So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Management-Zusammenfassung

Für Unternehmen – ob ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Standorten oder ein großes Konferenzzentrum – ist die Nutzung von Pre-Shared Keys für das Mitarbeiter-WiFi ein Sicherheitsrisiko und ein betrieblicher Engpass. Ein einziges durchgesickertes Passwort gefährdet das gesamte Netzwerk. Die zertifikatsbasierte Authentifizierung über IEEE 802.1X und EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) eliminiert dieses Risiko vollständig. Jedes Gerät weist seine Identität kryptografisch nach, bevor der Access Point den Netzwerkzugriff gewährt.

Die Herausforderung liegt in der Verteilung. Die manuelle Bereitstellung individueller Client-Zertifikate auf Tausenden von Windows-, iOS- und Android-Geräten ist nicht praktikabel. SCEP (Simple Certificate Enrollment Protocol), das 2020 von der IETF als RFC 8894 formalisiert wurde, löst dieses Problem. Es automatisiert den Prozess der Anforderung, Ausstellung und Installation digitaler Zertifikate auf verwalteten Geräten über Ihre MDM-Plattform – ganz ohne Benutzerinteraktion.

Dieser Leitfaden deckt die gesamte Architektur ab: Was SCEP tut, wie es sich in Microsoft Intune, Jamf und andere MDM-Plattformen integrieren lässt, die genaue Bereitstellungsreihenfolge, bei der die meisten Teams Fehler machen, und die betrieblichen Fallstricke, die zu Ausfällen führen. Wir behandeln außerdem zwei reale Implementierungsszenarien aus der Hotellerie und dem Einzelhandel und erklären, wie sich die Guest WiFi -Plattform von Purple in Ihr zertifikatsauthentifiziertes Mitarbeiternetzwerk einfügt.

Hören Sie sich das begleitende Podcast-Briefing an:

Technischer Deep-Dive: SCEP, PKI und 802.1X

Was SCEP tatsächlich tut

SCEP ist kein Ersatz für Ihre Public Key Infrastructure (PKI). Es ist die automatisierte Registrierungsschicht, die darauf aufsetzt. Ihre PKI – in der Regel eine zweistufige Hierarchie mit einer Offline-Root-CA und einer Online-Ausstellungs-CA – bleibt der Vertrauensanker. SCEP automatisiert den Schritt, bei dem ein Gerät ein Zertifikat von dieser CA anfordert, wodurch die manuelle CSR-Generierung und Zertifikatsinstallation entfallen.

Im Kontext der WiFi-Authentifizierung ist das Zielprotokoll EAP-TLS. Dies ist die 802.1X-Authentifizierungsmethode, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige X.509-Zertifikate vorlegen müssen. Keine Seite vertraut der anderen ohne kryptografischen Nachweis. Dieses gegenseitige Authentifizierungsmodell eliminiert den Diebstahl von Anmeldedaten und schützt vor Evil-Twin-Angriffen, bei denen ein Angreifer einen gefälschten Access Point einrichtet, um Benutzernamen und Passwörter abzufangen.

Eine detaillierte Aufschlüsselung des EAP-TLS-Handshakes finden Sie in unserem Leitfaden über WiFi Certificate Authentication: Secure Network Access .

Der SCEP-Registrierungsablauf Schritt für Schritt

Die gesamte Registrierungskette funktioniert wie folgt: Ihre MDM-Plattform – Microsoft Intune, Jamf oder ein anderes MDM – sendet eine SCEP-Payload an ein verwaltetes Gerät. Diese Payload enthält zwei Dinge: die SCEP-URL, die auf Ihren NDES-Server (Network Device Enrollment Service) oder Ihr Cloud-SCEP-Gateway verweist, und ein Challenge-Passwort oder ein Shared Secret.

Das Gerät generiert lokal sein eigenes öffentliches und privates Schlüsselpaar. Dies ist die entscheidende Sicherheitseigenschaft von SCEP: Der private Schlüssel wird auf dem Gerät generiert, im Secure Enclave- oder TPM-Chip gespeichert und niemals über das Netzwerk übertragen. Das Gerät erstellt dann eine Zertifikatsignierungsanforderung (CSR) und sendet sie an das SCEP-Gateway. Das Gateway validiert das Challenge-Passwort, leitet die CSR an Ihre Zertifizierungsstelle (CA) weiter, und die CA signiert sie und gibt das öffentliche Zertifikat an das Gerät zurück.

Ab diesem Zeitpunkt präsentiert das Gerät dieses Zertifikat dem RADIUS-Server, wenn es sich mit Ihrer WiFi SSID verbindet. Der RADIUS-Server validiert das Zertifikat anhand Ihrer CA-Vertrauenskette, prüft die Zertifikatssperrliste (CRL), um sicherzustellen, dass das Zertifikat nicht gesperrt wurde, und sendet bei erfolgreicher Prüfung eine Access-Accept-Nachricht an den Access Point. Das Gerät ist im Netzwerk. Der gesamte Prozess ist für den Benutzer unsichtbar.

SCEP vs. PKCS: Was ist für WiFi zu verwenden?

MDM-Plattformen wie Intune unterstützen zwei Mechanismen zur Zertifikatsbereitstellung: SCEP und PKCS (Public Key Cryptography Standards). Der architektonische Unterschied ist erheblich.

Bei SCEP wird der private Schlüssel auf dem Gerät generiert und verlässt dieses nie. Bei PKCS generiert die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel zentral, und der Zertifikats-Connector überträgt das Schlüsselpaar über das Netzwerk auf das Gerät. Das bedeutet, dass der private Schlüssel übertragen wird, was eine theoretische Angriffsfläche darstellt.

PKCS eignet sich für Anwendungsfälle, in denen eine Schlüsselhinterlegung (Key Escrow) erforderlich ist, wie z. B. bei der S/MIME-E-Mail-Verschlüsselung. Für die WiFi-Authentifizierung ist SCEP die richtige Wahl. Der private Schlüssel verbleibt auf dem Gerät.

Hardware-Kompatibilität

SCEP und EAP-TLS sind herstellerneutrale Standards. Sie funktionieren über Access Points von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet hinweg. In Ihrer RADIUS-Konfiguration – ob Windows NPS, FreeRADIUS oder ein Cloud-RADIUS-Dienst – definieren Sie die Richtlinien zur Zertifikatsvalidierung und die dynamische VLAN-Zuweisung.

Über die dynamische VLAN-Zuweisung segmentieren Sie das Netzwerk basierend auf der Geräteidentität. Ein Mitarbeitergerät erhält VLAN 10 mit Zugriff auf interne Systeme. Ein Gerät eines externen Dienstleisters erhält VLAN 20 mit reinem Internetzugang. Ein Point-of-Sale-Terminal erhält VLAN 30 mit exklusivem Zugriff auf Zahlungsabwicklungssysteme. All dies wird durch Zertifikatsattribute und RADIUS-Richtlinien gesteuert, ohne dass ein manueller Eingriff pro Gerät erforderlich ist.

Weitere Informationen darüber, wie sich WiFi Analytics in die identitätsbasierte Netzwerksegmentierung integrieren lässt, finden Sie in unserer Übersicht zur Analyseplattform.

Implementierungsleitfaden: Die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration von SCEP für Enterprise WiFi erfordert die strikte Einhaltung einer bestimmten Bereitstellungsreihenfolge. MDM-Plattformen erzwingen Profilabhängigkeiten: Ein WiFi-Profil, das auf ein SCEP-Zertifikat verweist, kann erst angewendet werden, wenn dieses Zertifikat auf dem Gerät vorhanden ist. Die Missachtung dieser Reihenfolge ist die häufigste Ursache für Fehler bei der Bereitstellung.

Die Reihenfolge lautet: Trusted Root zuerst, SCEP-Profil an zweiter Stelle, WiFi-Profil an dritter Stelle. Diese Reihenfolge ist nicht verhandelbar.

Schritt 1: Bereitstellung des Trusted Root-Zertifikatprofils

Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle (CA) vertrauen. Exportieren Sie Ihr Root-CA-Zertifikat – und alle Intermediate-CA-Zertifikate – als .cer-Dateien. Erstellen Sie in Ihrem MDM-Admin-Center ein Profil für vertrauenswürdige Zertifikate (Trusted Certificate), laden Sie die .cer-Datei hoch und stellen Sie sie für Ihre Zielgerätegruppe bereit.

Wenn Sie eine zweistufige PKI-Hierarchie nutzen (empfohlen), müssen Sie sowohl das Root-CA- als auch das ausstellende CA-Zertifikat als separate Profile für vertrauenswürdige Zertifikate oder, je nach MDM-Plattform, als Kette in einem einzigen Profil bereitstellen.

Schritt 2: Konfiguration des SCEP-Zertifikatprofils

Sobald das Vertrauen hergestellt ist, konfigurieren Sie das SCEP-Profil, um den Geräten mitzuteilen, wie sie ihr Client-Zertifikat anfordern können.

Erstellen Sie ein neues Konfigurationsprofil und wählen Sie den Profiltyp SCEP-Zertifikat aus. Konfigurieren Sie das Format des Subject Name. Für die benutzergesteuerte Authentifizierung ist CN={{UserPrincipalName}} der Standard. Für die Geräteauthentifizierung (gemeinsam genutzte Geräte, IoT, POS-Terminals) verwenden Sie CN={{AAD_Device_ID}}. Stellen Sie die Schlüsselverwendung (Key usage) auf Digitale Signatur und Schlüsselverschlüsselung (Key encipherment) ein. Setzen Sie die erweiterte Schlüsselverwendung (Extended Key Usage) auf Client-Authentifizierung (OID: 1.3.6.1.5.5.7.3.2). Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten Trusted Root-Zertifikatprofil. Geben Sie die externe URL Ihres NDES-Servers an. Für Microsoft Intune im Speziellen muss der NDES-Server über den Azure AD-Anwendungsproxy veröffentlicht werden, damit sich Remote-Geräte registrieren können, bevor sie vor Ort eintreffen. Setzen Sie den NDES-Server nicht direkt dem Internet aus.

Schritt 3: Bereitstellen des 802.1X WiFi-Profils

Der letzte Schritt besteht darin, die WiFi-Konfiguration bereitzustellen, die die Zertifikate mit der Netzwerk-SSID verknüpft. Erstellen Sie ein Wi-Fi-Konfigurationsprofil. Geben Sie den Netzwerknamen (SSID) genau so ein, wie er von Ihren Access Points übertragen wird. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp. Stellen Sie den EAP-Typ auf EAP-TLS ein. Wählen Sie in den Authentifizierungseinstellungen das in Schritt 2 erstellte SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus. Geben Sie das vertrauenswürdige Stammzertifikat für die Servervalidierung an – dies stellt sicher, dass sich das Gerät nur mit Ihrem legitimen RADIUS-Server und nicht mit einem betrügerischen Access Point verbindet.

Integration des Identity Providers

SCEP-Zertifikatsattribute – insbesondere der Subject Alternative Name (SAN) – können den Principal Name des Benutzers aus Microsoft Entra ID, Okta oder Google Workspace übertragen. Dadurch wird das Zertifikat an eine bestimmte Identität gebunden. Wenn Sie ein Konto in Entra ID deaktivieren und das MDM das Gerät abmeldet, wird das Zertifikat widerrufen und der WiFi-Zugriff automatisch gesperrt. Dieser automatisierte Widerruf ist der Sicherheitsvorteil, den Pre-Shared Keys nicht bieten können.

Weitere Informationen zu EAP Method WiFi: A Guide to Secure Network Access , einschließlich PEAP-MSCHAPv2-Migrationspfaden, finden Sie in unserem speziellen Leitfaden.

Best Practices und Branchenstandards

Platzierung des NDES-Servers

Der NDES-Server muss aus dem Internet erreichbar sein, damit sich Geräte registrieren können, bevor sie vor Ort eintreffen. Veröffentlichen Sie die NDES-URL über den Azure AD-Anwendungsproxy. Dies bietet einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsflow anzuwenden. Setzen Sie den NDES-Server niemals direkt dem Internet aus.

Für Netzwerke mit mehr als 500 verwalteten Geräten sollten Sie ein Cloud-SCEP-Gateway anstelle eines lokalen NDES in Betracht ziehen. Cloud-Gateways eliminieren den NDES-Single-Point-of-Failure, skalieren horizontal und lassen sich in der Regel direkt in Cloud-RADIUS-Dienste integrieren.

CRL-Verfügbarkeit

Ihr RADIUS-Server überprüft bei jeder Authentifizierung eines Geräts die Zertifikatssperrliste (Certificate Revocation List, CRL). Wenn Ihr CRL-Verteilungspunkt (CDP) nicht verfügbar ist – weil ein Server offline ist oder sich die URL geändert hat –, schlägt die Authentifizierung für jedes Gerät im Netzwerk gleichzeitig fehl. Konfigurieren Sie Ihren NPS- oder RADIUS-Server so, dass eine strenge CRL-Prüfung erzwungen wird, und sorgen Sie für eine hohe Verfügbarkeit Ihrer CRL-Endpunkte. Testen Sie den Widerruf vor der Liveschaltung.

Die PCI-DSS-4.0-Anforderung 8.6 schreibt eine Multi-Faktor-Authentifizierung auf der Netzwerkschicht für Karteninhaber-Datenumgebungen vor. EAP-TLS mit SCEP-bereitgestellten Zertifikaten erfüllt diese Anforderung für drahtlose Netzwerke in Umgebungen der Branchen Retail und Hospitality .

WPA3-Kompatibilität

EAP-TLS ist vollständig kompatibel mit WPA3-Enterprise. WPA3-Enterprise mit der 192-Bit-Sicherheitssuite (Suite B) schreibt EAP-TLS vor und ist die von der Wi-Fi Alliance empfohlene Kombination für Regierungs-, Finanz- und Gesundheitsnetzwerke. Wenn Sie in Umgebungen wie dem Gesundheitswesen oder dem Transportwesen mit strengen Compliance-Anforderungen bereitstellen, ist WPA3-Enterprise mit EAP-TLS die richtige Zielarchitektur.

BYOD und Gast-WiFi

SCEP erfordert eine MDM-Registrierung, um die Zertifikats-Payload zu übertragen. Unverwaltete BYOD-Geräte oder Gäste werden damit nicht abgedeckt. Für diese Anwendungsfälle benötigen Sie eine separate SSID mit einem Captive Portal und Identitätsprüfung. Die Plattform von Purple deckt diese Ebene nahtlos ab und läuft parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk. Unsere Guest WiFi -Plattform unterstützt bewusste Opt-ins, die Erfassung von First-Party-Daten und die Integration mit Microsoft Entra ID, Okta und Google Workspace zur Identitätsprüfung.

Fehlerbehebung und Risikominderung

WiFi-Profil kann nicht angewendet werden

Symptom: Das Gerät empfängt die Trusted Root- und SCEP-Zertifikate, aber das WiFi-Profil wird im MDM als „Fehler“ oder „Nicht anwendbar“ angezeigt.

Ursache: Diskrepanz bei der Gruppenzielausrichtung. Wenn das SCEP-Profil auf eine Benutzergruppe und das WiFi-Profil auf eine Gerätegruppe ausgerichtet ist, kann das MDM die Abhängigkeit nicht auflösen.

Lösung: Überprüfen Sie Ihre Zuweisungen. Stellen Sie sicher, dass die Trusted Root-, SCEP- und WiFi-Profile alle auf dieselbe Verzeichnisgruppe ausgerichtet sind.

NDES 403 Forbidden-Fehler

Symptom: Geräte können das SCEP-Zertifikat nicht abrufen. Die NDES-IIS-Protokolle zeigen HTTP 403-Fehler.

Ursache: Dem Dienstkonto des MDM-Zertifikatskonnektors fehlen die Berechtigungen „Lesen“ und „Registrieren“ für die Zertifikatsvorlage, oder die URL-Filterung der Firewall blockiert SCEP-Abfragezeichenfolgen-Parameter.

Lösung: Überprüfen Sie, ob das Konnektor-Konto über die Berechtigungen „Lesen“ und „Registrieren“ für die CA-Vorlage verfügt. Überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass URLs, die ?operation=GetCACaps enthalten, nicht blockiert werden.

Massenauthentifizierungsfehler nach CRL-Ablauf

Symptom: Alle Geräte im Netzwerk können sich gleichzeitig nicht authentifizieren.

Ursache: Die CRL ist abgelaufen oder die CDP-URL ist nicht erreichbar. Der RADIUS-Server kann die Gültigkeit der Zertifikate nicht bestätigen und bricht die Verbindung ab (Fail-Closed).

Lösung: Konfigurieren Sie die CRL-Überwachung und -Alarmierung. Veröffentlichen Sie CRLs mit einer Gültigkeitsdauer, die deutlich über dem Veröffentlichungsintervall liegt. Testen Sie die CDP-Erreichbarkeit vom RADIUS-Server aus vor dem Go-Live.

Zertifikatsablauf verursacht unbemerkte Fehler

Symptom: Einzelne Geräte können sich sporadisch und ohne klares Muster nicht verbinden.

Ursache: Client-Zertifikate sind abgelaufen und das MDM hat sie nicht erfolgreich erneuert.

Lösung: Konfigurieren Sie die Zertifikatsverlängerung so, dass sie bei 80 % der Zertifikatslebensdauer ausgelöst wird. Überwachen Sie die MDM-Registrierungsstatusberichte auf Geräte mit Zertifikatsfehlern. Legen Sie Zertifikatsgültigkeitsdauern fest, die für Ihren Geräteaktualisierungszyklus geeignet sind – in der Regel ein bis zwei Jahre für verwaltete Endpunkte.

ROI und geschäftliche Auswirkungen

Der Übergang zur SCEP-basierten 802.1X-Zertifikatsauthentifizierung liefert messbare Erträge in den Bereichen Sicherheit, Betrieb und Compliance.

Reduzierung von Helpdesk-Tickets: Passwortbasiertes WiFi verursacht ein erhebliches Volumen an Support-Tickets – durch abgelaufene Passwörter, Sperren und Tippfehler. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar. Unternehmen verzeichnen nach der Migration in der Regel eine Reduzierung des WiFi-bezogenen Helpdesk-Volumens um 70–80 %.

Sicherheitsniveau: EAP-TLS eliminiert das Abgreifen von Anmeldedaten (Credential Harvesting) und Man-in-the-Middle-Angriffe. Dies unterstützt direkt die Einhaltung von PCI DSS 4.0 für Netzwerke im Einzelhandel und im Gastgewerbe sowie die Anforderungen von GDPR Artikel 32 für angemessene technische Sicherheitsmaßnahmen.

Automatisierter Widerruf: Wenn ein Mitarbeiter das Unternehmen verlässt, führt die Deaktivierung seines Kontos in Microsoft Entra ID zum automatischen Zertifikatswiderruf und zur MDM-Abmeldung. Der WiFi-Zugriff wird ohne manuelles Eingreifen des Netzwerkteams gesperrt.

Netzwerksegmentierung: Die dynamische VLAN-Zuweisung über RADIUS-Zertifikatsattribute bietet Ihnen eine kryptografisch erzwungene Netzwerksegmentierung. Geräte landen basierend auf den Zertifikatseigenschaften im richtigen Netzwerksegment, nicht durch SSID-Auswahl oder MAC-Adressfilterung – beides lässt sich leicht umgehen.

Purple ist an über 80.000 Live-Standorten mit einer Betriebszeit von 99,999 % im Einsatz. Unsere Plattform ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Unser hardwareunabhängiges Cloud-Overlay lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren – so arbeiten Ihr zertifikatsauthentifiziertes Mitarbeiternetzwerk und unsere Gast-WiFi-Ebene auf derselben Infrastruktur.

Weitere Informationen darüber, wie Behavioral Analytics: Insights for WiFi Networks Ihre sichere Netzwerkbereitstellung ergänzen kann, finden Sie in unserem Analytics-Leitfaden.

Referenzen

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council