Jamf and RADIUS: Zertifikatsbasierte WiFi-Authentifizierung für Apple-Geräteflotten

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs praktische Schritte zur Implementierung der zertifikatsbasierten 802.1X WiFi-Authentifizierung für Apple-Geräteflotten mit Jamf Pro und RADIUS. Er deckt den gesamten SCEP-Zertifikatsbereitstellungsworkflow, die Struktur von WiFi-Konfigurationsprofilen, die Anforderungen an die RADIUS-Integration und praxisnahe Implementierungsszenarien aus dem Gesundheitswesen und Unternehmensumgebungen ab. Der Leitfaden ist unverzichtbar für alle Organisationen, die passwortbasierte WiFi-Sicherheitslücken beseitigen, den Aufwand für den Helpdesk reduzieren und die Einhaltung von Netzwerkzugriffsstandards gemäß PCI DSS und GDPR gewährleisten möchten.

📖 9 Min. Lesezeit📝 2,102 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Moderator, und heute widmen wir uns einem geschäftskritischen Infrastrukturthema für Apple-Unternehmensumgebungen: der Bereitstellung von zertifikatsbasierter WiFi-Authentifizierung mithilfe von Jamf Pro und RADIUS.

Wenn Sie IT-Manager, Netzwerkarchitekt oder Leiter des Standortbetriebs sind, kennen Sie den Ärger mit passwortbasiertem WiFi. Benutzer ändern ihre Active Directory-Passwörter, und plötzlich verlieren ihre iPhones, iPads und MacBooks die Verbindung zum Netzwerk. Die Zahl der Helpdesk-Tickets schnellt in die Höhe. Die Sicherheit ist gefährdet, da Passwörter geteilt, per Phishing gestohlen oder abgefangen werden können.

Die Lösung der Enterprise-Klasse ist 802.1X EAP-TLS. Das ist die zertifikatsbasierte Authentifizierung. Keine Passwörter mehr. Das Gerät authentifiziert sich selbst über ein kryptografisches Zertifikat. Und wenn Sie eine Flotte von Apple-Geräten verwalten, ist die Bereitstellung dieser Zertifikate und der entsprechenden WiFi-Konfigurationen über das Mobile Device Management – speziell Jamf Pro – der Branchenstandard.

Lassen Sie uns die Architektur aufschlüsseln. Am Edge-Bereich haben Sie Ihre Enterprise-Access-Points. Dahinter Ihren RADIUS-Server – vielleicht FreeRADIUS, Cisco ISE oder Microsoft NPS. Und für die Verwaltung der Geräte nutzen Sie Jamf Pro.

Der Schlüssel liegt in einem Protokoll namens SCEP – Simple Certificate Enrollment Protocol. SCEP ermöglicht es Jamf, einem Apple-Gerät mitzuteilen: Wende dich an diese Zertifizierungsstelle und hole dir ein eindeutiges Zertifikat.

Hier ist der Ablauf Schritt für Schritt. Zuerst konfigurieren Sie ein Konfigurationsprofil in Jamf Pro. Dieses Profil enthält zwei entscheidende Payloads. Das erste ist das SCEP-Payload. Dieses teilt dem macOS- oder iOS-Gerät die URL Ihres SCEP-Servers mit und stellt ein dynamisches Challenge-Passwort bereit. Das Gerät generiert eine Zertifikatsignierungsanforderung – kurz CSR – und sendet sie an den SCEP-Server. Der SCEP-Server validiert die Challenge, signiert das Zertifikat und stellt es für das Gerät aus.

Jetzt verfügt das Gerät über ein eindeutiges, identitätsgebundenes Zertifikat. Aber es muss wissen, was es damit tun soll. Hier kommt das zweite Payload ins Spiel: das WiFi-Payload. In Jamf konfigurieren Sie das WiFi-Payload für WPA2 oder WPA3 Enterprise. Sie wählen EAP-TLS als akzeptierten EAP-Typ aus. Und was besonders wichtig ist: Sie verknüpfen dieses WiFi-Payload mit dem SCEP-Payload, das Sie gerade erstellt haben. Sie sagen dem Gerät damit: Wenn du dich mit der Unternehmens-SSID verbindest, verwende das Zertifikat aus diesem SCEP-Prozess zur Authentifizierung.

Wenn der Benutzer das Büro betritt, erkennt das MacBook die SSID. Es initiiert eine 802.1X-Verbindung. Der Access-Point leitet die Anfrage an den RADIUS-Server weiter. Der RADIUS-Server und das MacBook tauschen Zertifikate aus, um eine gegenseitige Vertrauensstellung aufzubauen. Der RADIUS-Server validiert das Zertifikat des MacBooks bei der Zertifizierungsstelle. Wenn es gültig und nicht gesperrt ist und den erforderlichen Richtlinien entspricht, sendet der RADIUS-Server eine Access-Accept-Nachricht an den Access-Point, und das Gerät ist im Netzwerk. Nahtlos. Ohne jegliche Benutzerinteraktion.

Sprechen wir über Fallstricke bei der Implementierung. Das häufigste Problem, das wir sehen, sind Fehler in der Vertrauenskette von Zertifikaten. Damit EAP-TLS funktioniert, muss das Apple-Gerät dem Zertifikat des RADIUS-Servers vertrauen, und der RADIUS-Server muss dem Zertifikat des Geräts vertrauen. In Ihrem Jamf WiFi-Profil müssen Sie die Namen der vertrauenswürdigen Serverzertifikate explizit definieren und das Root-CA-Zertifikat im Profil enthalten. Wenn Sie dies vergessen, schlägt die Verbindung unter iOS und macOS stillschweigend fehl, oder der Benutzer wird aufgefordert, dem Zertifikat manuell zu vertrauen – was den gesamten Zweck der MDM-Bereitstellung zunichte macht.

Ein weiterer häufiger Fallstrick ist die anfängliche SCEP-Registrierungsanforderung (Enrollment Challenge). Wenn das Gerät versucht, sein SCEP-Zertifikat über genau das WiFi-Netzwerk zu beziehen, auf das es zum Zugriff erst noch zugreifen muss, haben Sie ein Henne-Ei-Problem. Sie benötigen ein Onboarding-Netzwerk, oder die Geräte müssen ihre Profile über Ethernet oder Mobilfunkdaten erhalten, bevor sie sich mit dem Unternehmens-WiFi verbinden.

Betrachten wir nun ein reales Szenario. Ein großes Krankenhausnetzwerk stellte fünftausend iPads für das klinische Personal bereit. Sie verwendeten PEAP mit Benutzernamen und Passwörtern. Alle neunzig Tage liefen die Active Directory-Passwörter ab. Am Morgen nach dem Ablauf konnten Hunderte von Krankenschwestern nicht auf die Patientenakten zugreifen, weil ihre iPads die WiFi-Verbindung verloren hatten. Durch den Wechsel zu Jamf-verwaltetem SCEP und EAP-TLS entfielen die Passwort-Iterationen für den Netzwerkzugriff vollständig. Die Zertifikate waren ein Jahr lang gültig, und Jamf erneuerte sie automatisch dreißig Tage vor Ablauf via SCEP. Die Helpdesk-Tickets für WiFi sanken um fünfundachtzig Prozent.

Hier sind die Fragen und Antworten im Schnelldurchlauf. Frage: Kann ich PEAP mit Jamf anstelle von EAP-TLS verwenden? Technisch gesehen ja, aber Sie verlieren den entscheidenden Vorteil der passwortlosen Authentifizierung. EAP-TLS ist der empfohlene Standard. Frage: Benötige ich eine interne CA oder kann ich eine öffentliche CA verwenden? Für die RADIUS-Authentifizierung wird eine interne CA dringend empfohlen, da Sie die Ausstellung und den Widerruf von Gerätezertifikaten selbst kontrollieren. Frage: Was passiert, wenn ein Gerät aus Jamf abgemeldet wird? Das Zertifikat sollte auf CA-Ebene widerrufen werden, und der RADIUS-Server sollte die Zertifikatssperrliste (CRL) prüfen, um den Zugriff zu verweigern.

Was sind also die wichtigsten Erkenntnisse? Erstens: Verabschieden Sie sich von PEAP und Passwörtern. EAP-TLS ist der Goldstandard für Apple-Flotten. Zweitens: Nutzen Sie die dynamischen SCEP-Payloads von Jamf Pro, um eindeutige, gerätegebundene Zertifikate ohne manuelles Eingreifen auszustellen. Drittens: Stellen Sie sicher, dass Ihre Vertrauensketten für Zertifikate in Ihren Konfigurationsprofilen explizit definiert sind, um stillschweigende Fehler zu vermeiden. Viertens: Planen Sie Ihr Onboarding-Netzwerk sorgfältig – Geräte benötigen einen Pfad zum SCEP-Server, bevor sie dem sicheren WiFi beitreten können. Und fünftens: Verwenden Sie gerätebasierte Zertifikate für gemeinsam genutzte Hardware und benutzerbasierte Zertifikate für Eins-zu-eins-Bereitstellungen.

Das war unser heutiger technischer Deep Dive zu Jamf und RADIUS. Detailliertere Konfigurationsschritte und Architekturdiagramme finden Sie im vollständigen schriftlichen Leitfaden auf der Purple-Plattform. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓EAP-TLS ist der Goldstandard für die Enterprise-WiFi-Authentifizierung – es eliminiert Passwörter vollständig und erfordert, dass sowohl das Gerät als auch der RADIUS-Server ihre Identität mithilfe digitaler Zertifikate nachweisen.
✓Jamf Pro automatisiert die Zertifikatsverteilung an Apple-Flotten in großem Umfang über das SCEP-Protokoll, wobei dynamische Challenge-Passwörter pro Gerät sicherstellen, dass sich nur verwaltete Geräte registrieren können.
✓Eine erfolgreiche Jamf-WiFi-Bereitstellung erfordert zwei verknüpfte Payloads in einem einzigen Konfigurationsprofil: einen SCEP-Payload zum Erhalt des Zertifikats und einen WiFi-Payload, der dieses Zertifikat als Identität referenziert.
✓Der häufigste Bereitstellungsfehler ist eine unvollständige Zertifikats-Vertrauenskette – das Jamf-WiFi-Profil muss explizit die Root-CA enthalten und den CN des RADIUS-Servers im Feld "Trusted Server Certificate Names" angeben.
✓Gerätebasierte Zertifikate (SAN = MAC-Adresse) sind für gemeinsam genutzte Hardware unerlässlich und stellen die Netzwerkkonnektivität bereits beim Booten sicher, noch bevor sich ein Benutzer anmeldet.
✓Planen Sie das Onboarding-Netzwerk sorgfältig – Geräte benötigen einen Netzwerkpfad zum SCEP-Server, bevor sie ihr Zertifikat erhalten und dem sicheren 802.1X-SSID beitreten können.
✓Die automatisierte Zertifikatsverlängerung (konfiguriert auf 30 Tage vor Ablauf) und die sofortige Sperrung bei der Außerbetriebnahme von Geräten sind unverzichtbare betriebliche Anforderungen für eine sichere und widerstandsfähige Bereitstellung.

Executive Summary

Die Verwaltung des sicheren WiFi-Zugangs für eine Flotte von Apple-Geräten in einer Unternehmensumgebung stellt eine erhebliche betriebliche und sicherheitstechnische Herausforderung dar, wenn man sich auf die herkömmliche passwortbasierte Authentifizierung verlässt. Benutzer ändern ihre Active Directory-Anmeldedaten, und sofort verlieren ihre iPhones, iPads und MacBooks die Verbindung zum Netzwerk — was Support-Tickets generiert, Arbeitsabläufe unterbricht und das Unternehmen für Angriffe auf Anmeldedaten anfällig macht.

Für IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors ist die Lösung eine zertifikatsbasierte 802.1X-Authentifizierung mittels EAP-TLS. Durch die Nutzung von Jamf Pro zur Verteilung eindeutiger kryptografischer Zertifikate über SCEP (Simple Certificate Enrollment Protocol) und die Integration mit einem RADIUS-Server können Unternehmen einen nahtlosen, passwortlosen WiFi-Zugang für jedes verwaltete Apple-Gerät realisieren. Dieser Leitfaden bietet einen praxisnahen, herstellerneutralen Ansatz für die Bereitstellung der Jamf RADIUS WiFi-Zertifikatsauthentifizierung, um robuste Sicherheit, die Einhaltung von Standards wie PCI DSS und GDPR sowie eine messbare Reduzierung des Support-Aufwands zu gewährleisten.

Technical Deep-Dive

The 802.1X EAP-TLS Architecture

Die Grundlage der zertifikatsbasierten WiFi-Authentifizierung ist der IEEE 802.1X-Standard in Kombination mit dem EAP-TLS-Protokoll (Extensible Authentication Protocol-Transport Layer Security). Eine detaillierte Einführung in den 802.1X-Standard selbst finden Sie in unserem Leitfaden über 802.1X Authentication: Securing Network Access on Modern Devices .

Im Gegensatz zu PEAP (Protected EAP), das auf Benutzername und Passwort basiert, erfordert EAP-TLS, dass sowohl das Client-Gerät als auch der Authentifizierungsserver ihre Identität mithilfe digitaler Zertifikate nachweisen. Diese gegenseitige Authentifizierung macht EAP-TLS zum Goldstandard für Unternehmensbereitstellungen. Das Drei-Parteien-Modell besteht aus den folgenden Komponenten.

Komponente	Rolle	Beispiele
Supplicant	Das Apple-Gerät, das den Netzwerkzugriff anfordert	MacBook, iPhone, iPad
Authenticator	Das Netzwerk-Edge-Gerät, das die Zugriffskontrolle erzwingt	WiFi Access Point, WLC
Authentication Server	Validiert Zertifikate und autorisiert den Zugriff	FreeRADIUS, Cisco ISE, Microsoft NPS

Der Access Point fungiert als Gatekeeper und blockiert den gesamten Datenverkehr, bis der RADIUS-Server eine Access-Accept-Nachricht sendet. Dies ist der Kern des portbasierten Network Access Control (PNAC)-Modells nach IEEE 802.1X.

SCEP und Jamf Pro: Skalierbare Zertifikatsverteilung

Die Herausforderung bei EAP-TLS im großen Maßstab ist die Zertifikatsverteilung. Die manuelle Installation eines eindeutigen Zertifikats auf 500 iPads ist im Betrieb nicht machbar. An dieser Stelle wird die Integration von Jamf Pro und SCEP Jamf zum entscheidenden Faktor.

SCEP (Simple Certificate Enrollment Protocol) ist ein leichtgewichtiges Protokoll, mit dem ein Gerät automatisch ein signiertes Zertifikat von einer Zertifizierungsstelle (CA) anfordern und empfangen kann. Jamf Pro fungiert dabei als Orchestrator und pusht ein Konfigurationsprofil auf jedes Apple-Gerät. Dieses Profil enthält einen SCEP-Payload, der das Gerät anweist, den SCEP-Server zu kontaktieren, ein dynamisches Challenge-Passwort bereitstellt und die erforderlichen Zertifikatsattribute spezifiziert – wie beispielsweise den Subject Alternative Name (SAN), der in der Regel der MAC-Adresse oder Seriennummer des Geräts zugeordnet ist.

Der Mechanismus des dynamischen Challenge-Passworts ist besonders wichtig. Bei einer Jamf-integrierten SCEP-Bereitstellung generiert Jamf ein eindeutiges, einmaliges Challenge-Passwort für jedes Gerät. Dies stellt sicher, dass nur in Jamf Pro registrierte – und somit unternehmensseitig verwaltete – Geräte erfolgreich ein Zertifikat von der CA erhalten können. Dies ist eine kritische Sicherheitskontrolle, die verhindert, dass sich unbefugte Geräte registrieren.

RADIUS-Attribute für die Authentifizierung von Apple-Geräten

Wenn der RADIUS-Server einen Access-Request vom Access Point empfängt, wertet er mehrere Attribute aus, um seine Autorisierungsentscheidung zu treffen. Für Apple 802.1X-Bereitstellungen sind die folgenden RADIUS-Attribute am relevantesten.

RADIUS-Attribut	Beschreibung	Apple-Relevanz
`User-Name` (Attr 1)	Die vom Supplicant präsentierte Identität	Typischerweise der Subject CN oder SAN des Zertifikats
`NAS-IP-Address` (Attr 4)	Die IP-Adresse des Access Points	Wird für AP-spezifische Richtlinien verwendet
`Called-Station-Id` (Attr 30)	Die BSSID und die SSID des APs	Ermöglicht die Durchsetzung von Richtlinien auf SSID-Basis
`EAP-Message` (Attr 79)	Das gekapselte EAP-Paket	Enthält die TLS-Handshake-Daten
`Tunnel-Type` (Attr 64)	Spezifiziert den VLAN-Zuweisungstyp	Wird für die dynamische VLAN-Zuweisung nach der Authentifizierung verwendet
`Tunnel-Medium-Type` (Attr 65)	Spezifiziert das Medium für den Tunnel	Erforderlich für 802.1Q-VLAN-Tagging
`Tunnel-Private-Group-Id` (Attr 81)	Die zuzuweisende VLAN-ID	Ermöglicht rollenbasierte Netzwerksegmentierung

Das Attribut Tunnel-Private-Group-Id ist in Unternehmensumgebungen besonders leistungsfähig. Durch die Rückgabe unterschiedlicher VLAN-IDs basierend auf den Attributen des Zertifikats (z. B. Abteilung, Gerätetyp) kann der RADIUS-Server das Netzwerk dynamisch segmentieren, ohne dass separate SSIDs erforderlich sind.

Implementierungsleitfaden

Die Bereitstellung der Zertifikats-WiFi-Authentifizierung für Apple-Geräte über Jamf Pro folgt einer strukturierten Abfolge. Das Abweichen von dieser Reihenfolge ist die Hauptursache für fehlerhafte Bereitstellungen.

Schritt 1: Einrichten der Infrastruktur Ihrer Zertifizierungsstelle

Bevor Sie Anpassungen in Jamf vornehmen, muss Ihre CA-Infrastruktur eingerichtet sein. Für Microsoft-Umgebungen ist dies in der Regel Active Directory Certificate Services (AD CS) mit der Rolle Network Device Enrollment Service (NDES), die als SCEP-Server fungiert. Für Nicht-Microsoft-Umgebungen stehen Optionen wie EJBCA, HashiCorp Vault PKI oder Cloud-basierte CAs wie AWS Private CA zur Verfügung.

Stellen Sie sicher, dass Ihre CA-Hierarchie klar definiert ist: eine Root-CA, die offline aufbewahrt wird, und eine oder mehrere ausstellende CAs, die die Gerätezertifikate signieren. Der RADIUS-Server benötigt ein eigenes Zertifikat, das von derselben CA-Hierarchie signiert wurde.

Schritt 2: SCEP-Payload in Jamf Pro konfigurieren

Navigieren Sie zu Computer (oder Mobilgeräte) > Konfigurationsprofile > Neu. Fügen Sie ein Zertifikat-Payload hinzu und wählen Sie SCEP als Zertifikatsquelle aus. Die wichtigsten Felder sind wie folgt.

URL: Der SCEP-Endpunkt (z. B. http://ndes.yourdomain.com/certsrv/mscep/mscep.dll).
Name: Ein aussagekräftiger Name, der im Schlüsselbund des Geräts angezeigt wird.
Subjekt (Subject): Der Distinguished Name des Zertifikats. Verwenden Sie Jamf-Variablen wie CN=$COMPUTERNAME für Computer oder CN=$JSSID für Mobilgeräte.
Alternativer Antragstellername (SAN): Stellen Sie den SAN-Typ auf RFC 822-Name mit dem Wert $MACADDRESS@yourdomain.com oder DNS-Name mit $COMPUTERNAME.yourdomain.com ein. Dies ist der Wert, den der RADIUS-Server zur Identifizierung des Geräts ausliest.
Challenge-Typ: Wählen Sie Dynamisch, um den integrierten SCEP-Proxy von Jamf zu nutzen, der gerätespezifische Challenge-Passwörter generiert.
Schlüssellänge: Mindestens 2048-Bit-RSA. 4096-Bit wird für neue Bereitstellungen empfohlen.
Schlüsselverwendung: Aktivieren Sie sowohl Signieren als auch Verschlüsselung.

Schritt 3: WiFi-Payload konfigurieren

Fügen Sie im selben Konfigurationsprofil ein Wi-Fi-Payload hinzu. Die wichtigsten Einstellungen für Apple 802.1X sind wie folgt.

SSID: Der exakte Name Ihrer sicheren Unternehmens-SSID.
Sicherheitstyp: WPA2 Enterprise oder WPA3 Enterprise (empfohlen, sofern die Hardware dies unterstützt).
Protokolle — Akzeptierte EAP-Typen: Wählen Sie nur TLS aus. Deaktivieren Sie PEAP, TTLS und alle anderen Typen, um ausschließlich EAP-TLS zu erzwingen.
Authentifizierung — Identitätszertifikat: Wählen Sie das in Schritt 2 erstellte SCEP-Payload aus. Dies ist das entscheidende Bindeglied zwischen dem Zertifikat und der WiFi-Verbindung.
Vertrauen — Namen vertrauenswürdiger Serverzertifikate: Geben Sie den exakten Common Name (CN) des Zertifikats Ihres RADIUS-Servers ein (z. B. radius.yourdomain.com). Dies ist der am häufigsten vergessene Konfigurationsschritt.
Vertrauen — Vertrauenswürdige Zertifikate: Laden Sie die Root-CA und alle Zwischen-CA-Zertifikate hoch, die das Zertifikat des RADIUS-Servers signiert haben.

Schritt 4: RADIUS-Server konfigurieren

Erstellen Sie auf Ihrem RADIUS-Server eine Netzwerkrichtlinie, die den in Jamf definierten Zertifikatsattributen entspricht. Für Microsoft NPS bedeutet dies das Erstellen einer Verbindungsanforderungsrichtlinie, die der SSID über das Attribut Called-Station-Id entspricht, und einer Netzwerkrichtlinie, die das Zertifikat mit Ihrer CA abgleicht und optional über die Tunnel-Attribute ein VLAN zuweist.

Für FreeRADIUS konfigurieren Sie das eap-Modul so, dass es tls verwendet, und verweisen Sie auf Ihr CA-Zertifikat, das Server-Zertifikat sowie den privaten Schlüssel. Die users-Datei oder das SQL-Backend sollte so konfiguriert werden, dass der SAN-Wert des Zertifikats mit Ihrem Gerätebestand abgeglichen wird.

Schritt 5: Zuweisung und Bereitstellung des Profils

Weisen Sie das Konfigurationsprofil in Jamf Pro den entsprechenden Gerätegruppen zu — beispielsweise allen Geräten in der Smart-Gruppe „Corporate Fleet“. Das Profil wird automatisch per MDM bereitgestellt. Online-Geräte erhalten es innerhalb weniger Minuten, während Offline-Geräte es beim nächsten Check-in empfangen.

Best Practices

Implementieren Sie WPA3-Enterprise, wo immer möglich. WPA3-Enterprise mit 192-Bit-Modus bietet eine verbesserte kryptografische Stärke durch die Verwendung von GCMP-256 und HMAC-SHA-384 und bietet damit einen deutlich stärkeren Schutz als WPA2-Enterprise. Für das Gastgewerbe und Gesundheitsorganisationen , die mit sensiblen Daten arbeiten, ist dieses Upgrade zunehmend eine Compliance-Anforderung und nicht mehr nur eine Best Practice.

Nutzen Sie gerätebasierte Zertifikate für gemeinsam genutzte Hardware. Verwenden Sie für gemeinsam genutzte Geräte — wie iPads an Kassensystemen im Einzelhandel, Hotel-Concierge-Tablets oder klinische Geräte — gerätegebundene statt benutzergebundene Zertifikate. Dies stellt sicher, dass sich das Gerät bereits beim Systemstart mit dem Netzwerk verbindet, noch bevor sich ein Benutzer anmeldet. So funktionieren MDM-Check-ins, App-Updates und Push-Benachrichtigungen ordnungsgemäß. Dies ist ein entscheidender Aspekt für Installationen im Einzelhandel , bei denen Geräte schichtübergreifend gemeinsam genutzt werden.

Integrieren Sie den Netzwerkzugriff in Ihr übergeordnetes Sicherheitskonzept. Während Mitarbeiter 802.1X für den sicheren internen Zugriff nutzen, sollten Sie sicherstellen, dass Ihre öffentlichen Netzwerke über eine robuste Guest WiFi -Lösung verwaltet werden, um eine klare Traffic-Trennung aufrechtzuerhalten. Die Kombination aus zertifikatsbasierter Mitarbeiter-Authentifizierung und WiFi Analytics bietet vollständige Transparenz sowohl über das Verhalten authentifizierter Geräte als auch über die Aktivitäten im Gästenetzwerk.

Automatisieren Sie die Zertifikatserneuerung. Konfigurieren Sie die SCEP-Payload in Jamf so, dass eine automatische Erneuerung ausgelöst wird, wenn ein Zertifikat noch 14 bis 30 Tage gültig ist. Dies verhindert das Szenario, dass ein Gerät unbemerkt den Netzwerkzugriff verliert, weil sein Zertifikat über Nacht abgelaufen ist. In Jamf Pro wird dies über die Einstellung Renewal Threshold in der SCEP-Payload gesteuert.

Betreiben Sie eine Certificate Revocation List (CRL) oder einen OCSP-Responder. Wenn ein Gerät ausgemustert, gestohlen oder aus Jamf abgemeldet wird, muss sein Zertifikat auf CA-Ebene widerrufen werden. Konfigurieren Sie Ihren RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den CRL- oder OCSP-Endpunkt überprüft. Ohne diese Prüfung kann sich ein gestohlenes Gerät mit einem gültigen Zertifikat weiterhin im Netzwerk authentifizieren. Weitere Hintergründe zu modernen Entscheidungen im Bereich der Netzwerkinfrastruktur bietet der Leitfaden The Core SD WAN Benefits for Modern Businesses . Er liefert nützliche Kontextinformationen darüber, wie sich die zertifikatsbasierte Authentifizierung in SD-WAN-Overlay-Architekturen integrieren lässt.

Fehlerbehebung & Risikominderung

Das Henne-Ei-Problem bei der Bereitstellung. Geräte benötigen eine Netzwerkverbindung, um den SCEP-Server zu erreichen und ihr Zertifikat herunterzuladen, aber sie benötigen das Zertifikat, um dem sicheren WiFi beizutreten. Dies ist das häufigste Hindernis bei der Bereitstellung. Die empfohlenen Strategien zur Risikominderung sind: Bereitstellung über Ethernet mithilfe von USB-C- oder Lightning-zu-Ethernet-Adaptern; Nutzung von Mobilfunkdaten auf iPhones und iPads mit Mobilfunkunterstützung; oder die Erstellung einer temporären, eingeschränkten Onboarding-SSID mit Firewall-Regeln, die ausschließlich SCEP- und MDM-Traffic zulassen.

Lautlose EAP-TLS-Fehler unter macOS. Wenn die Vertrauenskette unvollständig ist, schlägt die Verbindung unter macOS unter Umständen lautlos fehl, ohne dass eine aussagekräftige Fehlermeldung in der Benutzeroberfläche angezeigt wird. Der einzige Hinweis findet sich im Systemprotokoll. Verwenden Sie log stream --predicate 'subsystem == "com.apple.network"', um Authentifizierungsereignisse in Echtzeit zu erfassen. Überprüfen Sie stets, ob das Array Trusted Server Certificate Names im Jamf-Profil exakt mit dem CN im Zertifikat des RADIUS-Servers übereinstimmt.

RADIUS-Timeout bei hoher Auslastung. In Umgebungen wie Stadien oder Konferenzzentren können gleichzeitige Authentifizierungsanfragen von Hunderten von Geräten den RADIUS-Server überlasten. Steuern Sie dem entgegen, indem Sie RADIUS in einem Hochverfügbarkeitspaar bereitstellen, den Parameter max_requests in FreeRADIUS optimieren und sicherstellen, dass der RADIUS-Server über ausreichend CPU und Arbeitsspeicher für die erwartete gleichzeitige Authentifizierungslast verfügt. Für großflächige Bereitstellungen an Veranstaltungsorten finden Sie in unserem Leitfaden Wireless Access Points Definition Your Ultimate 2026 Guide wichtige Hinweise zur Kapazitätsplanung.

Fehlende Übereinstimmung von Zertifikatsattributen. Wenn der SAN im Gerätezertifikat nicht mit den Erwartungen der RADIUS-Netzwerkrichtlinie übereinstimmt, schlägt die Authentifizierung fehl. Dies kommt besonders häufig vor, wenn von einer CA zu einer anderen migriert wird oder wenn Jamf-Variablen anders aufgelöst werden als erwartet. Testen Sie dies immer zuerst mit einem einzelnen Gerät und überprüfen Sie die Protokolle des RADIUS-Servers, um die genaue Identitätszeichenfolge zu bestätigen, die präsentiert wird, bevor Sie die Bereitstellung auf die gesamte Flotte ausrollen.

ROI und geschäftlicher Nutzen

Der Übergang zur Jamf RADIUS WiFi-Zertifikatsauthentifizierung liefert messbaren geschäftlichen Nutzen in mehreren Dimensionen.

Metrik	Typisches Ergebnis
Reduzierung von Helpdesk-Tickets	60–85 % weniger WiFi-bezogene Supportanfragen
Onboarding-Zeit pro Gerät	Reduziert von 15–30 Minuten auf unter 2 Minuten (Zero-Touch)
Sicherheitsrisiko	Nahezu vollständige Eliminierung von anmeldedatenbasierten WiFi-Angriffen
Compliance-Status	Erfüllt die PCI-DSS-Anforderung 1.3 und die Netzwerkkontrollen gemäß GDPR Artikel 32
Zertifikatslebenszyklus	Automatisierte Verlängerung eliminiert die manuelle Zertifikatsverwaltung

Der wichtigste ROI-Treiber ist die Eliminierung von Störungen durch Passwortrotationen. In einer Flotte von 500 Geräten, bei der jedes Quartal 10 % der Geräte aufgrund von Passwortänderungen die Netzwerkverbindung verlieren und jeder Vorfall 20 Minuten IT-Arbeitszeit zur Behebung erfordert, können allein die jährlichen Einsparungen bei den Supportkosten die Implementierungsinvestition bereits im ersten Jahr rechtfertigen.

Für Betreiber im Bereich Transport und in großen Veranstaltungsräumen wird der Business Case durch die Möglichkeit zur Durchsetzung dynamischer VLAN-Zuweisungen weiter gestärkt – dies stellt sicher, dass betriebliche Geräte, Mitarbeitergeräte und Managementsysteme automatisch ohne manuelle Netzwerkrekonfiguration segmentiert werden.

Schlüsseldefinitionen

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Die sicherste 802.1X-Authentifizierungsmethode, bei der sich sowohl das Client-Gerät als auch der RADIUS-Server gegenseitig mithilfe digitaler Zertifikate authentifizieren müssen. Es wird kein Passwort ausgetauscht oder übertragen.

Wenn IT-Teams passwortbasiertes WiFi eliminieren und strenge Geräte-Compliance durchsetzen müssen, ist EAP-TLS der obligatorische Standard. Es ist der einzige EAP-Typ, der eine gegenseitige Authentifizierung bietet.

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das es Geräten ermöglicht, digitale Zertifikate sicher und automatisch über einen Challenge-Response-Mechanismus von einer Zertifizierungsstelle anzufordern.

Unerlässlich für die Skalierung von Zertifikatsbereitstellungen über Jamf Pro, ohne dass die IT-Abteilung Zertifikate manuell auf Tausenden von Geräten installieren muss. Der dynamische SCEP-Proxy von Jamf generiert gerätespezifische Challenge-Passwörter.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Geräte bietet, die sich mit einem Netzwerkdienst verbinden.

Die zentrale Entscheidungsinstanz, die dem WiFi-Access-Point mitteilt, ob ein von Jamf verwaltetes Gerät im Netzwerk zugelassen ist, und optional, welches VLAN zugewiesen werden soll.

Configuration Profile

Eine von Jamf Pro bereitgestellte XML-Datei (.mobileconfig), die eine oder mehrere Payloads zur Verwaltung von Einstellungen auf Apple-Geräten enthält, einschließlich Zertifikaten, WiFi, VPN und Einschränkungen.

Dies ist das Mittel, mit dem die SCEP-Einstellungen, die WiFi-SSID-Konfiguration und die Vertrauenskette des Zertifikats auf das iPhone, iPad oder den Mac übertragen werden.

CSR (Certificate Signing Request)

Ein vom Apple-Gerät generierter codierter Textblock, der den öffentlichen Schlüssel und Identitätsinformationen enthält und an die Zertifizierungsstelle gesendet wird, um ein signiertes digitales Zertifikat zu beantragen.

Der erste Schritt im SCEP-Prozess. Das Gerät generiert den CSR lokal, wodurch sichergestellt wird, dass der private Schlüssel das Gerät nie verlässt – ein grundlegendes Prinzip der PKI-Sicherheit.

Subject Alternative Name (SAN)

Eine Erweiterung für ein X.509-Zertifikat, die es ermöglicht, dem Zertifikat mehrere Identitätswerte zuzuordnen, wie z. B. E-Mail-Adressen, DNS-Namen, IP-Adressen oder MAC-Adressen.

Entscheidend für die RADIUS-Authentifizierung. Der RADIUS-Server liest den SAN aus, um das Gerät oder den Benutzer zu identifizieren. Bei Jamf-Bereitstellungen wird der SAN in der Regel auf die MAC-Adresse des Geräts oder den UPN des Benutzers festgelegt.

Root CA (Certificate Authority)

Das oberste Zertifikat in einer PKI-Hierarchie, dessen privater Schlüssel zum Signieren von untergeordneten CA-Zertifikaten verwendet wird. Dem Root-CA-Zertifikat müssen alle Parteien in der Authentifizierungskette vertrauen.

Muss über Jamf auf Apple-Geräten bereitgestellt werden, damit diese den vom RADIUS-Server während des EAP-TLS-Handshakes präsentierten Zertifikaten vertrauen. Ohne dies schlägt der Handshake fehl.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, bevor der Netzwerkzugriff gewährt wird.

Das übergeordnete Framework, das den Netzwerkverkehr am Access Point blockiert, bis der RADIUS-Server das von Jamf bereitgestellte Zertifikat validiert. Die gesamte WiFi-Sicherheit in Unternehmen basiert auf diesem Standard.

Dynamic VLAN Assignment

Eine RADIUS-Funktion, die ein verbindendes Gerät basierend auf den in der Access-Accept-Nachricht zurückgegebenen Richtlinienattributen unter Verwendung der RADIUS-Tunnel-Attribute 64, 65 und 81 einem bestimmten VLAN zuweist.

Ermöglicht Netzwerksegmentierung ohne mehrere SSIDs. Eine einzige Unternehmens-SSID kann klinische iPads automatisch VLAN 20, MacBooks der Geschäftsleitung VLAN 30 und Gastgeräte VLAN 100 zuweisen.

Ausgearbeitete Beispiele

Ein Krankenhaus mit 500 Betten muss 1.200 gemeinsam genutzte iPads für das klinische Personal bereitstellen. Derzeit verwenden sie PEAP mit Active Directory-Anmeldedaten, was alle 90 Tage nach Ablauf der Passwörter zu Hunderten von getrennten Geräten führt. Wie sollten sie ihre Authentifizierungsarchitektur neu gestalten?

Das Krankenhaus sollte auf EAP-TLS umsteigen und gerätebasierte Zertifikate verwenden, die über Jamf Pro verwaltet werden. Die Implementierung umfasst vier wichtige Schritte. Zuerst wird AD CS mit der NDES-Rolle als SCEP-Server konfiguriert, der Zertifikate aus einer dedizierten Zertifikatvorlage für "Klinische Geräte" ausstellt. Zweitens wird ein Jamf-Konfigurationsprofil mit einem SCEP-Payload unter Verwendung von $MACADDRESS als SAN und einem WiFi-Payload konfiguriert, der auf die klinische SSID mit reinem EAP-TLS abzielt und dem RADIUS-Serverzertifikat explizit vertraut. Drittens wird Microsoft NPS mit einer Netzwerkrichtlinie konfiguriert, die mit der Zertifikatvorlage für "Klinische Geräte" übereinstimmt und die Geräte dem klinischen VLAN zuweist (Tunnel-Private-Group-Id = 20). Viertens wird der SCEP-Erneuerungsschwellenwert auf 30 Tage festgelegt, um eine automatische Zertifikatsverlängerung ohne IT-Eingriff zu gewährleisten. Um das Onboarding-Netzwerkproblem beim ersten Rollout zu lösen, sollten die Geräte über Ethernet provisioniert werden.

Kommentar des Prüfers: Dieser Ansatz beseitigt das Problem der 90-tägigen Passwortrotation vollständig. Durch die Verwendung von gerätebasierten anstelle von benutzerbasierten Zertifikaten bleiben die iPads auch dann mit dem Netzwerk verbunden, wenn sie in einer Ladestation liegen. So ist sichergestellt, dass sie wichtige MDM-Updates und Push-Benachrichtigungen erhalten, bevor sie von einer Pflegekraft oder einem Arzt in die Hand genommen werden. Die dynamische VLAN-Zuweisung via RADIUS sorgt dafür, dass klinische Geräte automatisch dem richtigen Netzwerksegment zugewiesen werden, wodurch die HIPAA-Anforderungen zur Netzwerksegmentierung ohne manuelle Konfiguration erfüllt werden.

Eine Kreativagentur mit 300 MacBooks zieht in ein neues Büro um. Sie wünscht sich ein Zero-Touch-WiFi-Provisioning — neue MacBooks sollen sich beim Auspacken durch die Endbenutzer am Schreibtisch automatisch mit der sicheren Unternehmens-SSID verbinden, ohne dass die IT eingreifen muss. Wie lässt sich dies realisieren?

Die Agentur muss die automatische Geräteregistrierung von Apple (ADE) mit Jamf Pro und einem sorgfältig sequenzierten Konfigurationsprofil kombinieren. Während des macOS-Einrichtungsassistenten verbindet sich das MacBook über eine temporäre, offene Onboarding-SSID mit dem Internet (durch eine Firewall so eingeschränkt, dass nur Apple-Aktivierung, Jamf MDM und SCEP-Traffic zugelassen sind). Es kontaktiert Apple, erkennt über ADE, dass es zur Agentur gehört, und registriert sich automatisch in Jamf Pro. Jamf Pro sendet sofort ein vorbereitetes Konfigurationsprofil, das den SCEP-Payload und den WiFi-Payload für das Unternehmen enthält. Die SCEP-Registrierung wird über die Onboarding-SSID abgeschlossen, das Zertifikat im Schlüsselbund installiert und der WiFi-Payload aktiviert. Das MacBook wechselt daraufhin automatisch auf die sichere 802.1X-Unternehmens-SSID. Aus Sicht des Benutzers schließt er einfach den Einrichtungsassistenten ab, und der Laptop befindet sich bereits im Unternehmensnetzwerk.

Kommentar des Prüfers: Dieses Szenario verdeutlicht die entscheidende Bedeutung des Onboarding-Netzwerks bei Zero-Touch-Bereitstellungen. Der SCEP-Payload und der WiFi-Payload müssen sich im selben Konfigurationsprofil befinden und der Prestage-Registrierungsgruppe zugewiesen sein, damit sie sofort nach der MDM-Registrierung übertragen werden — noch bevor der Benutzer den Desktop erreicht. Wenn das Profil einer Smart Group zugewiesen ist, die voraussetzt, dass das Gerät zuerst vollständig registriert ist, kann es zu einer Verzögerung kommen, in der das Gerät keinen Netzwerkzugriff hat, was das Zero-Touch-Erlebnis unterbricht.

Übungsfragen

Q1. Sie haben ein Jamf-Konfigurationsprofil mit einem SCEP-Payload und einem WiFi-Payload für 50 MacBooks bereitgestellt. Die SCEP-Zertifikate wurden erfolgreich im Schlüsselbund installiert, aber die MacBooks fordern die Benutzer beim Verbindungsaufbau mit der Unternehmens-SSID über einen Dialog auf, das Zertifikat zu überprüfen ("Verify Certificate"). Welches Konfigurationselement fehlt oder ist fehlerhaft?

Hinweis: Überlegen Sie, welche Informationen das Apple-Gerät benötigt, um der Identität des RADIUS-Servers ohne Benutzerinteraktion automatisch zu vertrauen.

Musterlösung anzeigen

Im WiFi-Payload des Jamf-Konfigurationsprofils fehlt entweder der Eintrag "Trusted Server Certificate Names" (der exakt mit dem CN im Zertifikat des RADIUS-Servers übereinstimmen muss) oder die Root-CA- und Intermediate-CA-Zertifikate, die das Zertifikat des RADIUS-Servers signiert haben, sind nicht im Trust-Payload des Profils enthalten. Ohne explizit definiertes Vertrauen durch das MDM verlangen macOS und iOS, dass der Benutzer das Zertifikat des RADIUS-Servers während des EAP-TLS-Handshakes manuell überprüft und akzeptiert. Beide Felder müssen ausgefüllt sein: das Array für die vertrauenswürdigen Zertifikate (das die CA-Kette enthält) und das Array für die Namen der vertrauenswürdigen Serverzertifikate (das den CN des RADIUS-Servers enthält).

Q2. Eine Einzelhandelskette möchte, dass sich ihre Point-of-Sale-iPads sofort nach dem Booten mit dem sicheren Unternehmens-WiFi verbinden, noch bevor sich ein Mitarbeiter in der POS-Anwendung anmeldet. Die aktuelle Bereitstellung verwendet Benutzerzertifikate, die an individuelle UPNs von Mitarbeitern gebunden sind. Die Geräte können sich zu Beginn einer Schicht häufig nicht verbinden. Was ist die Ursache und was ist die richtige architektonische Änderung?

Hinweis: Berücksichtigen Sie, wann verschiedene Zertifikatstypen im Vergleich zum Benutzer-Authentifizierungslebenszyklus für den iOS-Netzwerk-Stack verfügbar werden.

Musterlösung anzeigen

Die Ursache liegt darin, dass Benutzerzertifikate (die an einen UPN gebunden sind) im Schlüsselbund des Benutzers gespeichert werden und erst zugänglich sind, nachdem sich der Benutzer am Gerät authentifiziert hat. Beim Booten oder auf dem iOS-Sperrbildschirm ist der Schlüsselbund des Benutzers gesperrt, sodass der WiFi-Stack nicht auf das Zertifikat zugreifen kann, um EAP-TLS auszuführen. Die richtige architektonische Änderung besteht darin, auf Gerätezertifikate umzustellen, bei denen der SAN auf die MAC-Adresse oder Seriennummer des Geräts festgelegt ist. Gerätezertifikate werden im System-Schlüsselbund gespeichert, auf den beim Booten zugegriffen werden kann, bevor sich ein Benutzer anmeldet. Die RADIUS-Netzwerkrichtlinie muss so aktualisiert werden, dass sie mit Gerätezertifikaten anstelle von Benutzerzertifikaten übereinstimmt, und der Jamf SCEP-Payload muss so angepasst werden, dass er Variablen auf Geräteebene wie $MACADDRESS oder $SERIALNUMBER als SAN verwendet.

Q3. Ihre Organisation verwendet Microsoft NPS als RADIUS-Server. Sie konfigurieren einen neuen Jamf SCEP-Payload für 200 MacBooks. Die NPS-Netzwerkrichtlinie ist so konfiguriert, dass der Subject Alternative Name (SAN) des Zertifikats mit einem Computerkonto im Active Directory übereinstimmen muss. Welchen SAN-Wert sollten Sie im Jamf SCEP-Payload konfigurieren und welches Format erwartet NPS?

Hinweis: Die NPS-Computerzertifikatsauthentifizierung erfordert, dass der SAN mit der Computeridentität in Active Directory in einem bestimmten Format übereinstimmt.

Musterlösung anzeigen

Für die NPS-Computerzertifikatsauthentifizierung muss der SAN auf den Typ DNS-Name mit dem Wert $COMPUTERNAME.ihredomaene.com (unter Verwendung der Jamf-Variable für den Hostnamen des Computers) festgelegt werden. NPS erwartet, dass der SAN-DNS-Name mit dem vollqualifizierten Domänennamen (FQDN) des Computers übereinstimmt, wie er im Active Directory erscheint. Alternativ kann bei Verwendung des SAN-Typs User Principal Name das Format host/$ COMPUTERNAME@IHREDOMAENE.COM verwendet werden. Die Bedingung der NPS-Netzwerkrichtlinie sollte so eingestellt sein, dass sie mit dem Attribut "Client Certificate SAN" übereinstimmt. Stellen Sie sicher, dass die MacBooks in das Active Directory eingebunden sind oder dass die Computernamen in Jamf mit den Computerobjekten im AD übereinstimmen, da die NPS-Suche andernfalls fehlschlägt, selbst wenn das Zertifikat gültig ist.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.