ausstellungs-CA. Die Root-CA muss physisch vom Netzwerk getrennt sein (Air-Gap), da ihr privater Schlüssel der Hauptvertrauensanker für Ihre gesamte Zertifikatshierarchie ist. Die ausstellende CA übernimmt die tägliche Zertifikatsausstellung und veröffentlicht CRLs. Client-Zertifikate werden für einzelne Geräte und nicht für Benutzer ausgestellt - dies ist ein Geräte-Identitätsmodell. Diese Unterscheidung ist entscheidend für IoT-Geräte, gemeinsam genutzte Terminals und bildschirmlose (headless) Systeme.
Struktur von EAP-TTLS
EAP-TTLS wurde entwickelt, um eine robuste 802.1X Sicherheit ohne den operativen Aufwand einer Zertifikatsbereitstellung auf jedem Client-Gerät zu bieten. Es arbeitet in zwei Phasen. In der ersten Phase präsentiert der RADIUS-Server sein Zertifikat und baut einen sicheren TLS-Tunnel auf. Nur der Server benötigt ein Zertifikat. In der zweiten Phase wird der Client innerhalb dieses verschlüsselten Tunnels mit einer internen Authentifizierungsmethode autorisiert. Zu den gängigen internen Methoden gehören PAP (Password Authentication Protocol), CHAP und MS-CHAPv2. Der Client sendet seinen Benutzernamen und sein Passwort, aber da dieser Austausch innerhalb des TLS-Tunnels stattfindet, sind die Anmeldedaten bei der Übertragung verschlüsselt und werden niemals über die Luft übertragen.
EAP-TTLS bietet eine hervorragende plattformübergreifende Unterstützung für macOS, Linux, Android und iOS. Der Haken liegt bei Windows: Der integrierte Windows-Supplicant unterstützt EAP-TTLS für kabelloses 802.1X standardmäßig nicht nativ. Umgebungen mit einer hohen Anzahl von Windows-Geräten erfordern möglicherweise einen Supplicant eines Drittanbieters, was die operative Komplexität erhöht. Für Windows-zentrierte Umgebungen ist PEAP mit MS-CHAPv2 oft die pragmatischere Wahl.
Die größte Einschränkung von EAP-TTLS besteht darin, dass es die inhärenten Risiken von Passwörtern nicht beseitigt. Wenn ein Benutzer ein schwaches Passwort wählt, bleibt es anfällig für Offline-Brute-Force-Angriffe. Wenn die interne Authentifizierung PAP verwendet, wird das Passwort im Klartext innerhalb des Tunnels gesendet - was akzeptabel ist, wenn Sie Ihrer RADIUS-Infrastruktur vertrauen, aber ein wesentliches Vertrauensmodell bleibt, das man verstehen muss.
Vergleich im direkten Vergleich
| Funktion | EAP-TLS | EAP-TTLS |
|---|---|---|
| RFC Standard | RFC 5216 | RFC 5281 |
| Client-Zertifikat erforderlich | Ja | Nein |
| Server-Zertifikat erforderlich | Ja | Ja |
| Authentifizierungsmodell | Beidseitig (Mutual) | Nur Server |
| Passwort-Risiko | Keines - Passwortlos | Passwort in verschlüsseltem Tunnel |
| PKI-Anforderung | Vollständige PKI (Root CA + Ausstellende CA + MDM) | Nur Server-Zertifikat |
| WPA3-Enterprise 192-bit | Erforderliche Methode | Nicht unterstützt |
| PCI-DSS 4.0 Konformität | Dringend empfohlen | Akzeptabel mit starker interner Authentifizierung |
| BYOD-Eignung | Niedrig (erfordert Client-Zertifikat) | Hoch (nur Anmeldedaten) |
| IoT-Geräte-Eignung | Hoch (Zertifikat bei Bereitstellung installiert) | Niedrig (keine Benutzeroberfläche zur Eingabe von Anmeldedaten) |
| Windows-native Unterstützung | Ja | Teilweise (erfordert oft Drittanbieter-Supplicant) |
| macOS/Linux/Android Unterstützung | Ja | Ja |
| Komplexität der Bereitstellung | Hoch | Mittel |
Implementierungshandbuch
Bereitstellung von EAP-TLS für verwaltete Geräteflotten
Die Bereitstellung von EAP-TLS erfordert eine funktionierende PKI und eine MDM-Plattform. Eine manuelle Zertifikatsinstallation ist auf Unternehmensebene nicht praktikabel. Sie müssen Ihre PKI über SCEP (Simple Certificate Enrolment Protocol) oder EST (Enrolment over Secure Transport) in Ihr MDM integrieren. Wenn ein firmeneigenes Gerät registriert wird, fordert es sein Zertifikat automatisch an und erhält es ohne Benutzereingriff.
Für das Identitätsmanagement fungiert Purple als kostenloser Identitätsanbieter für Dienste wie OpenRoaming unter der Connect-Lizenz und erleichtert das sichere Roaming über verschiedene Standorte hinweg unter Verwendung der zugrunde liegenden Zertifikats- und Identitäts-Frameworks.
Konfigurieren Sie auf der RADIUS-Seite Ihren Server so, dass er Client-Zertifikate mit Ihrer internen CA abgleicht und CRLs überprüft oder OCSP für die Echtzeit-Sperrprüfung verwendet. Zu den unterstützten RADIUS-Plattformen gehören FreeRADIUS, Microsoft NPS und Cisco ISE. Das Cloud-Overlay von Purple lässt sich in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.
Bereitstellung von EAP-TTLS für gemischte Umgebungen
EAP-TTLS ist die optimale Wahl für Umgebungen mit unverwalteten Geräten. Sie müssen lediglich ein vertrauenswürdiges Zertifikat auf Ihrem RADIUS-Server bereitstellen. Stellen Sie sicher, dass Ihr RADIUS-Server direkt in Ihren Verzeichnisdienst - Microsoft Entra ID, Okta oder Google Workspace - integriert ist, um die internen Anmeldedaten zu validieren. Konfigurieren Sie Ihre über MDM bereitgestellten WiFi-Profile so, dass sie die Validierung des Server-Zertifikats anhand Ihrer spezifischen vertrauenswürdigen CA erzwingen. Ohne diesen Schritt bietet der TLS-Tunnel keinen Schutz vor gefälschten Access Points.

Best Practices
Server-Zertifikatsvalidierung auf jedem Client erzwingen
Der wichtigste Konfigurationsschritt sowohl für EAP-TLS als auch für EAP-TTLS besteht darin, die Server-Zertifikatsvalidierung auf den Client-Geräten zu erzwingen. Wenn ein Gerät das Zertifikat des RADIUS-Servers nicht anhand einer bestimmten vertrauenswürdigen CA validiert, verbindet es sich mit jedem Server, der ein beliebiges Zertifikat vorlegt - einschließlich eines gefälschten Access Points. Geben Sie in Ihren über MDM bereitgestellten WiFi-Profilen immer die vertrauenswürdige CA und den erwarteten Servernamen an. Diese einzige Konfigurationsprüfung ist die effektivste Sicherheitsverbesserung, die Sie heute implementieren können.
Automatisiertes Zertifikats-Lifecycle-Management
Zertifikate laufen ab. Wenn Sie keinen automatisierten Erneuerungsprozess haben, müssen Sie mit massiven Authentifizierungsfehlern rechnen, sobald Zertifikate gleichzeitig ablaufen. Nutzen Sie SCEP oder EST zur Automatisierung von Erneuerungen und konfigurieren Sie Überwachungswarnungen rechtzeitig vor dem Ablaufdatum. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie das Zertifikat sofort. Konfigurieren Sie Ihren RADIUS-Server so, dass er CRLs prüft, oder nutzen Sie OCSP für eine Echtzeit-Validierung.
Segmentieren Sie Ihr Netzwerk nach Authentifizierungsmethode
In großen oder verteilten Umgebungen sollten Sie in Betracht ziehen, beide Protokolle auf separaten SSIDs zu betreiben. Vom Unternehmen verwaltete Geräte authentifizieren sich über EAP-TLS auf einer dedizierten WiFi-SSID für Mitarbeiter. Externe Mitarbeiter und BYOD-Geräte authentifizieren sich über EAP-TTLS auf einer separaten SSID mit entsprechender VLAN-Segmentierung. Dieses Muster ist in Hotelgruppen wie Premier Inn und Whitbread weit verbreitet, wo Mitarbeitergeräte verwaltet und mit Zertifikaten versehen werden, während die Infrastruktur für Gäste einen separaten Authentifizierungspfad nutzt. Weitere Informationen zur SSID-Architektur finden Sie in unserem Leitfaden Three SSIDs to rule them all: the WiFi design for guest, staff and IoT .
Zeitsynchronisation in der gesamten Infrastruktur
Die Zertifikatsvalidierung beruht auf einer präzisen Systemzeit. Uhrzeitabweichungen auf Client-Geräten oder RADIUS-Servern führen zu Fehlern wie "noch nicht gültig" oder "abgelaufen", die schwer zu diagnostizieren sind. Stellen Sie sicher, dass alle Infrastrukturkomponenten mit zuverlässigen NTP-Servern synchronisiert sind.
Fehlerbehebung und Risikominimierung
Unknown CA (Unbekannte CA) Fehler
Wenn RADIUS-Protokolle "unknown CA" anzeigen, vertraut das Client-Gerät der CA nicht, die das Zertifikat des RADIUS-Servers ausgestellt hat. Überprüfen Sie, ob Ihr MDM-Profil das Root-CA-Zertifikat enthält und der Supplicant so konfiguriert ist, dass er diesem vertraut. Senden Sie nach einer CA-Rotation oder einer Zertifikatsverlängerung das aktualisierte CA-Bundle erneut an alle Geräte.
EAP-Methoden-Fehlanpassung
Wenn sich Geräte mit dem Access Point verbinden, aber die Authentifizierung fehlschlägt, prüfen Sie, ob die auf dem Client konfigurierte EAP-Methode mit der vom RADIUS-Server akzeptierten Methode übereinstimmt. Ein für EAP-TLS eingerichtetes Geräteprofil schlägt auf einem RADIUS-Server fehl, der nur für PEAP konfiguriert ist.
Massenausfälle aufgrund abgelaufener Zertifikate
Wenn eine große Anzahl von Geräten gleichzeitig die Authentifizierung verweigert, überprüfen Sie zuerst die Ablaufdaten der Zertifikate. Dies ist die häufigste Ursache für Massenausfälle von 802.1X in EAP-TLS-Bereitstellungen. Implementieren Sie ein Überwachungssystem, das 60 Tage, 30 Tage und sieben Tage vor dem Ablauf Warnmeldungen sendet.
Fehlkonfiguration des RADIUS-Clients
Jeder Access Point oder Wireless-Controller muss als RADIUS-Client mit der korrekten IP-Adresse und dem gemeinsamen Geheimnis (Shared Secret) definiert sein. Abweichungen führen zu Authentifizierungs-Timeouts, die oft fälschlicherweise der EAP-Methode zugeschrieben werden. Aktivieren Sie von Tag eins an eine detaillierte RADIUS-Protokollierung. Weitere Anleitungen zur Fehlerbehebung bei WiFi finden Sie in unserem Leitfaden Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .
Compliance und Einhaltung gesetzlicher Vorschriften
Für CISOs und Netzwerkarchitekten ist das Verständnis der regulatorischen Landschaft bei der Entscheidung zwischen EAP-TLS und EAP-TTLS von entscheidender Bedeutung. Die Wahl der EAP-Methode wirkt sich direkt auf Ihren Compliance-Status in verschiedenen wichtigen Frameworks aus.
PCI-DSS 4.0 (Payment Card Industry Data Security Standard) erfordert eine starke kryptografische Authentifizierung für drahtlose Netzwerke in Karteninhaber-Datenumgebungen. Anforderung 8.3 schreibt eine Multi-Faktor-Authentifizierung für jeden Zugriff auf die CDE vor, und im Geltungsbereich befindliche drahtlose Netzwerke müssen starke Authentifizierungsmechanismen nutzen. EAP-TLS mit zertifikatsbasierter gegenseitiger Authentifizierung erfüllt diese Anforderung definitiv. EAP-TTLS mit MS-CHAPv2 ist akzeptabel, wenn die innere Authentifizierung ordnungsgemäß gesichert ist und die Validierung des Serverzertifikats erzwungen wird, aber EAP-TLS ist die robustere und auditorenfreundlichere Wahl. HIPAA (Health Insurance Portability and Accountability Act) verlangt von betroffenen Organisationen die Implementierung technischer Sicherheitsvorkehrungen zum Schutz elektronischer, geschützter Gesundheitsdaten (ePHI), die über elektronische Kommunikationsnetze übertragen werden. Die HIPAA-Sicherheitsregel schreibt keine bestimmten Protokolle vor, aber die Erwartung von Verschlüsselung und Zugriffskontrolle für WiFi-Netzwerke, die ePHI übertragen, spricht stark für EAP-TLS bei verwalteten medizinischen Geräteflotten und für EAP-TTLS mit erzwungener Serverzertifikatsvalidierung bei Mitarbeitergeräten. WPA3-Enterprise 192-bit (auch bekannt als Suite B oder CNSA-Modus) ist die höchste Sicherheitsstufe der WPA3-Zertifizierung der Wi-Fi Alliance. Sie schreibt EAP-TLS als einzig zulässige Authentifizierungsmethode vor, erfordert TLS 1.2 oder höher mit spezifischen Verschlüsselungssammlungen (ECDHE mit P-384, AES-256-GCM) und setzt ECDSA- oder RSA-3072-Zertifikate voraus. Organisationen, die WPA3-Enterprise 192-bit für Regierungs-, Verteidigungs- oder kritische Infrastrukturanwendungen bereitstellen, müssen EAP-TLS verwenden. ISO 27001 schreibt keine bestimmten Protokolle vor, verlangt jedoch von Organisationen, angemessene Zugriffskontrollen für Netzwerkressourcen zu implementieren. Eine 802.1X-Bereitstellung mit entweder EAP-TLS oder EAP-TTLS (mit erzwungener Serverzertifikatsvalidierung) erfüllt die Anforderungen an die Netzwerkzugriffskontrolle der Anhänge A.9.1 und A.13.1.
ROI und geschäftliche Auswirkungen
Die Migration zu EAP-TLS erfordert eine Anfangsinvestition in die PKI- und MDM-Integration, beseitigt jedoch den betrieblichen Aufwand für Passwortzurücksetzungen und das finanzielle Risiko von Netzwerkverletzungen durch kompromittierte Anmeldedaten. Für eine Einzelhandelskette mit 400 Filialen kann ein einziges kompromittiertes Passwort in einem gemeinsam genutzten PSK-Netzwerk das gesamte Unternehmen gefährden. EAP-TLS eliminiert diesen Angriffsvektor vollständig.
In mandantenfähigen Umgebungen und Verkehrsknotenpunkten stellt eine sichere Authentifizierung sicher, dass nur autorisierte Benutzer auf die Netzwerkbandbreite zugreifen, wodurch die Auslastung der Infrastruktur optimiert wird. Die dynamische VLAN-Zuweisung über RADIUS-Zertifikatsattribute ermöglicht eine kryptografisch erzwungene Netzwerksegmentierung. Dies stellt sicher, dass Geräte basierend auf den Zertifikatseigenschaften im richtigen Netzwerksegment platziert werden, anstatt sich auf die SSID-Auswahl oder MAC-Adressfilterung zu verlassen.
Die WiFi Analytics -Plattform von Purple lässt sich in beide Authentifizierungspfade integrieren und bietet Transparenz über Geräteanzahl, Sitzungsdauer und Netzwerkauslastung in Ihrer gesamten Infrastruktur. Für branchenspezifische Bereitstellungsrichtlinien finden Sie weitere Informationen in unseren Ressourcen für Hospitality , Retail , Healthcare und Transport .
Schlüsseldefinitionen
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Eine in RFC 5216 definierte 802.1X-Authentifizierungsmethode, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige X.509-Zertifikate vorweisen müssen. Es werden keine Passwörter ausgetauscht. Die Authentifizierung erfolgt gegenseitig und ist kryptografisch gebunden.
Der Goldstandard für die Sicherheit von Unternehmens-WiFi. Erforderlich für WPA3-Enterprise 192-Bit und dringend empfohlen für PCI-DSS 4.0-Karteninhaberdaten-Umgebungen.
EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)
Eine in RFC 5281 definierte 802.1X-Authentifizierungsmethode, die nur ein serverseitiges Zertifikat erfordert, um einen verschlüsselten TLS-Tunnel aufzubauen. Der Client authentifiziert sich innerhalb des Tunnels über eine sekundäre innere Authentifizierungsmethode, in der Regel mit Benutzername und Passwort.
Die bevorzugte Wahl für BYOD-Umgebungen und Netzwerke mit gemischten Betriebssystemen, in denen die Bereitstellung von Client-Zertifikaten operativ unpraktisch ist.
802.1X
Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen. Er definiert die Rollen von Supplicant, Authenticator und Authentifizierungsserver.
Das grundlegende Framework, das es Unternehmensnetzwerken ermöglicht, einzelne Geräte zu authentifizieren, anstatt sich auf ein einziges gemeinsames Passwort zu verlassen. Sowohl EAP-TLS als auch EAP-TTLS arbeiten innerhalb dieses Frameworks.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bereitstellt, die eine Verbindung zu einem Netzwerkdienst herstellen. In 802.1X-Bereitstellungen ist der RADIUS-Server der Authentifizierungsserver, der Zertifikate oder Anmeldedaten überprüft.
Die Serverkomponente, die die Zertifikate oder Passwörter überprüft und dem Access Point mitteilt, ob der Netzwerkzugriff gewährt oder verweigert werden soll. Zu den unterstützten Plattformen gehören FreeRADIUS, Microsoft NPS und Cisco ISE.
PKI (Public Key Infrastructure)
Eine Reihe von Rollen, Richtlinien, Hardware, Software und Verfahren, die erforderlich sind, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu verwenden, zu speichern und zu widerrufen. Eine typische Unternehmens-PKI besteht aus einer Offline-Root-CA und einer Online-Ausstellungs-CA.
Die Backend-Infrastruktur, die erforderlich ist, um die bei der EAP-TLS-Authentifizierung verwendeten Client- und Serverzertifikate auszustellen. Ohne eine PKI kann EAP-TLS nicht bereitgestellt werden.
MDM (Mobile Device Management)
Software, die von IT-Abteilungen verwendet wird, um die Mobilgeräte und Laptops von Mitarbeitern zu überwachen, zu verwalten und zu sichern. MDM-Plattformen wie Microsoft Intune und Jamf können die Bereitstellung von Zertifikaten und WiFi-Profilen auf registrierten Geräten automatisieren.
Unerlässlich für die Automatisierung der Bereitstellung von Client-Zertifikaten für EAP-TLS in großem Maßstab. Ohne MDM-Integration ist die manuelle Installation von Zertifikaten auf Tausenden von Geräten operativ unmöglich.
SCEP (Simple Certificate Enrollment Protocol)
Ein Protokoll, das zur Automatisierung der Ausstellung digitaler Zertifikate an Netzwerkgeräte verwendet wird. MDM-Plattformen nutzen SCEP, um Zertifikate im Hintergrund und ohne Benutzerinteraktion auf registrierten Unternehmensgeräten anzufordern und zu installieren.
Der Standardmechanismus für die Zero-Touch-Zertifikatsbereitstellung in EAP-TLS-Szenarien. Unterstützt von Microsoft Intune, Jamf und den meisten MDM-Plattformen für Unternehmen.
CRL (Certificate Revocation List)
Eine Liste digitaler Zertifikate, die von der ausstellenden Zertifizierungsstelle vor ihrem geplanten Ablaufdatum widerrufen wurden. RADIUS-Server überprüfen die CRL, um sicherzustellen, dass das Zertifikat eines verbindenden Geräts noch gültig ist.
Der Mechanismus, mit dem Sie ein gestohlenes oder kompromittiertes Gerät sofort vom Netzwerk ausschließen können, indem Sie dessen Zertifikat widerrufen. RADIUS-Server sollten so konfiguriert sein, die CRL häufig zu überprüfen, oder OCSP für eine Echtzeit-Validierung nutzen.
X.509
Ein ITU-T-Standard, der das Format von Public-Key-Zertifikaten definiert. Sowohl EAP-TLS als auch EAP-TTLS verwenden X.509-Zertifikate für die Serverauthentifizierung. EAP-TLS erfordert zudem X.509-Zertifikate auf dem Client-Gerät.
Das Zertifikatsformat, das in allen Enterprise-PKI-Bereitstellungen verwendet wird. Wenn IT-Teams im Kontext von 802.1X von "digitalen Zertifikaten" sprechen, meinen sie X.509-Zertifikate.
Innere Authentifizierungsmethode
Das sekundäre Authentifizierungsprotokoll, das innerhalb des durch EAP-TTLS aufgebauten verschlüsselten TLS-Tunnels verwendet wird. Häufige innere Methoden sind PAP (Password Authentication Protocol), CHAP und MS-CHAPv2.
Die Wahl der inneren Authentifizierungsmethode beeinflusst die Sicherheitseigenschaften einer EAP-TTLS-Bereitstellung. PAP sendet das Passwort im Klartext innerhalb des Tunnels; MS-CHAPv2 verwendet ein Challenge-Response-Verfahren. Der Tunnel verschlüsselt den gesamten Datenverkehr der inneren Authentifizierung.
Ausgearbeitete Beispiele
Eine nationale Einzelhandelskette mit 400 Filialen muss ihre Point-of-Sale (POS)-Terminals und die Handscanner der Mitarbeiter sichern. Die Umgebung fällt in den Anwendungsbereich von PCI-DSS 4.0. Alle Geräte sind in Microsoft Intune registriert. Welches Protokoll sollten sie bereitstellen und was sind die wichtigsten Konfigurationsschritte?
Stellen Sie EAP-TLS bereit. Schritt 1: Richten Sie eine zweistufige PKI mit einer physisch vom Netz getrennten Offline-Root-CA und einer Online-Ausstellungs-CA ein. Schritt 2: Konfigurieren Sie Microsoft Intune mit einem SCEP-Zertifikatsprofil, das auf alle POS- und Scannergeräte abzielt. Schritt 3: Stellen Sie einen RADIUS Server (Microsoft NPS oder Cloud-RADIUS) bereit und konfigurieren Sie ihn so, dass er Client-Zertifikate mit der internen CA abgleicht. Schritt 4: Aktivieren Sie die CRL-Prüfung oder OCSP auf dem RADIUS Server. Schritt 5: Übertragen Sie ein WiFi Profil via Intune, das die SSID, EAP-TLS als Authentifizierungsmethode, die vertrauenswürdige Root-CA und den erwarteten RADIUS Servernamen angibt. Schritt 6: Testen Sie das Verfahren mit einer Pilotgruppe von 10 Geräten, bevor Sie es für alle 400 Standorte bereitstellen. Schritt 7: Richten Sie einen Prozess zur Überwachung des Zertifikatsablaufs mit Warnmeldungen 60, 30 und sieben Tage vor dem Ablauf ein.
Ein großer Universitätscampus muss sicheres WiFi für 20.000 Studenten bereitstellen, die eine Mischung aus privaten Laptops, Smartphones und Tablets nutzen (BYOD). Das IT-Team kann keine Zertifikate auf privaten Geräten installieren. Die Universität nutzt Microsoft Entra ID für das Identitätsmanagement. Welches Protokoll sollten sie bereitstellen?
Stellen Sie EAP-TTLS mit MS-CHAPv2 als innere Authentifizierungsmethode bereit, integriert mit Microsoft Entra ID via RADIUS. Schritt 1: Beziehen Sie ein Server-Zertifikat von einer öffentlichen CA, der alle gängigen Betriebssysteme vertrauen, oder stellen Sie eine interne CA bereit und verteilen Sie das Root-Zertifikat über die Geräteverwaltungstools der Universität für verwaltete Geräte. Schritt 2: Konfigurieren Sie den RADIUS Server für die Authentifizierung gegen Microsoft Entra ID mittels LDAP oder RADIUS Proxy. Schritt 3: Erstellen Sie einen Leitfaden zur WiFi Einrichtung für Studenten, in dem die SSID, EAP-TTLS, MS-CHAPv2 und die vertrauenswürdige CA angegeben sind. Schritt 4: Setzen Sie strenge Passwortrichtlinien auf Microsoft Entra ID Ebene durch und erwägen Sie die Aktivierung der Multi-Faktor-Authentifizierung für die Erstanmeldung. Schritt 5: Konfigurieren Sie das WiFi Profil so, dass die Server-Zertifikatsvalidierung erzwungen wird, und geben Sie die vertrauenswürdige CA sowie den Namen des RADIUS Servers an.
Übungsfragen
Q1. Sie stellen EAP-TLS für eine Flotte von 5.000 Unternehmens-Laptops an 50 Bürostandorten bereit. Nach dem Push des WiFi-Profils über Microsoft Intune schlagen die Verbindungsversuche der Geräte fehl. Die RADIUS-Server-Protokolle zeigen bei jedem fehlgeschlagenen Authentifizierungsversuch "Unknown CA" an. Was ist die wahrscheinlichste Ursache und wie lösen Sie das Problem?
Hinweis: Berücksichtigen Sie die Zertifikatsvalidierungskette auf der Client-Seite und was das MDM-Profil über die reine EAP-Methodeinstellung hinaus enthalten muss.
Musterlösung anzeigen
Die Client-Geräte sind nicht so konfiguriert, dass sie der internen Zertifizierungsstelle vertrauen, die das Zertifikat des RADIUS-Servers ausgestellt hat. Das MDM-WiFi-Profil muss das Root-CA-Zertifikat (und alle Zwischenzertifikate) enthalten und den Supplicant so konfigurieren, dass er diesen für die Servervalidierung vertraut. Ohne diese Konfiguration lehnt der Client das Zertifikat des RADIUS-Servers ab und bricht den Handshake ab. Lösung: Aktualisieren Sie das Intune-WiFi-Profil, um das vertrauenswürdige Root-CA-Zertifikat unter der Einstellung "Stammzertifikat für die Servervalidierung" einzufügen, und pushen Sie das Profil erneut auf alle Geräte.
Q2. Ihre Organisation hat EAP-TTLS für eine gemischte BYOD-Umgebung bereitgestellt. Während einer Sicherheitsüberprüfung demonstriert Ihr Penetrationstest-Team, dass es Benutzeranmeldedaten abfangen kann, indem es einen Rogue Access Point mit einem selbstsignierten Zertifikat einrichtet. Wie beheben Sie diese Schwachstelle, ohne auf EAP-TLS zu migrieren?
Hinweis: Überlegen Sie, was vor der inneren Authentifizierung geschieht und welche Konfiguration auf der Client-Seite verhindert, dass der TLS-Tunnel mit einem nicht vertrauenswürdigen Server aufgebaut wird.
Musterlösung anzeigen
Die Schwachstelle besteht darin, dass die Client-Geräte nicht für die Validierung des RADIUS-Serverzertifikats konfiguriert sind. Behebung: Aktualisieren Sie alle WiFi-Profile (über MDM für verwaltete Geräte und über eine neue Onboarding-Anleitung für BYOD), um die Serverzertifikatsvalidierung zu erzwingen. Geben Sie die vertrauenswürdige CA und den erwarteten RADIUS-Servernamen im Profil an. So konfigurierte Clients verweigern den Aufbau des TLS-Tunnels mit jedem Server, der kein von der angegebenen vertrauenswürdigen CA signiertes Zertifikat vorweisen kann, wodurch der Angriffsvektor über den Rogue Access Point eliminiert wird.
Q3. Der IT-Leiter eines Krankenhauses möchte 802.1X für seine medizinischen IoT-Geräte (Infusionspumpen, Patientenmonitore, Umgebungssensoren) bereitstellen. Er zieht EAP-TTLS in Erwägung, da er das Zertifikatsmanagement für zu komplex hält. Warum ist diese Argumentation fehlerhaft und was ist der richtige Ansatz?
Hinweis: Überlegen Sie, wie bildschirmlose IoT-Geräte mit Authentifizierungsaufforderungen umgehen und was passiert, wenn ein Gerät keine Anmeldedaten eingeben kann.
Musterlösung anzeigen
Die Argumentation ist aus zwei Gründen fehlerhaft. Erstens verfügen die meisten Headless-Medizin-IoT-Geräte über keine Benutzeroberfläche zur Eingabe von Zugangsdaten, was den Betrieb von EAP-TTLS mit einer inneren Authentifizierung über Benutzername/Passwort unmöglich macht. Zweitens ist EAP-TLS in der Praxis für IoT tatsächlich einfacher: Zertifikate können während der Bereitstellung der Geräte vor dem Rollout aufgespielt werden, und das Gerät authentifiziert sich automatisch ohne Benutzerinteraktion. Der richtige Ansatz ist EAP-TLS mit Zertifikaten, die über das bei der Bereitstellung verwendete Geräteverwaltungssystem bereitgestellt werden. Dies erfüllt auch die HIPAA-Anforderungen für eine starke drahtlose Authentifizierung im Gesundheitswesen.
Q4. Sie sind der Netzwerkarchitekt für eine Hotelgruppe mit 200 Standorten. Sie müssen das Mitarbeiter-WiFi für 3.000 verwaltete Mitarbeitergeräte (in Intune registriert) sichern und außerdem sicheres WiFi für Auftragnehmer und Drittanbieter bereitstellen, die ihre eigenen Laptops mitbringen. Entwerfen Sie die Authentifizierungsarchitektur.
Hinweis: Überlegen Sie, ob eine einzelne SSID mit einer einzigen EAP-Methode beide Zielgruppen bedienen kann und welche Auswirkungen auf die Netzwerksegmentierung sich aus den beiden Benutzertypen ergeben.
Musterlösung anzeigen
Richten Sie zwei separate SSIDs mit unterschiedlichen Authentifizierungsmethoden und VLAN-Zuweisungen ein. SSID 1 (Mitarbeiter-WiFi): EAP-TLS, Zertifikate werden via Intune SCEP bereitgestellt, VLAN ist dem Segment des Mitarbeiternetzwerks mit vollem Zugriff auf die Hotelverwaltungssysteme zugewiesen. SSID 2 (Auftragnehmer-WiFi): EAP-TTLS mit MS-CHAPv2, die Zugangsdaten werden mit einem separaten Verzeichnis oder einem zeitlich begrenzten Auftragnehmerkonto in Microsoft Entra ID abgeglichen, VLAN ist einem isolierten reinen Internetsegment ohne Zugriff auf interne Systeme zugewiesen. Beide SSIDs müssen die Serverzertifikatsvalidierung erzwingen. Diese Architektur bietet Mitarbeitern ein Höchstmaß an Sicherheit, während sie Auftragnehmern eine praktikable Authentifizierungsmethode zur Verfügung stellt. Zudem stellt die Netzwerksegmentierung sicher, dass kompromittierte Zugangsdaten eines Auftragnehmers nicht die internen Hotelverwaltungssysteme erreichen können.
Weiterlesen in dieser Reihe
Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.