Zum Hauptinhalt springen
Deutsch

Verwaltung digitaler Zertifikate für die EAP-TLS WiFi-Authentifizierung

Dieser technische Leitfaden beschreibt das Lifecycle-Management digitaler Zertifikate für die EAP-TLS WiFi-Authentifizierung im Detail. Er bietet praxistaugliche Strategien für die Bereitstellung, Verlängerung und den Widerruf von Zertifikaten in großem Maßstab in Unternehmensnetzwerken unter Nutzung von SCEP- und MDM-Integrationen.

📖 4 Min. Lesezeit📝 892 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton – wie ein Senior Consultant, der einen Kunden brieft. Gemessenes Tempo, klare Artikulation, herzlich, aber direkt. Gelegentliche natürliche Pausen zur Betonung: Willkommen bei der technischen Briefing-Reihe von Purple. Heute sprechen wir über das EAP-TLS-Zertifikatsmanagement – insbesondere darüber, wie Sie ein zertifikatsbasiertes WiFi-Authentifizierungsprogramm in großem Maßstab betreiben können, ohne dass es zu einer permanenten betrieblichen Belastung wird. [medium pause] Wenn Sie für das WiFi von Unternehmen oder Mitarbeitern an mehreren Standorten verantwortlich sind – sei es eine Hotelgruppe, ein Einzelhandelsunternehmen, ein Universitätsgcampus oder ein öffentlicher Sektor –, ist dieses Briefing genau das Richtige für Sie. Wir werden den gesamten Zertifikatslebenszyklus abdecken: von der Einrichtung Ihrer CA-Hierarchie über die automatisierte Bereitstellung via SCEP und MDM bis hin zur Erneuerung und dem Widerruf. Und wir werden darüber sprechen, wo Probleme auftreten – denn sie treten auf – und wie Sie die häufigsten Stolpersteine vermeiden. [medium pause] Beginnen wir mit den Grundlagen. EAP-TLS – das ist Extensible Authentication Protocol mit Transport Layer Security – ist der Goldstandard für die 802.1X-WiFi-Authentifizierung. Im Gegensatz zu PEAP, das auf Benutzername und Passwort basiert, nutzt EAP-TLS eine gegenseitige, zertifikatsbasierte Authentifizierung. Das Gerät weist seine Identität mit einem Client-Zertifikat nach. Der RADIUS-Server weist seine Identität mit einem Server-Zertifikat nach. Beide Seiten verifizieren die andere. Kein Passwort zum Phishen. Keine Zugangsdaten zum Stehlen. Deshalb weisen sowohl PCI DSS 4.0 als auch die Zero-Trust-Richtlinien des NCSC auf eine zertifikatsbasierte Authentifizierung für Mitarbeiternetzwerke hin. [medium pause] Nun zur Architektur. Sie benötigen drei Dinge, damit EAP-TLS funktioniert. Erstens eine Public-Key-Infrastruktur – Ihre CA-Hierarchie. Zweitens einen Mechanismus, um Zertifikate auf Geräte zu bringen – das ist SCEP oder Ihre MDM-Plattform. Drittens einen RADIUS-Server, der Ihrer CA vertraut und Client-Zertifikate in Echtzeit validieren kann. [medium pause] Bei der CA-Hierarchie geraten die meisten Unternehmen frühzeitig in Schwierigkeiten. Das richtige Muster ist ein dreistufiges Modell. Sie haben eine Root-CA an der Spitze – diese sollte offline und physisch vom Netz getrennt (air-gapped) sein und nur online geschaltet werden, um Ihr Intermediate-CA-Zertifikat zu signieren. Die Intermediate-CA – manchmal auch als Issuing-CA bezeichnet – ist diejenige, die die täglichen Zertifikate tatsächlich signiert. Sie ist online, aber ihr privater Schlüssel ist gut geschützt. Darunter stellen Sie zwei Arten von Zertifikaten aus: Server-Zertifikate für Ihre RADIUS-Infrastruktur und Client-Zertifikate für Ihre Geräte und Benutzer. [medium pause] Warum ist das wichtig? Denn wenn Ihre Root-CA kompromittiert wird, müssen Sie Ihre gesamte PKI von Grund auf neu aufbauen und jedes Gerät neu registrieren. Sie offline zu halten, eliminiert dieses Risiko. Die Intermediate-CA kann ausgetauscht werden, ohne die Root-CA zu berühren. Das ist das Argument der betrieblichen Resilienz für das dreistufige Modell. [medium pause] Sprechen wir über die Gültigkeitsdauer von Zertifikaten. Hier hat sich in der Branche ein bedeutender Wandel vollzogen. Apple, Google und Mozilla haben sich darauf geeinigt, kürzere maximale Zertifikatslaufzeiten durchzusetzen. Für TLS-Serverzertifikate beträgt das Maximum nun 398 Tage. Bei Client-Zertifikaten im Enterprise-WiFi haben Sie mehr Flexibilität – üblich sind ein bis zwei Jahre –, aber der Trend geht zu kürzeren Laufzeiten und automatisierter Verlängerung statt manuell verwalteter, langlebiger Zertifikate. Der Grund ist einfach: Eine kürzere Laufzeit begrenzt das Risiko im Falle einer Kompromittierung des Zertifikats. [medium pause] Dies bringt uns zur Automatisierung. Manuelle Zertifikatsverwaltung lässt sich nicht skalieren. Wenn Sie 500 Geräte haben, können Sie Verlängerungen gerade noch von Hand verwalten. Bei 5.000 Geräten an 50 Standorten ist das unmöglich. Sie benötigen SCEP – das Simple Certificate Enrolment Protocol – oder dessen modernen Nachfolger, EST. SCEP lässt sich direkt in MDM-Plattformen integrieren, darunter Microsoft Intune, Jamf Pro und VMware Workspace ONE. Das MDM überträgt ein SCEP-Konfigurationsprofil an das Gerät. Das Gerät generiert ein Schlüsselpaar, sendet eine Zertifikatsignierungsanfrage an Ihren SCEP-Server und erhält ein signiertes Zertifikat zurück – ganz ohne Benutzerinteraktion. [medium pause] Für Windows-Geräte in einer Active Directory-Umgebung gibt es eine Alternative: Die über Gruppenrichtlinien gesteuerte automatische Registrierung (Auto-Enrolment) über Active Directory-Zertifikatsdienste. Das Gerät authentifiziert sich an der Domäne, die Zertifizierungsstelle (CA) stellt automatisch ein Zertifikat aus, und das Zertifikat wird vor dem Ablauf ohne manuelles Eingreifen verlängert. Dies ist der nahtloseste Weg für primär auf Windows basierende Infrastrukturen. [medium pause] Nun zur Sperrung. Dies ist der Bereich, in den Unternehmen am seltensten investieren, und doch ist er der wichtigste, wenn etwas schiefgeht. Wenn ein Gerät verloren geht, gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt, müssen Sie das entsprechende Zertifikat sofort sperren. Es gibt zwei Mechanismen: CRL – Certificate Revocation Lists – und OCSP – Online Certificate Status Protocol. [medium pause] CRL ist der ältere Mechanismen. Ihre CA veröffentlicht eine Liste gesperrter Zertifikatseriennummern unter einer bekannten URL. Der RADIUS-Server lädt diese Liste regelmäßig herunter und gleicht sie ab. Das Problem bei CRL ist die Latenz: Wenn Ihre CRL eine Gültigkeit von 24 Stunden hat, kann ein gesperrtes Zertifikat nach der Sperrung noch bis zu 24 Stunden lang authentifiziert werden. [medium pause] OCSP ist die Echtzeit-Alternative. Der RADIUS-Server sendet bei jedem Authentifizierungsversuch eine Abfrage an den OCSP-Responder und erhält eine direkte Antwort über den Status („gültig“ oder „gesperrt“). Der Nachteil ist, dass Ihr OCSP-Responder zu einer kritischen Abhängigkeit wird – wenn er nicht verfügbar ist, müssen Sie entscheiden, ob Sie die Authentifizierung standardmäßig zulassen (fail open) oder verweigern (fail closed). Für Hochsicherheitsumgebungen ist „fail closed“ die richtige Wahl. Für produktive Umgebungen, in denen die Verfügbarkeit im Vordergrund steht, können Sie eine kurze OCSP-Toleranzperiode konfigurieren. [medium pause] Lassen Sie mich Ihnen zwei konkrete Szenarien nennen, um dies zu verdeutlichen. [medium pause] Erstens: Eine Hotelgruppe mit 150 Standorten. Sie nutzten PEAP mit einem gemeinsamen Passwort für das Mitarbeiter-WiFi. Die Passwortrotation erfolgte vierteljährlich, was in jedem Quartal ein zweiwöchiges Zeitfenster bedeutete, in dem Mitarbeiter ausgesperrt waren oder das alte Passwort verwendeten. Sie wechselten zu EAP-TLS und nutzten Microsoft Intune für die Zertifikatsbereitstellung. SCEP-Profile wurden auf alle Windows- und iOS-Geräte übertragen. Active Directory Certificate Services fungierte als CA. Das Ergebnis: keine Passwortrotationen mehr, die Zertifikatsverlängerung wird 30 Tage vor Ablauf automatisch abgewickelt, und wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Zertifikat innerhalb von Minuten nach Deaktivierung seines Kontos in Microsoft Entra ID im MDM widerrufen. Das IT-Team schätzte, dass es pro Quartal etwa 40 Stunden für Passwort-Resets und Helpdesk-Tickets einsparen konnte. [medium pause] Zweitens: Eine Einzelhandelskette mit mehreren Standorten und 3.000 Mitarbeitergeräten in 200 Filialen. Die Herausforderung war hier die Gerätevielfalt – ein Mix aus Windows-Laptops, Android-Handhelds und iOS-Geräten. Sie nutzten Jamf Pro für Apple-Geräte und Microsoft Intune für Windows und Android, wobei beide auf denselben SCEP-Server verwiesen, der durch eine Microsoft ADCS Intermediate CA unterstützt wurde. Die WiFi-Infrastruktur war Cisco Meraki, wobei die RADIUS-Authentifizierung über einen in der Cloud gehosteten, in Purple integrierten RADIUS-Dienst abgewickelt wurde. Die wichtigste Designentscheidung bestand darin, Zertifikate mit einer Gültigkeit von 12 Monaten auszustellen und die automatische Verlängerung auf 60 Tage vor Ablauf zu konfigurieren. Dies ermöglichte ein komfortables Verlängerungsfenster ohne betrieblichen Mehraufwand. [medium pause] Nun zu den Fallstricken. Es gibt vier, die ich immer wieder sehe. [medium pause] Erstens: Das Testen des Widerrufs wird vernachlässigt. Organisationen richten ihre PKI ein, stellen Zertifikate bereit und testen nie wirklich, ob der Widerruf durchgängig funktioniert. Testen Sie es. Widerrufen Sie ein Testzertifikat, bestätigen Sie, dass der RADIUS-Server den Widerruf innerhalb Ihres erwarteten Zeitfensters erkennt, und stellen Sie sicher, dass dem Gerät der Zugriff verweigert wird. [medium pause] Zweitens: Klippen beim Zertifikatsablauf. Wenn Sie alle Zertifikate gleichzeitig mit derselben Gültigkeitsdauer ausstellen, laufen sie auch alle zur gleichen Zeit ab. Staffeln Sie Ihre Ausstellung oder zumindest Ihre Verlängerungs-Trigger. Eine Ausfallrate bei der Verlängerung von 10 % bei 5.000 Geräten gleichzeitig ist ein schwerwiegender Vorfall. [medium pause] Drittens: Das Root-CA-Zertifikat wird vor der Bereitstellung von EAP-TLS nicht auf allen Geräten verteilt. Wenn das Gerät Ihrer Root-CA nicht vertraut, lehnt es das Zertifikat des RADIUS-Servers ab, und die Authentifizierung schlägt fehl. Das klingt offensichtlich, wird aber von Organisationen oft übersehen, wenn sie BYOD-Geräte oder Laptops von Subunternehmern haben, die nicht im MDM registriert sind. [medium pause] Viertens: Verfügbarkeit des OCSP-Responders. Wenn Ihr OCSP-Responder ausfällt und Ihr RADIUS-Server so konfiguriert ist, dass er bei OCSP-Fehlern den Zugriff standardmäßig sperrt (Fail Closed), funktioniert Ihre gesamte WiFi-Infrastruktur nicht mehr. Sorgen Sie für Redundanz in Ihrer OCSP-Infrastruktur oder konfigurieren Sie eine kurze Übergangsfrist mit entsprechendem Monitoring. [medium pause] Gut, nun zu den schnellen Fragerunden. [medium pause] Kann ich eine öffentliche CA für EAP-TLS-Client-Zertifikate verwenden? Technisch gesehen ja, aber in der Praxis nein. Öffentliche CAs stellen keine Client-Zertifikate für beliebige Geräte aus. Sie benötigen Ihre eigene CA für Client-Zertifikate. Für das RADIUS-Server-Zertifikat ist eine öffentliche CA in Ordnung und vereinfacht die Vertrauensverteilung. [medium pause] Was ist mit BYOD? BYOD ist der schwierige Fall. Sie können Zertifikate nicht über MDM auf unmanaged Geräte pushen. Zu den Optionen gehören ein Network Access Control Portal, das nach der Benutzerauthentifizierung kurzlebige Zertifikate ausstellt, oder einfach die Beibehaltung von BYOD auf einer separaten SSID mit einer anderen Authentifizierungsmethode. [medium pause] Wie verhält sich das im Zusammenspiel mit WPA3? WPA3-Enterprise schreibt für sensible Umgebungen einen 192-Bit-Sicherheitsmodus vor, der spezifische Cipher Suites erfordert. EAP-TLS ist vollständig kompatibel mit WPA3-Enterprise und ist tatsächlich die empfohlene Authentifizierungsmethode. [medium pause] Zusammenfassend lässt sich sagen: Das EAP-TLS-Zertifikatsmanagement ist nicht einfach, aber es ist machbar, wenn Sie die Architektur von Anfang an richtig aufbauen. Eine dreistufige CA-Hierarchie. Automatische Registrierung über SCEP oder MDM. Kurze Zertifikatslaufzeiten mit automatischer Verlängerung. Echtzeit-Sperrung via OCSP. Testen Sie alles, insbesondere die Sperrung. Und integrieren Sie den Lebenszyklus Ihrer Zertifikate in Ihren Identity Provider – Microsoft Entra ID, Okta oder Google Workspace –, sodass die Zertifikatssperrung automatisch ausgelöst wird, wenn ein Konto deprovisioniert wird. [medium pause] Wenn Sie mit Purple verknüpfte RADIUS-Server betreiben, sind die Integrationspunkte Ihre SCEP-Server-URL, Ihr RADIUS-Server-Zertifikat und Ihr CRL- oder OCSP-Endpunkt. Die hardwareunabhängige Architektur von Purple sorgt dafür, dass dies über Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und den Rest der kanonischen Hardware-Liste hinweg funktioniert – Sie sind nicht an die PKI-Tools eines einzelnen Herstellers gebunden. [medium pause] Nächste Schritte: Überprüfen Sie Ihren aktuellen Zertifikatsbestand. Wenn Sie nicht wissen, wie viele Zertifikate Sie haben, wann sie ablaufen und wer sie ausgestellt hat, ist das der erste Schritt zur Besserung. Von dort aus ist der Weg zur vollständigen Automatisierung klar definiert. Vielen Dank fürs Zuhören.

header_image.png

執行摘要

管理用於 EAP-TLS WiFi 驗證的數位憑證,對企業 IT 團隊而言是一項重大的營運挑戰。隨著企業組織逐步淘汰憑證型驗證(credential-based authentication)以符合零信任規範,營運負擔也從密碼重設轉移到憑證生命週期管理。本指南詳細介紹了在複雜的資產環境中,大規模部署、更新和撤銷用戶端憑證所需的架構模式。

對於技術長(CTO)和網路架構師而言,目標非常明確:實施強健的公開金鑰基礎建設(PKI),並與現有的行動裝置管理(MDM)平台無縫整合。透過簡單憑證註冊協定(SCEP)自動發放憑證,並執行即時撤銷,即可消除人工干預。此方法能確保網路邊界安全,滿足包括 PCI DSS 4.0 在內的合規框架,並確保運行企業硬體的 80,000 多個實體場域持續保持連線。

技術深入探討

EAP-TLS(可延伸驗證協定與傳輸層安全)代表了 802.1X 網路存取控制的最高標準。它強制執行雙向驗證。RADIUS 伺服器出示憑證以向用戶端證明其身分,而用戶端則出示憑證以向網路證明其身分。

三層式 PKI 架構

扁平式的 PKI 層級結構會引入無法接受的風險。推薦的模式是三層式架構:

  1. 根憑證授權單位 (Root CA):最終的信任根源。此伺服器保持離線並與網路隔離(air-gapped)。其唯一功能是簽署中間 CA 憑證。
  2. 中間 CA (發放 CA):此伺服器保持在線,負責日常用戶端與伺服器憑證的簽署工作。如果遭到破解,可由 Root CA 予以撤銷,而無需重建整個信任基礎建設。
  3. 終端實體憑證 (End-Entity Certificates):這些是實際部署到 RADIUS 伺服器和用戶端裝置的憑證。

pki_trust_chain_diagram.png

憑證效期與密碼學標準

業界正強制縮短憑證壽命,以限制金鑰遭破解時的暴露空窗期。雖然公開的 TLS 憑證上限為 398 天,但用於 WiFi 驗證的內部用戶端憑證通常使用 365 天的有效期。

密碼學要求強制使用至少 2048 位元的 RSA 金鑰,或使用 P-256 曲線的橢圓曲線密碼學 (ECC)。WPA3-Enterprise 192 位元模式需要特定的加密套件,而 EAP-TLS 是唯一能完全滿足這些要求的驗證方法。

實作指南

在分散式場域中部署 EAP-TLS 需要您的身分識別提供者、MDM 平台與網路硬體之間進行緊密整合。Purple 的雲端重疊(cloud overlay)可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 整合。

步驟 1:建立信任鏈

在任何裝置進行驗證之前,它必須信任 RADIUS 伺服器。請透過您的 MDM 將根憑證授權機構(Root CA)憑證部署到所有託管裝置。對於非託管裝置,您必須提供一個引導註冊入口網頁(onboarding portal)來安裝信任設定檔。

步驟 2:透過 SCEP 自動化核發

手動產生憑證是行不通的。請實作 SCEP 以將此工作流程自動化:

  1. MDM(例如 Microsoft Intune)將 SCEP 負載推送到裝置。
  2. 裝置在本地端產生私鑰。
  3. 裝置向 SCEP 伺服器提交憑證簽署請求(CSR)。
  4. CA 核發憑證,裝置並將其安裝在硬體備份的金鑰庫中。

步驟 3:設定 RADIUS 原則

將您的 RADIUS 伺服器設定為需要 EAP-TLS。確保伺服器會比對您的身分識別目錄(Microsoft Entra ID、Okta 或 Google Workspace)驗證用戶端憑證的主體別名(SAN),以確認該使用者帳戶仍處於啟用狀態。

certificate_lifecycle_infographic.png

最佳實踐

  • 儘早自動續期:設定 MDM 設定檔,使其在憑證到期前至少 30 天觸發憑證續期。這可以防止整個場域內突然發生驗證失敗。
  • 強制執行硬體金鑰庫:要求私鑰必須在裝置的信賴平台模組(TPM)或安全隔離區(Secure Enclave)中產生並儲存。金鑰必須設定為不可匯出。
  • 實作即時撤銷:依賴靜態憑證撤銷清單(CRL)會產生延遲。請實作線上憑證狀態協定(OCSP),以便 RADIUS 伺服器能在驗證期間即時確認憑證狀態。

疑難排解與風險緩釋

EAP-TLS 部署中最常見的失敗模式與信任和時間有關。

信任錨點失敗

如果用戶端裝置拒絕 RADIUS 伺服器憑證,驗證將會無聲無息地失敗。當裝置的信任庫中遺失根 CA 憑證時,就會發生這種情況。請驗證 MDM 部署記錄,確保信任設定檔在 WiFi 設定檔之前套用。如需連線問題的進一步診斷,請參閱 Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures

到期懸崖

同時核發數千張憑證會造成續期高峰期的懸崖效應。如果 SCEP 伺服器在此期間發生停機,裝置將會斷開網路。請交錯進行初始部署,以分攤續期負載。

OCSP 逾時

如果 RADIUS 伺服器無法連線至 OCSP 回應程式,它必須決定是要預設開放(fail open)還是預設關閉(fail closed)。對於企業網路,預設關閉是標準做法。請確保您的 OCSP 基礎架構具備高可用性且呈地理分佈。

投資報酬率與業務影響

過渡到 EAP-TLS 需要前期投入工程心力,但營運回報非常顯著。一個擁有 5,000 名使用者的組織,通常每月要花費 40 小時來處理因 PEAP 密碼輪替而導致的密碼重設與 RADIUS 鎖定問題。

透過自動化憑證生命週期,您可以消除這些支援工單。此外,您還能滿足 ISO 27001 和 PCI DSS 嚴格的存取控制要求,從而減少稽核開銷。當與 Guest WiFiWiFi Analytics 整合時,Purple 可針對所有使用者類型提供統一的網路存取檢視,簡化分散式場域的合規性報告。

Schlüsseldefinitionen

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Ein Authentifizierungs-Framework, bei dem sowohl der Client als auch der Server ihre Identität mithilfe digitaler Zertifikate nachweisen müssen.

Der Branchenstandard zur Absicherung von Enterprise-WiFi-Netzwerken, ohne auf anfällige Passwörter angewiesen zu sein.

SCEP

Simple Certificate Enrolment Protocol. Ein von MDM-Plattformen verwendetes Protokoll zur sicheren Automatisierung der Anforderung und Installation digitaler Zertifikate auf Geräten.

Unerlässlich für die Skalierung von EAP-TLS-Bereitstellungen über einige Dutzend Geräte hinaus, da die manuelle Zertifikatshandhabung entfällt.

RADIUS

Remote Authentication Dial-In User Service. Das Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung bereitstellt.

Die Serverkomponente, die das Client-Zertifikat validiert und dem Access Point mitteilt, dass er den Netzwerkzugriff gewähren soll.

OCSP

Online Certificate Status Protocol. Ein Internetprotokoll zur Abfrage des Widerrufsstatus eines X.509-Zertifikats in Echtzeit.

Ersetzt statische CRLs, um sicherzustellen, dass ein widerrufenes Zertifikat sofort im Netzwerk gesperrt wird.

Root CA

Root Certificate Authority. Die oberste kryptografische Instanz in einer Public Key Infrastructure, die zur Signierung untergeordneter CAs verwendet wird.

Muss hochsicher und offline aufbewahrt werden, um die gesamte Vertrauenskette der Organisation zu schützen.

SAN

Subject Alternative Name. Eine Erweiterung für X.509, die es ermöglicht, verschiedene Werte wie E-Mail-Adressen oder UPNs mit einem Sicherheitszertifikat zu verknüpfen.

Wird vom RADIUS-Server verwendet, um das Zertifikat einem bestimmten Benutzerkonto im Identitätsverzeichnis zuzuordnen.

MDM

Mobile Device Management. Software, die von IT-Abteilungen verwendet wird, um die mobilen Geräte von Mitarbeitern zu überwachen, zu verwalten und zu sichern.

Der Übertragungsmechanismus, der die SCEP-Konfiguration und die WiFi-Profile an die Endgeräte der Benutzer verteilt.

CRL

Certificate Revocation List. Eine Liste digitaler Zertifikate, die von der ausstellenden CA vor ihrem geplanten Ablaufdatum widerrufen wurden.

Eine veraltete Methode zur Überprüfung der Zertifikatsgültigkeit, die im Vergleich zu OCSP unter Latenzproblemen leidet.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 150 Standorten muss den Mitarbeiterzugriff auf 3.000 Geräten sichern. Derzeit nutzen sie PEAP mit einem gemeinsam genutzten Passwort, das vierteljährlich gewechselt wird, was zu einem erheblichen Helpdesk-Aufkommen führt. Wie sollten sie EAP-TLS implementieren?

Stellen Sie Microsoft Intune bereit, um alle Unternehmensgeräte zu verwalten. Richten Sie eine mit Intune integrierte Microsoft ADCS Intermediate CA über den Intune Certificate Connector ein. Verteilen Sie das Root CA-Zertifikat auf alle Geräte, gefolgt von einem SCEP-Profil, das ein Client-Zertifikat mit einer Gültigkeit von 365 Tagen anfordert. Konfigurieren Sie das WiFi-Profil so, dass es EAP-TLS verwendet und auf die mit Purple verknüpften RADIUS-Server verweist. Stellen Sie das SCEP-Profil so ein, dass es sich bei einer Restlaufzeit von 20 % (73 Tage) automatisch verlängert.

Kommentar des Prüfers: Dieser Ansatz eliminiert den vierteljährlichen Passwortwechsel vollständig. Durch die Einrichtung eines frühen Verlängerungs-Triggers vermeidet das IT-Team kritische Ablaufdaten. Die direkte Integration mit Intune stellt sicher, dass das MDM das Zertifikat widerruft und das WiFi-Profil automatisch löscht, wenn ein Mitarbeiter das Unternehmen verlässt und sein Entra ID-Konto deaktiviert wird.

Eine Einzelhandelskette benötigt sicheres WiFi für Point-of-Sale-Handgeräte an 200 Standorten. Auf den Geräten läuft Android und sie verlieren häufig die Verbindung zum zentralen Verwaltungsserver. Wie gehen Sie mit dem Widerruf von Zertifikaten um?

Implementieren Sie OCSP für die Echtzeit-Überprüfung von Widerrufen auf RADIUS-Serverebene. Konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder abfragt. Wird ein Handgerät als verloren gemeldet, widerruft das Sicherheitsteam das Zertifikat in der CA. Wenn das Gerät das nächste Mal versucht, sich mit einem Access Point zu verbinden, erhält der RADIUS-Server eine "revoked"-Antwort von OCSP und verweigert den Zugriff sofort.

Kommentar des Prüfers: Sich darauf zu verlassen, dass das MDM ein verlorenes Gerät löscht, reicht nicht aus, wenn das Gerät offline oder abgeschirmt ist. Durch die Durchsetzung von Widerrufsprüfungen am Netzwerkrand via OCSP fungiert der RADIUS-Server als Kontrollpunkt. Dies stellt sicher, dass das kompromittierte Zertifikat nicht verwendet werden kann, selbst wenn das Gerät selbst nicht vom MDM erreicht werden kann.

Übungsfragen

Q1. Sie stellen EAP-TLS für 2.000 Unternehmens-Laptops bereit. Die SCEP-Infrastruktur ist konfiguriert, aber während des Tests schlägt die Verbindung der Laptops mit dem WiFi fehl. Die RADIUS-Protokolle zeigen "Unknown CA". Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie die Reihenfolge der Schritte bei der Bereitstellung von Vertrauensprofilen im Vergleich zu Authentifizierungsprofilen.

Musterlösung anzeigen

Auf den Laptops ist das Root-CA-Zertifikat nicht im vertrauenswürdigen Root-Speicher installiert. Das MDM muss so konfiguriert sein, dass es das Root-CA-Zertifikats-Payload an die Geräte verteilt, bevor das SCEP-Payload oder das EAP-TLS-WiFi-Profil verteilt wird. Ohne die Root-CA lehnt der Client das Zertifikat des RADIUS-Servers ab.

Q2. Ein kompromittiertes Gerät wird als verloren gemeldet. Das IT-Team löscht das Gerät aus dem MDM und widerruft das Zertifikat in der CA. Tests zeigen jedoch, dass sich das Gerät immer noch bis zu 12 Stunden lang mit dem Netzwerk verbinden kann. Wie lösen Sie das?

Hinweis: Sehen Sie sich an, wie der RADIUS-Server den Zertifikatsstatus validiert.

Musterlösung anzeigen

Der RADIUS-Server stützt sich wahrscheinlich auf eine Certificate Revocation List (CRL), die nur alle 12 bis 24 Stunden veröffentlicht oder heruntergeladen wird. Um dies zu beheben, implementieren Sie das Online Certificate Status Protocol (OCSP) und konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder für eine Echtzeit-Validierung abfragt.

Q3. Sie entwerfen die Richtlinie für den Zertifikatslebenszyklus. Das Sicherheitsteam wünscht sich eine Zertifikatslebensdauer von 30 Tagen, um das Risiko zu minimieren, aber das Netzwerkteam ist besorgt über die SCEP-Serverlast und Verbindungsabbrüche. Was ist der empfohlene Kompromiss?

Hinweis: Berücksichtigen Sie den Unterschied zwischen öffentlichen Webzertifikaten und einer internen, verwalteten PKI.

Musterlösung anzeigen

Eine Gültigkeitsdauer von 365 Tagen mit einer automatischen Verlängerung, die 60 oder 90 Tage vor Ablauf ausgelöst wird, bietet die optimale Balance. Eine 30-tägige Lebensdauer für WiFi-Zertifikate birgt ein zu hohes betriebliches Risiko, wenn Geräte während des engen Verlängerungsfensters offline sind. Die Sicherheit wird durch einen robusten OCSP-Widerruf in Echtzeit anstelle von aggressiv kurzen Lebensdauern gewährleistet.

Weiterlesen in dieser Reihe

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Leitfaden lesen →

Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysegestützter Gastnetzwerke neben dem Enterprise-NAC.

Leitfaden lesen →

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.

Leitfaden lesen →