Zum Hauptinhalt springen
Deutsch

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

📖 6 Min. Lesezeit📝 1,270 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Guten Morgen. Wenn Sie die WiFi-Infrastruktur einer Hotelgruppe, eines Einzelhandelsunternehmens, eines Stadions oder eines Universitätsgeländes verwalten, ist dieses Briefing genau das Richtige für Sie. Wir werden uns mit SCEP – Simple Certificate Enrollment Protocol – befassen und insbesondere damit, wie es eines der hartnäckigsten Probleme im Enterprise-WiFi löst: die automatische Bereitstellung von Zertifikaten auf Tausenden von Geräten, ohne dass Ihr Helpdesk in Tickets ertrinkt. [short pause] Lassen Sie mich die Ausgangslage beschreiben. Sie haben – völlig zu Recht – entschieden, dass Pre-Shared Keys für das Mitarbeiter-WiFi nicht mehr akzeptabel sind. Ein einziges kompromittiertes Passwort gefährdet Ihr gesamtes Netzwerksegment. Sie sind auf die 802.1X-Authentifizierung umgestiegen oder befinden sich gerade im Übergang. Das ist der IEEE-Standard, der vorschreibt, dass jedes Gerät seine Identität nachweisen muss, bevor es Netzwerkzugriff erhält. Die sicherste Variante von 802.1X ist EAP-TLS – Extensible Authentication Protocol mit Transport Layer Security –, das digitale Zertifikate anstelle von Passwörtern verwendet. Zertifikate sind kryptografisch eindeutig pro Gerät, sie können nicht geteilt werden und sie können sofort widerrufen werden, wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt. [short pause] So weit, so gut. Das Problem ist die Verteilung. Wie bekommen Sie ein eindeutiges Zertifikat auf jeden Laptop, jedes Telefon, jedes Tablet in Ihrem Bestand – über Windows, iOS, Android und macOS hinweg –, ohne dass ein Techniker jedes einzelne Gerät anfassen muss? Genau dieses Problem löst SCEP. [medium pause] SCEP wurde 2020 von der Internet Engineering Task Force im RFC 8894 formalisiert, obwohl es in Enterprise-Umgebungen bereits seit den frühen 2000er Jahren im Einsatz ist. Es ist ein Protokoll, mit dem ein verwaltetes Gerät sein eigenes Zertifikat direkt von Ihrer Certificate Authority anfordern kann, und zwar über eine vorkonfigurierte URL und ein Challenge-Passwort. Der entscheidende Sicherheitspunkt dabei: Der private Schlüssel wird auf dem Gerät selbst generiert, im sicheren Bereich des Geräts gespeichert – das ist der TPM-Chip auf Windows-Geräten oder die Secure Enclave auf Apple-Hardware – und wird niemals über das Netzwerk übertragen. Das Gerät generiert einen Certificate Signing Request, sendet diesen an das SCEP-Gateway, das Gateway validiert die Challenge, leitet die Anfrage an Ihre Certificate Authority weiter, die CA signiert sie und das signierte Zertifikat geht zurück an das Gerät. Der gesamte Prozess ist für den Endbenutzer unsichtbar. [short pause] In einer Microsoft-Umgebung ist das SCEP-Gateway in der Regel NDES – Network Device Enrollment Service –, eine Windows-Server-Rolle, die als Vermittler zwischen Ihrer MDM-Plattform und Ihrer CA fungiert. Microsoft Intune pusht das SCEP-Profil auf die verwalteten Geräte, wodurch ihnen die NDES-URL und das Challenge-Passwort mitgeteilt werden. Die Geräte erledigen den Rest automatisch. [medium pause] Lassen Sie mich Ihnen zeigen, wie eine echte Bereitstellung aussieht. Nehmen wir eine Hotelgruppe mit 150 Standorten – denken Sie an die Größenordnung von Premier Inn. Sie haben eine Mischung aus Windows-Laptops für das Personal an der Rezeption, iOS-Geräten für die Hauswirtschaftsleitung und Android-Tablets an den Kassen im Restaurant. Vor SCEP nutzten sie WPA2-Personal mit einem gemeinsamen Passwort, das vierteljährlich geändert wurde. Jede Änderung löste eine Welle von Helpdesk-Anrufen aus. Mit SCEP und Intune stellen sie drei Profile nacheinander bereit. Erstens das Profil „Vertrauenswürdiges Stammzertifikat“ – dieses weist jedes Gerät an, der Zertifizierungsstelle des Unternehmens zu vertrauen. Zweitens das SCEP-Zertifikatsprofil – dieses weist die Geräte an, ihr individuelles Client-Zertifikat abzurufen. Drittens das WiFi-Profil – dieses konfiguriert die SSID, legt den Sicherheitstyp auf WPA2-Enterprise oder WPA3-Enterprise fest und verweist für die Authentifizierung auf das SCEP-Zertifikat. Wenn Sie diese drei Profile derselben Gerätegruppe in Intune zuweisen, verbindet sich jedes verwaltete Gerät automatisch mit der Unternehmens-SSID – mit einem individuellen Zertifikat und ohne dass eine Benutzerinteraktion erforderlich ist. [short pause] Der RADIUS-Server – in der Regel Microsoft NPS oder ein Cloud-RADIUS-Dienst – empfängt die EAP-TLS-Authentifizierungsanfrage, validiert das Zertifikat gegenüber der Zertifizierungsstelle, prüft die Zertifikatssperrliste und gewährt oder verweigert den Zugriff. Wenn ein Mitarbeiter ausscheidet, sperren Sie sein Zertifikat in der Zertifizierungsstelle. Sein Gerät verliert beim nächsten Authentifizierungszyklus den WiFi-Zugriff. Kein Zurücksetzen des Passworts erforderlich. Kein Warten auf die vierteljährliche Änderung. [medium pause] Nun wird oft nach dem Unterschied zwischen SCEP und PKCS (Public Key Cryptography Standards) gefragt. Beide funktionieren mit Intune. Der Hauptunterschied liegt darin, wo der private Schlüssel generiert wird. Bei SCEP wird er auf dem Gerät generiert. Bei PKCS generiert die Zertifizierungsstelle beide Schlüssel zentral und überträgt den privaten Schlüssel auf das Gerät. Das bedeutet, dass der private Schlüssel über das Netzwerk übertragen wird, was ein theoretisches Abfangrisiko birgt. PKCS hat seine Berechtigung – es eignet sich besser für die S/MIME-E-Mail-Verschlüsselung, bei der die Hinterlegung von Schlüsseln eine Rolle spielt. Für die WiFi-Authentifizierung ist SCEP die richtige Wahl. Jedes Mal. [short pause] Lassen Sie mich Ihnen ein zweites Szenario vorstellen – ein Filialnetz im Einzelhandel. Stellen Sie sich einen Modehändler mit 200 Geschäften in ganz Großbritannien vor, in denen jeweils Cisco Meraki Access Points im Einsatz sind. Ihre Kassensysteme basieren auf Windows und werden über Intune verwaltet. Sie benötigen PCI-DSS-Konformität, was eine Netzwerksegmentierung und eine starke Authentifizierung für jedes Gerät erfordert, das Karteninhaberdaten verarbeitet. SCEP-basiertes EAP-TLS bietet ihnen eine Authentifizierung auf Geräteebene in der Mitarbeiter-SSID, wobei die VLAN-Zuweisung durch die RADIUS-Richtlinie gesteuert wird. Die Kassenterminals landen automatisch im VLAN für den PCI-Bereich. Das Gäste-WiFi – das separat über eine Plattform wie Purple abgewickelt wird – läuft auf einer völlig isolierten SSID mit eigenem Authentifizierungsfluss. Die beiden Netzwerke berühren sich nie. Die Auditoren sind zufrieden. Das Sicherheitsteam schläft ruhiger. [medium pause] Gut, lassen Sie uns über die Fallstricke sprechen, denn es gibt einige, die Teams immer wieder unvorbereitet treffen. [short pause] Der häufigste Fehlergrund sind Abweichungen bei der Gruppenzuweisung in Intune. Ihr Trusted Root-Profil, Ihr SCEP-Profil und Ihr WiFi-Profil müssen alle derselben Azure AD-Gruppe zugewiesen sein. Wenn das SCEP-Profil einer Benutzergruppe und das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann Intune die Abhängigkeit nicht auflösen und das WiFi-Profil wird als Fehler angezeigt. Überprüfen Sie zuerst Ihre Zuweisungen – das ist fast immer die Ursache. [short pause] Zweite Fehlerquelle: Verfügbarkeit des NDES-Servers. Ihr NDES-Server muss aus dem Internet erreichbar sein, damit sich Remote-Geräte registrieren können, bevor sie vor Ort eintreffen. Der sichere Weg dorthin führt über den Azure AD-Anwendungsproxy, der Ihnen Remote-Zugriff ermöglicht, ohne eingehende Firewall-Ports zu öffnen. Geben Sie NDES nicht direkt für das Internet frei. [short pause] Drittens: CRL-Verfügbarkeit. Ihr RADIUS-Server überprüft bei jeder Geräteauthentifizierung die Zertifikatssperrliste (Certificate Revocation List). Wenn der CRL-Verteilungspunkt nicht erreichbar ist – weil vielleicht ein Server offline ist oder eine Firewall-Regel geändert wurde –, schlägt die Authentifizierung für alle fehl. Machen Sie Ihre CRL-Endpunkte hochverfügbar und testen Sie sie regelmäßig. [short pause] Viertens: Berechtigungen für Zertifikatsvorlagen. Wenn das Dienstkonto Ihres NDES-Connectors keine Berechtigungen zum Lesen und Registrieren für die Zertifikatsvorlage besitzt, erhalten Geräte HTTP 403-Fehler, wenn sie versuchen, ihr Zertifikat abzurufen. Das ist eine einfache Berechtigungskorrektur, die man bei der Ersteinrichtung jedoch leicht übersieht. [medium pause] Und nun zu einer kurzen Fragerunde. [short pause] Kann SCEP mit Nicht-Microsoft-MDMs verwendet werden? Ja – Jamf für Apple-Geräteflotten, VMware Workspace ONE und die meisten Enterprise-MDM-Plattformen unterstützen SCEP-Profile. Das Protokoll ist herstellerneutral. [short pause] Funktioniert SCEP mit Cloud-PKI? Ja. Die Microsoft-eigene Cloud-PKI in der Intune Suite macht einen lokalen NDES-Server komplett überflüssig. Drittanbieter von Cloud-PKI wie SecureW2 und Keyfactor bieten ebenfalls Cloud-SCEP-Endpunkte an. [short pause] Wie sieht es mit WPA3-Enterprise aus? WPA3-Enterprise nutzt denselben 802.1X- und EAP-TLS-Authentifizierungs-Stack. Über SCEP ausgestellte Zertifikate funktionieren exakt genauso. Das Upgrade erfolgt auf der Ebene des Wireless-Protokolls, nicht auf der Zertifikatsebene. [short pause] Wie lange sind Zertifikate gültig? In der Regel ein Jahr, obwohl Sie auch kürzere Gültigkeitsdauern konfigurieren können. Intune übernimmt die automatische Verlängerung vor dem Ablauf, sodass für die Benutzer keinerlei Unterbrechung entsteht. [medium pause] Zusammenfassend lässt sich sagen: SCEP automatisiert die Zertifikatsverteilung in großem Umfang und eliminiert den manuellen Aufwand für die PKI-Bereitstellung auf großen Geräteflotten. Der private Schlüssel verbleibt auf dem Gerät – das ist das Sicherheitsfundament von EAP-TLS. Führen Sie die Bereitstellung nacheinander durch: Zuerst das Trusted Root-Profil, dann das SCEP-Profil, danach das WiFi-Profil, alle zugewiesen an dieselbe Gruppe. Veröffentlichen Sie Ihren NDES-Endpunkt sicher über den Anwendungsproxy. Halten Sie Ihre CRL-Endpunkte hochverfügbar. Und wenn Sie ganz neu anfangen, evaluieren Sie eine Cloud-PKI, um die Abhängigkeit von einem lokalen NDES-Server vollständig zu beseitigen. [short pause] Für das Gäste-WiFi – das separate, auf Besucher ausgerichtete Netzwerk – ist die zertifikatsbasierte Authentifizierung nicht das richtige Modell. Gäste verfügen nicht über verwaltete Geräte. Hier übernimmt eine Plattform wie Purple den Authentifizierungsfluss: Captive Portal, Social Login, E-Mail-Erfassung oder SMS-Verifizierung – alles fließt in eine First-Party-Datenebene ein, die Ihr Marketingteam tatsächlich nutzen kann. Beide Ansätze ergänzen sich gegenseitig: SCEP für Ihre verwalteten Mitarbeitergeräte, Purple für Ihr Gästenetzwerk. Beide laufen auf derselben Hardware, sauber segmentiert durch VLAN. [short pause] Das war Ihr Briefing zum SCEP-Enterprise-WiFi-Onboarding. Der vollständige schriftliche Leitfaden mit Architekturdiagrammen, Schritt-für-Schritt-Konfiguration für Intune und praktischen Beispielen ist auf der Purple-Website verfügbar. Vielen Dank fürs Zuhören.

header_image.png

Executive Summary

Für Unternehmensstandorte – ob in der dynamischen Hotellerie, im filialisierten Einzelhandel oder auf einem modernen Campus – ist die Nutzung von Pre-Shared Keys oder einfachen Captive Portals für das Mitarbeiter-WiFi ein Sicherheitsrisiko und ein betrieblicher Engpass. Moderne Netzwerkarchitekturen erfordern eine 802.1X-Authentifizierung mittels EAP-TLS, um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift.

Die Herausforderung liegt in der Verteilung: Wie stellt man eindeutige Client-Zertifikate auf Tausenden von Windows-, iOS- und Android-Geräten bereit, ohne den Helpdesk mit Support-Tickets zu überlasten? Microsoft Intune und andere MDM-Plattformen lösen dies durch ein automatisiertes Zertifikats-Lifecycle-Management. Durch die Bereitstellung von SCEP-Profilen (Simple Certificate Enrollment Protocol) pushen IT-Teams vertrauenswürdige Root- und Client-Zertifikate geräuschlos auf verwaltete Endpunkte.

Dieser Leitfaden bietet einen maßgeblichen Architektur-Blueprint und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen. Wir beleuchten die entscheidenden Unterschiede zwischen SCEP und PKCS, beschreiben die genaue Bereitstellungssequenz für einen erfolgreichen Rollout und skizzieren praxiserprobte Strategien zur Risikominimierung, damit Ihr Guest WiFi und Ihre Unternehmensnetzwerke sicher und leistungsstark bleiben.

Listen to the Briefing

Technical Deep-Dive: SCEP Architecture

Bei der Konzeption Ihrer Strategie zur Bereitstellung von WiFi-Zertifikaten im Unternehmen besteht die erste architektonische Entscheidung in der Auswahl des Zertifikatsbereitstellungsmechanismus. Mobile-Device-Management-Plattformen unterstützen sowohl SCEP als auch PKCS, arbeiten jedoch grundlegend unterschiedlich.

Simple Certificate Enrollment Protocol (SCEP)

SCEP ist der Industriestandard für die Registrierung von Unternehmensgeräten. In einem SCEP-Workflow weist der Management-Dienst den Endpunkt an, sein eigenes privates und öffentliches Schlüsselpaar zu generieren. Das Gerät erstellt eine Zertifikatsignierungsanforderung (CSR) und sendet diese über einen NDES-Server (Network Device Enrollment Service) an Ihre Zertifizierungsstelle (CA). Die CA signiert die Anforderung und gibt das öffentliche Zertifikat an das Gerät zurück.

Der entscheidende Sicherheitsvorteil von SCEP besteht darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert, im sicheren Enklaven-Speicher des Geräts abgelegt (wie dem TPM unter Windows oder der Secure Enclave auf iOS) und niemals über das Netzwerk übertragen. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X-Authentifizierung.

scep_architecture_overview.png

Public Key Cryptography Standards (PKCS)

Im Gegensatz dazu generiert die Zertifizierungsstelle bei PKCS sowohl den öffentlichen als auch den privaten Schlüssel zentral. Der Zertifikats-Connector exportiert dieses Schlüsselpaar sicher und überträgt es auf das Zielgerät.

Obwohl PKCS die Bereitstellung und Wartung eines NDES-Servers überflüssig macht und somit den Infrastruktur-Aufwand verringert, birgt es ein theoretisches Sicherheitsrisiko, da der private Schlüssel über das Netzwerk übertragen wird. PKCS eignet sich im Allgemeinen besser für Anwendungsfälle, bei denen eine Schlüsselhinterlegung (Key Escrow) erforderlich ist, wie z. B. bei der S/MIME-E-Mail-Verschlüsselung, und weniger für die Netzwerkauthentifizierung.

scep_vs_pkcs_comparison.png

Implementierungsleitfaden: Die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration eines verwalteten WiFi-Profils für 802.1X erfordert die strikte Einhaltung einer bestimmten Bereitstellungsreihenfolge. Aufgrund von Profilabhängigkeiten muss das Vertrauen etabliert sein, bevor die Authentifizierung konfiguriert werden kann.

Schritt 1: Bereitstellung des vertrauenswürdigen Root-Zertifikatsprofils

Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle vertrauen.

  1. Exportieren Sie Ihr Root-CA-Zertifikat und alle Intermediate-CA-Zertifikate als .cer-Dateien.
  2. Erstellen Sie in Ihrer MDM-Konsole ein neues Konfigurationsprofil.
  3. Wählen Sie die Zielplattform und den Profiltyp für vertrauenswürdige Zertifikate aus.
  4. Laden Sie die .cer-Datei hoch und weisen Sie dieses Profil Ihren Zielgerätegruppen zu.

Schritt 2: Konfiguration des SCEP-Zertifikatsprofils

Sobald das Vertrauen etabliert ist, konfigurieren Sie das SCEP-Profil, um den Geräten mitzuteilen, wie sie ihr Client-Zertifikat erhalten.

  1. Erstellen Sie ein neues Konfigurationsprofil und wählen Sie SCEP-Zertifikat aus.
  2. Konfigurieren Sie das Format des Subjektnamens. Für die benutzergesteuerte Authentifizierung ist CN={{UserPrincipalName}} Standard. Für die Geräteauthentifizierung verwenden Sie CN={{AAD_Device_ID}}.
  3. Legen Sie die Schlüsselverwendung (Key Usage) auf digitale Signatur und Schlüsselverschlüsselung fest.
  4. Geben Sie unter der erweiterten Schlüsselverwendung (Extended Key Usage) die Client-Authentifizierung an (OID: 1.3.6.1.5.5.7.3.2).
  5. Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten vertrauenswürdigen Root-Zertifikatsprofil.
  6. Geben Sie die externe URL Ihres SCEP-Gateways oder NDES-Servers an.

Schritt 3: Bereitstellung des 802.1X WiFi-Profils

Der letzte Schritt besteht darin, die WiFi-Konfiguration zu übertragen, die die Zertifikate mit der Netzwerk-SSID verknüpft.

  1. Erstellen Sie ein WiFi-Konfigurationsprofil.
  2. Geben Sie den Netzwerknamen genau so ein, wie er von Ihren Wireless Access Points übertragen wird.
  3. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp.
  4. Stellen Sie den EAP-Typ auf EAP-TLS ein.
  5. Wählen Sie in den Authentifizierungseinstellungen das in Schritt 2 erstellte SCEP-Zertifikatsprofil als Client-Authentifizierungszertifikat aus.
  6. Geben Sie das vertrauenswürdige Root-Zertifikat für die Servervalidierung an, um sicherzustellen, dass sich das Gerät nur mit Ihrem legitimen RADIUS-Server verbindet.

Best Practices & Branchenstandards

Halten Sie sich bei der Implementierung der SCEP-Zertifikatsbereitstellung an die folgenden herstellerneutralen Best Practices, um Compliance und Zuverlässigkeit zu gewährleisten.

Platzierung und Sicherheit des SCEP-Gateways

Das SCEP-Gateway muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Freigabe eines internen Servers im Internet stellt ein erhebliches Sicherheitsrisiko dar. Veröffentlichen Sie die SCEP-URL über einen Anwendungsproxy oder Reverse-Proxy. Dies ermöglicht einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und erlaubt Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsdatenfluss anzuwenden.

RADIUS- und CRL-Prüfung

Die Zertifikatsbereitstellung ist nur die halbe Miete in puncto Sicherheit; der Widerruf ist ebenso wichtig. Wenn ein Mitarbeiter ausscheidet, führt die Deaktivierung seines Verzeichniskontos möglicherweise nicht sofort zum Entzug seines WiFi-Zugangs, wenn sein Client-Zertifikat gültig bleibt und der RADIUS-Server die Zertifikatssperrliste (CRL) nicht strikt überprüft.

Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strikte CRL-Prüfung erzwingt. Stellen Sie sicher, dass Ihre CRL-Verteilungspunkte hochverfügbar sind; wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl, was zu einem weitreichenden Ausfall führt.

Für allgemeinere Überlegungen zur modernen Konnektivität lesen Sie unseren Leitfaden zu Bandbreitenmanagement: Ein praktischer Leitfaden für 2026 .

Fehlerbehebung & Risikominderung

Selbst bei sorgfältiger Planung kann es bei der Zertifikatsbereitstellung zu Problemen kommen. Hier sind häufige Fehlerszenarien und Strategien zur Schadensbegrenzung.

WiFi-Profil kann nicht angewendet werden

Das Gerät empfängt die vertrauenswürdigen Root- und SCEP-Zertifikate, aber das WiFi-Profil wird in der MDM-Konsole als Fehler oder nicht anwendbar angezeigt. Dies wird fast immer durch eine Diskrepanz bei der Gruppenzuweisung verursacht. Wenn das SCEP-Profil einer Benutzergruppe zugewiesen ist, das WiFi-Profil jedoch einer Gerätegruppe, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen. Stellen Sie sicher, dass das vertrauenswürdige Root-, das SCEP- und das WiFi-Profil alle derselben Gruppe zugewiesen sind.

Gateway-Fehler 403 Forbidden

Geräte können das SCEP-Zertifikat nicht abrufen, und die Gateway-Protokolle weisen HTTP 403-Fehler auf. Dem Connector-Dienstkonto fehlen die erforderlichen Berechtigungen für die Zertifikatsvorlage, oder die URL-Filterung auf Ihrer Firewall blockiert die spezifischen Abfragezeichenfolgen-Parameter, die von SCEP verwendet werden. Überprüfen Sie, ob das Connector-Konto über Lese- und Registrierungsberechtigungen (Read und Enroll) für die CA-Vorlage verfügt. Überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass URLs, die ?operation=GetCACaps enthalten, nicht blockiert werden.

ROI & geschäftliche Auswirkungen

Der Übergang zur SCEP-gesteuerten 802.1X-Zertifikatsbereitstellung liefert messbare Erträge in den Bereichen Sicherheit und Betrieb.

  1. Reduzierung von Helpdesk-Tickets: Passwortbasiertes WiFi verursacht ein erhebliches Volumen an Support-Tickets im Zusammenhang mit abgelaufenen Passworten, Sperrungen und Tippfehlern. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar und reduziert das WiFi-bezogene Helpdesk-Volumen in der Regel um 70 %.
  2. Verbesserte Sicherheitslage: EAP-TLS eliminiert das Risiko von Credential Harvesting und Man-in-the-Middle-Angriffen. Dies ist entscheidend für die Einhaltung von Richtlinien wie PCI DSS und GDPR, insbesondere in Umgebungen des Einzelhandels und des Gesundheitswesens .
  3. Nahtloses Onboarding: Die Integration der Zertifikatsbereitstellung in bestehende MDM-Workflows gewährleistet vom ersten Tag an eine einheitliche, berührungslose Bereitstellung (Zero-Touch-Provisioning).

Während SCEP Ihre verwalteten Unternehmensgeräte sichert, erfordern Gast- und Besuchernetzwerke einen anderen Ansatz. Für nicht verwaltete Geräte speist ein Captive Portal mit Social Login oder SMS-Verifizierung eine First-Party-Datenebene und liefert Ihnen umsetzbare Erkenntnisse. Entdecken Sie unsere WiFi Analytics -Plattform, um zu sehen, wie diese Daten den Umsatz steigern.

Schlüsseldefinitionen

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das es Geräten ermöglicht, digitale Zertifikate von einer Zertifizierungsstelle anzufordern, wobei der private Schlüssel sicher auf dem Gerät selbst generiert und gespeichert wird.

Die empfohlene Methode für die Bereitstellung von WiFi-Authentifizierungszertifikaten aufgrund ihrer hohen Sicherheit und Skalierbarkeit in Unternehmensflotten.

PKCS (Public Key Cryptography Standards)

Eine Reihe von Standards, bei denen sowohl der öffentliche als auch der private Schlüssel von der Zertifizierungsstelle generiert und anschließend sicher an den Endpunkt übermittelt werden.

Wird häufig für die S/MIME-E-Mail-Verschlüsselung verwendet, ist jedoch aufgrund der Netzwerkübertragung des privaten Schlüssels für die WiFi-Authentifizierung weniger ideal.

NDES (Network Device Enrollment Service)

Eine Microsoft Windows Server-Rolle, die als Brücke fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate über SCEP zu erhalten.

Eine erforderliche Infrastrukturkomponente bei der Implementierung der SCEP-Zertifikatsbereitstellung mit einer On-Premises Microsoft PKI.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Die sicherste 802.1X-Authentifizierungsmethode, bei der sowohl der Server als auch der Client gültige digitale Zertifikate vorlegen müssen.

Das Ziel-Authentifizierungsprotokoll, für dessen Aktivierung MDM-WiFi- und Zertifikatsprofile konzipiert sind, wodurch passwortbasierter Zugriff überflüssig wird.

CRL (Certificate Revocation List)

Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die vor ihrem geplanten Ablaufdatum widerrufen wurden.

RADIUS-Server müssen die CRL während der Authentifizierung überprüfen, um sicherzustellen, dass ausgeschiedene Mitarbeiter nicht mit einem zuvor gültigen Zertifikat auf das Netzwerk zugreifen können.

CSR (Certificate Signing Request)

Ein Block aus codiertem Text, der an eine Zertifizierungsstelle übermittelt wird, wenn ein SSL/TLS-Zertifikat beantragt wird, und der den öffentlichen Schlüssel sowie Identitätsinformationen enthält.

Wird während des SCEP-Flows vom verwalteten Gerät lokal generiert, um dessen eindeutige Identitätsberechtigung anzufordern.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das grundlegende Framework, das die Anforderung zur EAP-TLS-Zertifikatsvalidierung durchsetzt, bevor Netzwerkzugriff gewährt wird.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Benutzerverwaltung für Benutzer bereitstellt, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Der Server, der das Client-Zertifikat mit der CA und der CRL abgleicht, um die endgültige Entscheidung über die Freigabe oder Verweigerung des WiFi-Zugriffs zu treffen.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 150 Standorten muss ihr Mitarbeiternetzwerk absichern, das aus einer Mischung aus Windows-Laptops für den Empfang, iOS-Geräten für das Housekeeping und Android-Tablets für die Point-of-Sale-Systeme in den Restaurants besteht. Derzeit nutzen sie WPA2-Personal mit einem vierteljährlich wechselnden, gemeinsamen Passwort, was zu einem enormen Aufkommen beim Helpdesk führt.

Die Hotelgruppe stellt nacheinander drei Intune-Profile für eine einheitliche Gerätegruppe bereit. Erstens stellt ein Profil für vertrauenswürdige Stammzertifikate (Trusted Root Certificate) das Vertrauen zur Unternehmens-CA her. Zweitens weist ein SCEP-Zertifikatsprofil die Geräte an, ein eindeutiges Client-Zertifikat anzufordern. Drittens konfiguriert ein WiFi-Profil die Unternehmens-SSID mit WPA3-Enterprise und EAP-TLS und verweist für die Authentifizierung auf das SCEP-Zertifikat. Der RADIUS-Server erzwingt eine strikte CRL-Prüfung, um den Zugriff bei Ausscheiden von Mitarbeitern sofort zu widerrufen.

Kommentar des Prüfers: Dieser Ansatz eliminiert den Aufwand für die vierteljährliche Passwortrotation und sichert das Netzwerk gegen die Weitergabe von Zugangsdaten ab. SCEP wird gegenüber PKCS bevorzugt, um sicherzustellen, dass der private Schlüssel die einzelnen Geräte nie verlässt, wodurch ein Zero-Trust-Ansatz über verschiedene Hardware-Plattformen hinweg gewahrt bleibt.

Ein Modeeinzelhändler mit 200 Filialen benötigt PCI-DSS-Konformität für seine über Intune verwalteten, Windows-basierten Point-of-Sale-Systeme. Er muss eine starke Authentifizierung und eine strikte Netzwerksegmentierung für jedes Gerät gewährleisten, das Karteninhaberdaten verarbeitet.

Der Einzelhändler implementiert SCEP-basiertes EAP-TLS für die Authentifizierung auf Geräteebene für die Mitarbeiter-SSID. Die RADIUS-Richtlinie steuert die VLAN-Zuweisung und leitet authentifizierte POS-Terminals automatisch in ein streng isoliertes VLAN im PCI-Bereich weiter. Das Gäste-WiFi wird über eine völlig separate SSID mit eigenem Captive Portal-Authentifizierungsfluss abgewickelt, um sicherzustellen, dass sich die beiden Netzwerke niemals überschneiden.

Kommentar des Prüfers: Durch die direkte Verknüpfung der Netzwerksegmentierung mit der zertifikatsbasierten Authentifizierung erfüllt der Einzelhändler die PCI-DSS-Anforderungen ohne manuelle Netzwerkkonfiguration pro Filiale. Die physische Trennung des Gästenetzwerks über eine Plattform wie Purple verhindert eine Ausweitung des Audit-Umfangs für die PCI-Zertifizierung.

Übungsfragen

Q1. Ihre Intune-Bereitstellung zeigt, dass die Profile für vertrauenswürdige Stammzertifikate (Trusted Root) und SCEP erfolgreich auf dem Laptop eines Benutzers angewendet wurden, aber das WiFi-Profil zeigt den Status 'Fehler' an. Der Benutzer kann keine Verbindung zur Unternehmens-SSID herstellen. Was ist die wahrscheinlichste architektonische Ursache?

Hinweis: Berücksichtigen Sie, wie MDM-Plattformen Abhängigkeiten zwischen verwandten Konfigurationsprofilen auflösen.

Musterlösung anzeigen

Ein Konflikt bei der Gruppenzuweisung. Das SCEP-Profil ist wahrscheinlich einer Benutzergruppe zugewiesen, während das WiFi-Profil einer Gerätegruppe zugewiesen ist (oder umgekehrt). Intune kann die Abhängigkeit über verschiedene Gruppentypen hinweg nicht auflösen, was zum Fehlschlagen der WiFi-Profilbereitstellung führt. Überprüfen Sie die Zuweisungen und stellen Sie sicher, dass alle drei Profile auf dieselbe Azure AD-Gruppe ausgerichtet sind.

Q2. Eine neu erworbene Tochtergesellschaft benötigt eine 802.1X-Authentifizierung für ihre Mitarbeitergeräte. Ihr Sicherheitsteam schreibt vor, dass private Schlüssel niemals das Netzwerk durchqueren dürfen und innerhalb des Hardware-TPM des Endpunkts generiert werden müssen. Welche Zertifikatsbereitstellungsmethode müssen Sie verwenden?

Hinweis: Vergleichen Sie, wo der private Schlüssel im SCEP-Workflow im Vergleich zum PKCS-Workflow generiert wird.

Musterlösung anzeigen

Sie müssen SCEP (Simple Certificate Enrollment Protocol) verwenden. In einem SCEP-Workflow generiert das Gerät sein eigenes privates und öffentliches Schlüsselpaar lokal in seiner sicheren Enklave (TPM) und sendet nur eine Zertifikatsignierungsanforderung (CSR) über das Netzwerk. PKCS generiert den privaten Schlüssel zentral auf der CA und überträgt ihn über das Netzwerk, was gegen die Vorgabe des Sicherheitsteams verstößt.

Q3. Ein Mitarbeiter wird entlassen und sein Active Directory-Konto wird deaktiviert. Sein Laptop bleibt jedoch noch mehrere Stunden mit dem WiFi-Netzwerk des Unternehmens verbunden, bevor der Zugriff verloren geht. Wie lösen Sie diese Sicherheitslücke?

Hinweis: Das Deaktivieren eines Kontos macht ein vorhandenes Zertifikat nicht ungültig. Welchen Mechanismus verwendet der RADIUS-Server, um die Gültigkeit des Zertifikats zu prüfen?

Musterlösung anzeigen

Sie müssen den RADIUS-Server so konfigurieren, dass er eine strikte Überprüfung der Zertifikatssperrliste (CRL) erzwingt. Wenn ein Mitarbeiter entlassen wird, muss sein Zertifikat in der Zertifizierungsstelle explizit gesperrt werden. Der RADIUS-Server prüft dann die CRL beim nächsten Authentifizierungszyklus und verweigert den Zugriff sofort, unabhängig vom Status des Active Directory-Kontos.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

Leitfaden lesen →

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.

Leitfaden lesen →

Cisco SUDI verstehen: Hardware-basierte Geräteidentität in der Netzwerk-Zugriffskontrolle

Dieser Leitfaden beschreibt die technische Architektur von Cisco SUDI und erklärt, wie eine hardwareverankerte Identität die Netzwerk-Zugriffskontrolle sichert. Er bietet IT-Verantwortlichen konkrete Implementierungsschritte zur Bereitstellung der 802.1X EAP-TLS-Authentifizierung und zur Automatisierung des Zero Touch Provisioning an Unternehmensstandorten.

Leitfaden lesen →