Verwalten digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung
Dieses technische Referenzhandbuch beschreibt das Lebenszyklusmanagement digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung im Detail. Es bietet praxisnahe Strategien für die Bereitstellung, Erneuerung und den Widerruf von Zertifikaten in großem Umfang in Unternehmensnetzwerken unter Verwendung von SCEP- und MDM-Integrationen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Technische Detailanalyse
- Dreistufige PKI-Architektur
- Zertifikatslaufzeiten und kryptografische Standards
- Implementierungsleitfaden
- Schritt 1: Vertrauenskette aufbauen
- Schritt 2: Zertifikatserstellung über SCEP automatisieren
- Schritt 3: RADIUS-Richtlinien konfigurieren
- Best Practices
- Fehlerbehebung und Risikominimierung
- Fehler beim Vertrauensanker
- Klippen durch Ablauf von Zertifikaten
- OCSP-Timeouts
- ROI & geschäftliche Auswirkungen

Management-Zusammenfassung
Die Verwaltung digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung stellt eine große operative Herausforderung für IT-Teams in Unternehmen dar. Da Unternehmen die auf Anmeldedaten basierende Authentifizierung im Zuge der Zero Trust Compliance ausphasen, verlagert sich der operative Aufwand von Passwort-Resets auf das Lebenszyklusmanagement von Zertifikaten. Dieser Leitfaden beschreibt die Architekturmuster, die erforderlich sind, um clientseitige Zertifikate in komplexen Infrastrukturumgebungen im großen Maßstab bereitzustellen, zu erneuern und zu widerrufen.
Für CTOs und Netzwerkarchitekten ist das Ziel klar: Implementierung einer robusten Public-Key-Infrastruktur (PKI), die sich nahtlos in bestehende Mobile-Device-Management-Plattformen (MDM) integrieren lässt. Durch die Automatisierung der Zertifikatsausstellung über das Simple Certificate Enrolment Protocol (SCEP) und den Widerruf in Echtzeit entfallen manuelle Eingriffe. Dieser Ansatz sichert den Netzwerkperimeter ab, erfüllt Compliance-Frameworks einschließlich PCI-DSS 4.0 und gewährleistet eine kontinuierliche Konnektivität für über 80.000 physische Standorte, an denen Unternehmenshardware betrieben wird.
Technische Detailanalyse
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) stellt den Goldstandard für die 802.1X Netzwerkzugriffskontrolle dar. Es erzwingt eine gegenseitige Authentifizierung. Der RADIUS-Server präsentiert sein Zertifikat, um seine Identität gegenüber dem Client nachzuweisen, während der Client sein Zertifikat präsentiert, um seine Identität gegenüber dem Netzwerk nachzuweisen.
Dreistufige PKI-Architektur
Eine flache PKI-Hierarchie birgt ein inakzeptables Risiko. Das empfohlene Muster ist eine dreistufige Architektur:
- Root-Zertifizierungsstelle (Root CA): Der ultimative Vertrauensanker. Dieser Server bleibt offline und physisch vom Netzwerk getrennt. Seine einzige Funktion besteht darin, Zertifikate von Zwischen-Zertifizierungsstellen zu signieren.
- Zwischen-Zertifizierungsstelle (Ausstellende CA): Dieser Server bleibt online und übernimmt die tägliche Signierung von Client- und Server-Zertifikaten. Im Falle einer Kompromittierung kann sie von der Root CA widerrufen werden, ohne dass die gesamte Vertrauensinfrastruktur neu aufgebaut werden muss.
- Endbenutzer-Zertifikate: Dies sind die tatsächlichen Zertifikate, die auf RADIUS-Servern und Client-Geräten bereitgestellt werden.

Zertifikatslaufzeiten und kryptografische Standards
Die Branche schreibt kürzere Zertifikatslaufzeiten vor, um das Risiko im Falle einer Kompromittierung des Schlüssels zu minimieren. Während öffentliche TLS-Zertifikate auf 398 Tage begrenzt sind, weisen interne Client-Zertifikate, die für die WiFi Authentifizierung verwendet werden, in der Regel eine Gültigkeitsdauer von 365 Tagen auf.
Kryptografische Anforderungen verlangen ein Minimum an RSA-2048-Bit-Schlüsseln oder Elliptic Curve Cryptography (ECC) unter Verwendung der P-256-Kurve. Der WPA3-Enterprise-192-Bit-Modus erfordert spezifische Cipher Suites, und EAP-TLS ist die einzige Authentifizierungsmethode, die diese Anforderungen vollständig erfüllt.
Implementierungsleitfaden
Die Bereitstellung von EAP-TLS in verteilten Standorten erfordert eine enge Integration zwischen Ihrem Identity Provider, Ihrer MDM-Plattform und Ihrer Netzwerk-Hardware. Das Cloud-Overlay von Purple lässt sich nahtlos in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.
Schritt 1: Vertrauenskette aufbauen
Bevor sich ein Gerät authentifizieren kann, muss es dem RADIUS-Server vertrauen. Stellen Sie das Root-CA-Zertifikat über Ihr MDM auf allen verwalteten Geräten bereit. Für nicht verwaltete Geräte müssen Sie ein Bootstrapping-Onboarding-Portal anbieten, um das Vertrauensprofil zu installieren.
Schritt 2: Zertifikatserstellung über SCEP automatisieren
Die manuelle Erstellung von Zertifikaten ist nicht praktikabel. Implementieren Sie SCEP, um diesen Workflow zu automatisieren:
- Das MDM (z. B. Microsoft Intune) überträgt ein SCEP-Payload an das Gerät.
- Das Gerät generiert lokal einen privaten Schlüssel.
- Das Gerät sendet eine Zertifikatssignierungsanforderung (CSR) an den SCEP-Server.
- Die CA stellt das Zertifikat aus, und das Gerät installiert es in seinem hardwaregestützten Schlüsselspeicher.
Schritt 3: RADIUS-Richtlinien konfigurieren
Konfigurieren Sie Ihren RADIUS-Server so, dass er EAP-TLS vorschreibt. Stellen Sie sicher, dass der Server den Subject Alternative Name (SAN) im Client-Zertifikat mit Ihrem Identitätsverzeichnis (Microsoft Entra ID, Okta oder Google Workspace) abgleicht, um zu bestätigen, dass das Benutzerkonto noch aktiv ist.

Best Practices
- Erneuerung frühzeitig automatisieren: Konfigurieren Sie MDM-Profile so, dass die Zertifikatserneuerung mindestens 30 Tage vor dem Ablaufdatum ausgelöst wird. Dies verhindert plötzliche Authentifizierungsfehler an gesamten Standorten.
- Hardware-Schlüsselspeicher erzwingen: Verlangen Sie, dass private Schlüssel im Trusted Platform Module (TPM) oder der Secure Enclave des Geräts generiert und gespeichert werden. Schlüssel müssen als nicht exportierbar konfiguriert werden.
- Echtzeit-Widerruf implementieren: Die Nutzung statischer Zertifikatswiderrufslisten (CRLs) verursacht Verzögerungen. Implementieren Sie das Online Certificate Status Protocol (OCSP), damit der RADIUS-Server den Zertifikatsstatus während der Authentifizierung in Echtzeit überprüfen kann.
Fehlerbehebung und Risikominimierung
Die häufigsten Fehlerquellen bei EAP-TLS-Bereitstellungen hängen mit Vertrauen und Zeit zusammen.
Fehler beim Vertrauensanker
Wenn ein Client-Gerät das Zertifikat des RADIUS-Servers ablehnt, schlägt die Authentifizierung geräuschlos fehl. Dies geschieht, wenn das Root-CA-Zertifikat im Vertrauensspeicher des Geräts fehlt. Überprüfen Sie die MDM-Bereitstellungsprotokolle, um sicherzustellen, dass das Vertrauensprofil vor dem WiFi-Profil angewendet wird. Weitere Diagnosen zu Verbindungsproblemen finden Sie unter Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .
Klippen durch Ablauf von Zertifikaten
Das gleichzeitige Ausstellen von Tausenden von Zertifikaten führt zu einer kritischen Spitze beim Erneuerungszeitraum. Wenn der SCEP-Server während dieses Fensters ausfällt, werden Geräte vom Netzwerk getrennt. Staffeln Sie die ersten Bereitstellungen, um die Erneuerungslast zu verteilen.
OCSP-Timeouts
Wenn der RADIUS-Server den OCSP-Responder nicht erreichen kann, muss er entscheiden, ob er im Modus „Fail-Open“ (offen lassen) oder „Fail-Closed“ (gesperrt lassen) verfährt. Für Unternehmensnetzwerke ist das Sperren im Fehlerfall der Standard. Stellen Sie sicher, dass Ihre OCSP-Infrastruktur hochverfügbar und geografisch verteilt ist.
ROI & geschäftliche Auswirkungen
Die Umstellung auf EAP-TLS erfordert anfänglichen Entwicklungsaufwand, aber der betriebliche Ertrag ist erheblich. Ein Unternehmen mit 5.000 Benutzern verbringt in der Regel 40 Stunden pro Monat mit der Behebung von Passwortrücksetzungen und RADIUS-Sperren, die durch PEAP-Passwortrotationen verursacht werden.
Durch die Automatisierung von Zertifikatslebenszyklen können Sie diese Support-Tickets eliminieren. Darüber hinaus erfüllen Sie die strengen Zugriffskontrollanforderungen von ISO 27001 und PCI-DSS, was den Audit-Aufwand reduziert. In Kombination mit Guest WiFi und WiFi Analytics bietet Purple eine einheitliche Sicht auf den Netzwerkzugriff für alle Benutzertypen und vereinfacht so die Compliance-Berichterstattung über verteilte Standorte hinweg.
Schlüsseldefinitionen
EAP-TLS
Extensible Authentication Protocol mit Transport Layer Security. Ein Authentifizierungs-Framework, bei dem sich sowohl der Client als auch der Server mithilfe digitaler Zertifikate identifizieren müssen.
Der Branchenstandard für die Absicherung von WiFi-Netzwerken in Unternehmen, ohne sich auf unsichere Passwörter verlassen zu müssen.
SCEP
Simple Certificate Enrolment Protocol. Ein Protokoll, das von MDM-Plattformen verwendet wird, um die Anforderung und Installation digitaler Zertifikate auf Geräten sicher zu automatisieren.
Unerlässlich für die Skalierung von EAP-TLS-Bereitstellungen über einige Dutzend Geräte hinaus, da die manuelle Zertifikatsverwaltung entfällt.
RADIUS
Remote Authentication Dial-In User Service. Das Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.
Die Serverkomponente, die das Client-Zertifikat validiert und dem Access Point mitteilt, dass der Netzwerkzugriff gewährt werden soll.
OCSP
Online Certificate Status Protocol. Ein Internetprotokoll zur Abfrage des Widerrufsstatus eines digitalen X.509-Zertifikats in Echtzeit.
Ersetzt statische CRLs, um sicherzustellen, dass ein widerrufenes Zertifikat sofort im Netzwerk gesperrt wird.
Root CA
Root Certificate Authority. Die oberste kryptografische Instanz in einer Public Key Infrastructure, die zum Signieren untergeordneter CAs verwendet wird.
Muss hochsicher und offline aufbewahrt werden, um die gesamte Vertrauenskette der Organisation zu schützen.
SAN
Subject Alternative Name. Eine Erweiterung für X.509, die es ermöglicht, einem Sicherheitszertifikat verschiedene Werte wie E-Mail-Adressen oder UPNs zuzuordnen.
Wird vom RADIUS-Server verwendet, um das Zertifikat einem bestimmten Benutzerkonto im Identitätsverzeichnis zuzuordnen.
MDM
Mobile Device Management. Software, die von IT-Abteilungen verwendet wird, um die mobilen Geräte der Mitarbeiter zu überwachen, zu verwalten und zu sichern.
Der Bereitstellungsmechanismus, der die SCEP-Konfiguration und die WiFi-Profile an die Endgeräte der Benutzer verteilt.
CRL
Certificate Revocation List. Eine Liste digitaler Zertifikate, die von der ausstellenden CA vor ihrem geplanten Ablaufdatum widerrufen wurden.
Eine veraltete Methode zur Überprüfung der Gültigkeit von Zertifikaten, die im Vergleich zu OCSP unter Latenzproblemen leidet.
Ausgearbeitete Beispiele
Eine Hotelgruppe mit 150 Standorten muss den Zugriff der Mitarbeiter auf 3.000 Geräten absichern. Derzeit wird PEAP mit einem gemeinsamen Passwort verwendet, das vierteljährlich gewechselt wird, was zu einem hohen Helpdesk-Aufkommen führt. Wie sollte EAP-TLS implementiert werden?
Stellen Sie Microsoft Intune bereit, um alle Unternehmensgeräte zu verwalten. Richten Sie eine Microsoft ADCS Intermediate CA ein, die über den Intune Certificate Connector in Intune integriert ist. Verteilen Sie das Root CA-Zertifikat an alle Geräte, gefolgt von einem SCEP-Profil, das ein Client-Zertifikat mit einer Gültigkeit von 365 Tagen anfordert. Konfigurieren Sie das WiFi-Profil so, dass es EAP-TLS verwendet und auf die mit Purple verknüpften RADIUS-Server verweist. Stellen Sie das SCEP-Profil so ein, dass es sich bei verbleibenden 20 % der Lebensdauer (73 Tage) automatisch erneuert.
Eine Einzelhandelskette benötigt sicheres WiFi für mobile POS-Handhelds an 200 Standorten. Die Geräte laufen mit Android und verlieren häufig die Verbindung zum zentralen Verwaltungsserver. Wie gehen Sie mit dem Widerruf von Zertifikaten um?
Implementieren Sie OCSP für die Echtzeit-Widerrufsprüfung auf Ebene des RADIUS-Servers. Konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder abfragt. Wird ein Handheld als verloren gemeldet, widerruft das Sicherheitsteam das Zertifikat in der CA. Beim nächsten Versuch des Geräts, sich mit einem Access Point zu verbinden, erhält der RADIUS-Server eine "Widerrufen"-Antwort von OCSP und verweigert den Zugriff sofort.
Übungsfragen
Q1. Sie stellen EAP-TLS für 2.000 Unternehmens-Laptops bereit. Die SCEP-Infrastruktur ist konfiguriert, aber während des Tests schlägt die Verbindung der Laptops mit dem WiFi fehl. Die RADIUS-Protokolle zeigen "Unknown CA". Was ist die wahrscheinlichste Ursache?
Hinweis: Berücksichtigen Sie die Reihenfolge der Abläufe beim Bereitstellen von Vertrauensprofilen im Vergleich zu Authentifizierungsprofilen.
Musterlösung anzeigen
Auf den Laptops ist das Root CA-Zertifikat nicht im Speicher für vertrauenswürdige Stammzertifikate installiert. Das MDM muss so konfiguriert sein, dass es die Root CA-Zertifikats-Payload an die Geräte verteilt, bevor die SCEP-Payload oder das EAP-TLS WiFi-Profil übertragen wird. Ohne die Root CA lehnt der Client das Zertifikat des RADIUS-Servers ab.
Q2. Ein kompromittiertes Gerät wird als verloren gemeldet. Das IT-Team löscht das Gerät aus dem MDM und widerruft das Zertifikat in der CA. Tests zeigen jedoch, dass sich das Gerät immer noch bis zu 12 Stunden lang mit dem Netzwerk verbinden kann. Wie lösen Sie dies?
Hinweis: Sehen Sie sich an, wie der RADIUS-Server den Zertifikatsstatus validiert.
Musterlösung anzeigen
Der RADIUS-Server verlässt sich wahrscheinlich auf eine Certificate Revocation List (CRL), die nur alle 12 bis 24 Stunden veröffentlicht oder heruntergeladen wird. Um dies zu lösen, implementieren Sie das Online Certificate Status Protocol (OCSP) und konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder für eine Echtzeit-Validierung abfragt.
Q3. Sie entwerfen die Richtlinie für den Zertifikatslebenszyklus. Das Sicherheitsteam wünscht sich eine Zertifikatslebensdauer von 30 Tagen, um das Risiko zu minimieren, aber das Netzwerkteam ist besorgt über die SCEP-Serverlast und Verbindungsabbrüche. Was ist die empfohlene Balance?
Hinweis: Berücksichtigen Sie den Unterschied zwischen öffentlichen Webzertifikaten und einer internen, verwalteten PKI.
Musterlösung anzeigen
Eine Gültigkeitsdauer von 365 Tagen mit einer automatischen Verlängerung, die 60 oder 90 Tage vor dem Ablauf ausgelöst wird, bietet die optimale Balance. Eine 30-tägige Lebensdauer für WiFi-Zertifikate birgt ein zu hohes betriebliches Risiko, wenn Geräte während ihres engen Verlängerungsfensters offline sind. Die Sicherheit wird durch einen robusten OCSP-Widerruf in Echtzeit gewährleistet und nicht durch aggressiv kurze Lebensdauern.
Weiterlesen in dieser Reihe
Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.