How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Executive Summary

Für Unternehmensstandorte – ob ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Standorten oder ein großes Konferenzzentrum – ist die Nutzung von Pre-Shared Keys für das Mitarbeiter-WiFi ein Sicherheitsrisiko und ein betrieblicher Engpass. Ein einziges durchgesickertes Passwort gefährdet das gesamte Netzwerk. Die zertifikatsbasierte Authentifizierung über IEEE 802.1X und EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) eliminiert dieses Risiko vollständig. Jedes Gerät weist seine Identität kryptografisch nach, bevor der Access Point ihm Netzwerkzugriff gewährt.

Die Herausforderung liegt in der Verteilung. Die manuelle Bereitstellung individueller Client-Zertifikate auf Tausenden von Windows-, iOS- und Android-Geräten ist nicht praktikabel. SCEP (Simple Certificate Enrollment Protocol), das 2020 von der IETF als RFC 8894 formalisiert wurde, löst dieses Problem. Es automatisiert den Prozess der Anforderung, Ausstellung und Installation digitaler Zertifikate auf verwalteten Geräten über Ihre MDM-Plattform – ganz ohne Benutzerinteraktion.

Dieser Leitfaden deckt die gesamte Architektur ab: was SCEP tut, wie es sich in Microsoft Intune, Jamf und andere MDM-Plattformen integrieren lässt, die genaue Bereitstellungsreihenfolge, bei der die meisten Teams Fehler machen, und die betrieblichen Fallstricke, die zu Ausfällen führen. Wir behandeln auch zwei reale Implementierungsszenarien aus der Hotellerie und dem Einzelhandel und erklären, wo die Guest WiFi -Plattform von Purple neben Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk Platz findet.

Hören Sie sich das begleitende Podcast-Briefing an:

Technischer Deep-Dive: SCEP, PKI und 802.1X

Was SCEP tatsächlich tut

SCEP ist kein Ersatz für Ihre Public-Key-Infrastruktur (PKI). Es ist die automatisierte Registrierungsebene, die darauf aufsetzt. Ihre PKI – in der Regel eine zweistufige Hierarchie mit einer Offline-Root-CA und einer Online-Ausstellungs-CA – bleibt der Vertrauensanker. SCEP automatisiert den Schritt, bei dem ein Gerät ein Zertifikat von dieser CA anfordert, wodurch die manuelle CSR-Erstellung und Zertifikatsinstallation entfallen.

Im Kontext der WiFi-Authentifizierung ist das Zielprotokoll EAP-TLS. Dies ist die 802.1X-Authentifizierungsmethode, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige X.509-Zertifikate vorlegen müssen. Keine Seite vertraut der anderen ohne kryptografischen Nachweis. Dieses Modell der gegenseitigen Authentifizierung verhindert den Diebstahl von Anmeldedaten und schützt vor Evil-Twin-Angriffen, bei denen ein Angreifer einen gefälschten Access Point einrichtet, um Benutzernamen und Passwörter abzufangen.

Eine detaillierte Aufschlüsselung des EAP-TLS-Handshakes finden Sie in unserem Leitfaden zu WiFi-Zertifikatsauthentifizierung: Sicherer Netzwerkzugriff .

Der SCEP-Registrierungsablauf Schritt für Schritt

Die vollständige Registrierungskette funktioniert wie folgt. Ihre MDM-Plattform – Microsoft Intune, Jamf oder ein anderes MDM – sendet eine SCEP-Payload an ein verwaltetes Gerät. Diese Payload enthält zwei Dinge: die SCEP-URL, die auf Ihren NDES-Server (Network Device Enrollment Service) oder Ihr Cloud-SCEP-Gateway verweist, und ein Challenge-Passwort oder ein Shared Secret.

Das Gerät generiert lokal sein eigenes öffentliches und privates Schlüsselpaar. Dies ist das entscheidende Sicherheitsmerkmal von SCEP: Der private Schlüssel wird auf dem Gerät generiert, in der Secure Enclave oder dem TPM-Chip gespeichert und niemals über das Netzwerk übertragen. Das Gerät erstellt dann eine Zertifikatsignierungsanforderung (CSR) und sendet sie an das SCEP-Gateway. Das Gateway validiert das Challenge-Passwort, leitet die CSR an Ihre Zertifizierungsstelle (CA) weiter, und die CA signiert sie und gibt das öffentliche Zertifikat an das Gerät zurück.

Ab diesem Zeitpunkt legt das Gerät, wenn es sich mit Ihrer WiFi-SSID verbindet, dieses Zertifikat dem RADIUS-Server vor. Der RADIUS-Server validiert das Zertifikat anhand Ihrer CA-Vertrauenskette, prüft die Zertifikatssperrliste (CRL), um sicherzustellen, dass das Zertifikat nicht widerrufen wurde, und sendet, wenn alles in Ordnung ist, eine Access-Accept-Nachricht an den Access Point. Das Gerät ist im Netzwerk. Der gesamte Prozess ist für den Benutzer unsichtbar.

SCEP vs. PKCS: Was für WiFi zu verwenden ist

MDM-Plattformen wie Intune unterstützen zwei Mechanismen zur Zertifikatsbereitstellung: SCEP und PKCS (Public Key Cryptography Standards). Der architektonische Unterschied ist erheblich.

Bei SCEP wird der private Schlüssel auf dem Gerät generiert und verlässt dieses nie. Bei PKCS generiert die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel zentral, und der Zertifikats-Connector überträgt das Schlüsselpaar über das Netzwerk auf das Gerät. Das bedeutet, dass der private Schlüssel übertragen wird, was eine theoretische Angriffsfläche darstellt.

PKCS eignet sich für Anwendungsfälle, in denen ein Key Escrow erforderlich ist, wie z. B. bei der S/MIME-E-Mail-Verschlüsselung. Für die WiFi-Authentifizierung ist SCEP die richtige Wahl. Der private Schlüssel bleibt auf dem Gerät.

Hardware-Kompatibilität

SCEP und EAP-TLS sind herstellerneutrale Standards. Sie funktionieren mit Access Points von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. In Ihrer RADIUS-Konfiguration – sei es Windows NPS, FreeRADIUS oder ein Cloud-RADIUS-Dienst – definieren Sie die Richtlinien für die Zertifikatsvalidierung und die dynamische VLAN-Zuweisung.

Die dynamische VLAN-Zuweisung ist, wie SSie segmentieren das Netzwerk nach Geräteidentität. Ein Mitarbeitergerät erhält VLAN 10 mit Zugriff auf interne Systeme. Ein Gerät eines externen Dienstleisters erhält VLAN 20 mit reinem Internetzugang. Ein Point-of-Sale-Terminal erhält VLAN 30 mit Zugriff ausschließlich auf Zahlungsverarbeitungssysteme. All dies wird durch Zertifikatsattribute und RADIUS-Richtlinien gesteuert, ohne dass ein manueller Eingriff pro Gerät erforderlich ist.

Weitere Informationen darüber, wie sich WiFi Analytics in die identitätsbasierte Netzwerksegmentierung integrieren lässt, finden Sie in unserer Übersicht über die Analyseplattform.

Implementierungsleitfaden: die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration von SCEP für Enterprise-WiFi erfordert die strikte Einhaltung einer bestimmten Bereitstellungsreihenfolge. MDM-Plattformen erzwingen Profilabhängigkeiten: Ein WiFi-Profil, das auf ein SCEP-Zertifikat verweist, kann erst angewendet werden, wenn dieses Zertifikat auf dem Gerät vorhanden ist. Die Missachtung dieser Reihenfolge ist die häufigste Ursache für Bereitstellungsfehler.

Die Reihenfolge lautet: Trusted Root zuerst, SCEP-Profil an zweiter Stelle, WiFi-Profil an dritter Stelle. Diese Reihenfolge ist nicht verhandelbar.

Schritt 1: Bereitstellung des Trusted-Root-Zertifikatsprofils

Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle (Certificate Authority) vertrauen. Exportieren Sie Ihr Root-CA-Zertifikat – und alle Intermediate-CA-Zertifikate – als .cer-Dateien. Erstellen Sie in Ihrem MDM-Admin-Center ein Trusted-Certificate-Profil, laden Sie die .cer-Datei hoch und stellen Sie sie für Ihre Zielgerätegruppe bereit.

Wenn Sie eine zweistufige PKI-Hierarchie verwenden (empfohlen), müssen Sie je nach MDM-Plattform sowohl das Root-CA- als auch das ausstellende CA-Zertifikat als separate Trusted-Certificate-Profile oder als Kette in einem einzigen Profil bereitstellen.

Schritt 2: Konfiguration des SCEP-Zertifikatsprofils

Sobald das Vertrauen hergestellt ist, konfigurieren Sie das SCEP-Profil, um den Geräten Anweisungen zum Erhalt ihres Client-Zertifikats zu geben.

Erstellen Sie ein neues Konfigurationsprofil und wählen Sie den Profiltyp SCEP-Zertifikat aus. Konfigurieren Sie das Format des Subject-Namens. Für die benutzergesteuerte Authentifizierung ist CN={{UserPrincipalName}} Standard. Verwenden Sie für die Geräteauthentifizierung (gemeinsam genutzte Geräte, IoT, POS-Terminals) CN={{AAD_Device_ID}}. Stellen Sie die Schlüsselverwendung (Key usage) auf Digitale Signatur (Digital signature) und Schlüsselverschlüsselung (Key encipherment) ein. Stellen Sie die erweiterte Schlüsselverwendung (Extended Key Usage) auf Client-Authentifizierung (Client Authentication) (OID: 1.3.6.1.5.5.7.3.2) ein. Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten Trusted-Root-Zertifikatsprofil. Geben Sie die externe URL Ihres NDES-Servers an.

Speziell für Microsoft Intune muss der NDES-Server über den Azure AD-Anwendungsproxy veröffentlicht werden, damit sich Remote-Geräte registrieren können, bevor sie vor Ort eintreffen. Setzen Sie NDES nicht direkt dem Internet aus.

Schritt 3: Bereitstellung des 802.1X-WiFi-Profils

Der letzte Schritt besteht darin, die WiFi-Konfiguration zu übertragen, die die Zertifikate an die Netzwerk-SSID bindet. Erstellen Sie ein Wi-Fi-Konfigurationsprofil. Geben Sie den Netzwerknamen (SSID) genau so ein, wie er von Ihren Access Points übertragen wird. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp. Stellen Sie den EAP-Typ auf EAP-TLS ein. Wählen Sie in den Authentifizierungseinstellungen das in Schritt 2 erstellte SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus. Geben Sie das Trusted-Root-Zertifikat für die Servervalidierung an – dies stellt sicher, dass sich das Gerät nur mit Ihrem legitimen RADIUS-Server und nicht mit einem betrügerischen Access Point verbindet.

Integration von Identitätsanbietern

SCEP-Zertifikatsattribute – insbesondere der Subject Alternative Name (SAN) – können den Principal-Namen des Benutzers aus Microsoft Entra ID, Okta, oder Google Workspace übertragen. Dadurch wird das Zertifikat an eine bestimmte Identität gebunden. Wenn Sie ein Konto in Entra ID deaktivieren und das MDM das Gerät abmeldet, wird das Zertifikat widerrufen und der WiFi-Zugang automatisch gesperrt. Dieser automatisierte Widerruf ist das Sicherheitsmerkmal, mit dem Pre-Shared Keys nicht mithalten können.

Weitere Informationen zu EAP Method WiFi: A Guide to Secure Network Access , einschließlich PEAP-MSCHAPv2-Migrationspfaden, finden Sie in unserem speziellen Leitfaden.

Best Practices und Branchenstandards

Platzierung des NDES-Servers

Der NDES-Server muss aus dem Internet erreichbar sein, damit sich Geräte registrieren können, bevor sie vor Ort eintreffen. Veröffentlichen Sie die NDES-URL über den Azure AD-Anwendungsproxy. Dies ermöglicht einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und erlaubt es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsfluss anzuwenden. Setzen Sie NDES niemals direkt dem Internet aus.

Ziehen Sie bei Netzwerken mit mehr als 500 verwalteten Geräten ein Cloud-SCEP-Gateway anstelle eines lokalen NDES in Betracht. Cloud-Gateways eliminieren den Single Point of Failure von NDES, skalieren horizontal und lassen sich in der Regel direkt in Cloud-RADIUS-Dienste integrieren.

CRL-Verfügbarkeit

Ihr RADIUS-Server überprüft bei jeder Authentifizierung eines Geräts die Zertifikatssperrliste (Certificate Revocation List, CRL). Wenn Ihr CRL-Verteilungspunkt (CDP) nicht verfügbar ist – weil ein Server offline ist oder sich die URL geändert hat –, schlägt die Authentifizierung für alle Geräte im Netzwerk gleichzeitig fehl. Konfigurieren Sie Ihren NPS- oder RADIUS-Server so, dass eine strikte CRL-Prüfung erzwungen wird, und stellen Sie eine hohe Verfügbarkeit Ihrer CRL-Endpunkte sicher. Testen Sie den Widerruf vor der Liveschaltung.

Die PCI-DSS-4.0-Anforderung 8.6 schreibt eine Multi-Faktor-Authentifizierung auf Netzwerkebene für Karteninhaber-Datenumgebungen vor. EAP-TLS mit über SCEP bereitgestellten Zertifikaten erfüllt diese Anforderung für drahtlose Netzwerke in Umgebungen des Einzelhandels und des Gastgewerbes .

WPA3-Kompatibilität

EAP-TLS ist vollständig kompatibel mit WPA3-Enterprise. WPA3-Enterprise mit der 192-Bit-Sicherheitssuite (Suite B) schreibt EAP-TLS vor und ist die von der Wi-Fi Alliance empfohlene Kombination für Regierungs-, Finanz- und Gesundheitsnetzwerke. Wenn Sie die Bereitstellung in Umgebungen des Gesundheitswesens oder des Transportwesens mit strengen Compliance-Anforderungen durchführen, ist WPA3-Enterprise mit EAP-TLS die richtige Zielarchitektur.

BYOD und Gast-WWiFi

SCEP erfordert eine MDM-Registrierung, um den Zertifikats-Payload zu übertragen. Unverwaltete BYOD-Geräte oder Gäste werden damit nicht abgedeckt. Für diese Anwendungsfälle benötigen Sie eine separate SSID mit einem Captive Portal und Identitätsprüfung. Die Plattform von Purple übernimmt diese Ebene nahtlos und läuft parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk. Unsere Guest WiFi -Plattform unterstützt bewusste Opt-ins, die Erfassung von First-Party-Daten und die Integration mit Microsoft Entra ID, Okta und Google Workspace zur Identitätsprüfung.

Fehlerbehebung und Risikominderung

WiFi-Profil kann nicht angewendet werden

Symptom: Das Gerät empfängt die Trusted Root- und SCEP-Zertifikate, aber das WiFi-Profil wird im MDM als „Fehler“ oder „Nicht anwendbar“ angezeigt.

Ursache: Diskrepanz bei der Gruppenzuweisung. Wenn das SCEP-Profil auf eine Benutzergruppe und das WiFi-Profil auf eine Gerätegruppe abzielt, kann das MDM die Abhängigkeit nicht auflösen.

Lösung: Überprüfen Sie Ihre Zuweisungen. Stellen Sie sicher, dass die Trusted Root-, SCEP- und WiFi-Profile alle auf dieselbe Verzeichnisgruppe abzielen.

NDES 403 Forbidden-Fehler

Symptom: Geräte können das SCEP-Zertifikat nicht abrufen. Die NDES-IIS-Protokolle zeigen HTTP 403-Fehler.

Ursache: Dem Dienstkonto des MDM Certificate Connectors fehlen die Berechtigungen „Lesen“ und „Registrieren“ (Read and Enroll) für die Zertifikatsvorlage, oder die URL-Filterung der Firewall blockiert SCEP-Abfragezeichenfolgen-Parameter.

Lösung: Überprüfen Sie, ob das Connector-Konto über die Berechtigungen „Lesen“ und „Registrieren“ für die CA-Vorlage verfügt. Überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass URLs, die ?operation=GetCACaps enthalten, nicht blockiert werden.

Massenauthentifizierungsfehler nach CRL-Ablauf

Symptom: Bei allen Geräten im Netzwerk schlägt die Authentifizierung gleichzeitig fehl.

Ursache: Die CRL ist abgelaufen oder die CDP-URL ist nicht erreichbar. Der RADIUS-Server kann die Gültigkeit der Zertifikate nicht bestätigen und blockiert den Zugriff (fails closed).

Lösung: Konfigurieren Sie die CRL-Überwachung und -Alarmierung. Veröffentlichen Sie CRLs mit einer Gültigkeitsdauer, die deutlich über dem Veröffentlichungsintervall liegt. Testen Sie die CDP-Erreichbarkeit vom RADIUS-Server aus vor der Liveschaltung.

Zertifikatsablauf führt zu unbemerkten Ausfällen

Symptom: Einzelne Geräte können sich sporadisch und ohne klares Muster nicht verbinden.

Ursache: Client-Zertifikate sind abgelaufen und das MDM hat sie nicht erfolgreich erneuert.

Lösung: Konfigurieren Sie die Zertifikatsverlängerung so, dass sie bei 80 % der Zertifikatslebensdauer ausgelöst wird. Überwachen Sie die MDM-Registrierungsstatusberichte auf Geräte mit Zertifikatsfehlern. Legen Sie die Gültigkeitsdauer von Zertifikaten passend zu Ihrem Geräteaktualisierungszyklus fest – in der Regel ein bis zwei Jahre für verwaltete Endpunkte.

ROI und geschäftliche Auswirkungen

Der Übergang zur SCEP-basierten 802.1X-Zertifikatsauthentifizierung liefert messbare Vorteile in den Bereichen Sicherheit, Betrieb und Compliance.

Reduzierung von Helpdesk-Tickets: Passwortbasiertes WiFi verursacht ein erhebliches Volumen an Support-Tickets – durch abgelaufene Passwörter, Sperrungen und Tippfehler. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar. Unternehmen verzeichnen nach der Migration in der Regel eine Reduzierung des WiFi-bezogenen Helpdesk-Volumens um 70–80 %.

Sicherheitsniveau: EAP-TLS eliminiert das Abgreifen von Anmeldedaten (Credential Harvesting) und Man-in-the-Middle-Angriffe. Dies unterstützt direkt die Einhaltung von PCI DSS 4.0 für Netzwerke im Einzelhandel und im Gastgewerbe sowie die Anforderungen von Artikel 32 der GDPR für geeignete technische Sicherheitsmaßnahmen.

Automated Revocation: Wenn ein Mitarbeiter das Unternehmen verlässt, führt die Deaktivierung seines Kontos in Microsoft Entra ID zum automatischen Widerruf des Zertifikats und zur MDM-Abmeldung. Der WiFi-Zugriff wird ohne manuelles Eingreifen des Netzwerkteams gesperrt.

Netzwerksegmentierung: Die dynamische VLAN-Zuweisung über RADIUS-Zertifikatsattribute bietet Ihnen eine kryptografisch erzwungene Netzwerksegmentierung. Geräte landen basierend auf den Zertifikatseigenschaften im richtigen Netzwerksegment, nicht auf Basis der SSID-Auswahl oder der MAC-Adressfilterung – beides lässt sich leicht umgehen.

Purple ist an über 80.000 Live-Standorten mit einer Betriebszeit von 99,999 % im Einsatz, und unsere Plattform ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Unser hardwareunabhängiges Cloud-Overlay lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren – sodass Ihr zertifikatsauthentifiziertes Mitarbeiternetzwerk und unsere Gast-WiFi-Ebene auf derselben Infrastruktur aufbauen.

Weitere Informationen darüber, wie Verhaltensanalysen: Einblicke für WiFi-Netzwerke Ihre sichere Netzwerkbereitstellung ergänzen kann, finden Sie in unserem Leitfaden für Analysen.

Referenzen

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Infrastruktur zur Unterstützung von SCEP mit Intune konfigurieren - Microsoft Learn [3] PCI DSS Wireless-Richtlinien - PCI Security Standards Council