Zum Hauptinhalt springen

Verwalten digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung

Dieses technische Referenzhandbuch beschreibt das Lebenszyklusmanagement digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung im Detail. Es bietet praxisnahe Strategien für die Bereitstellung, Erneuerung und den Widerruf von Zertifikaten in großem Umfang in Unternehmensnetzwerken unter Verwendung von SCEP- und MDM-Integrationen.

📖 4 Min. Lesezeit📝 892 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationsorientierten Ton - wie ein Senior Consultant, der einen Kunden brieft. Gemessenes Tempo, klare Aussprache, herzlich, aber direkt. Gelegentliche natürliche Pausen zur Betonung: Willkommen zur Purple technischen Briefing-Serie. Heute sprechen wir über EAP-TLS Zertifikatsmanagement - genauer gesagt darüber, wie man ein zertifikatsbasiertes WiFi Authentifizierungsprogramm in großem Maßstab betreibt, ohne dass es zu einer operativen Vollzeitbelastung wird. [mittlere Pause] Wenn Sie für das WiFi von Unternehmen oder Mitarbeitern an mehreren Standorten verantwortlich sind - sei es eine Hotelgruppe, ein Einzelhandelsunternehmen, ein Universitätscampus oder eine öffentliche Einrichtung - ist dieses Briefing genau das Richtige für Sie. Wir werden den gesamten Lebenszyklus von Zertifikaten behandeln: von der Einrichtung Ihrer CA-Hierarchie über die automatisierte Bereitstellung via SCEP und MDM bis hin zur Erneuerung und dem Widerruf. Und wir werden darüber sprechen, wo Dinge schiefgehen, denn sie gehen schief, und wie man die häufigsten Fallen vermeidet. [mittlere Pause] Beginnen wir mit den Grundlagen. EAP-TLS - das steht für Extensible Authentication Protocol mit Transport Layer Security - ist der Goldstandard für die 802.1X WiFi Authentifizierung. Im Gegensatz zu PEAP, das auf Benutzername und Passwort basiert, nutzt EAP-TLS eine gegenseitige, auf Zertifikaten basierende Authentifizierung. Das Gerät weist seine Identität mit einem Client-Zertifikat nach. Der RADIUS-Server weist seine Identität mit einem Server-Zertifikat nach. Beide Seiten verifizieren die Gegenseite. Kein Passwort, das per Phishing gestohlen werden kann. Keine Anmeldedaten, die entwendet werden können. Aus diesem Grund verweisen sowohl PCI-DSS 4.0 als auch die Zero-Trust-Richtlinien des NCSC auf die zertifikatsbasierte Authentifizierung für Mitarbeiternetzwerke. [mittlere Pause] Nun zur Architektur. Sie benötigen drei Dinge, damit EAP-TLS funktioniert. Erstens eine Public-Key-Infrastruktur - Ihre CA-Hierarchie. Zweitens einen Mechanismus, um Zertifikate auf Geräte zu bringen - das ist SCEP oder Ihre MDM-Plattform. Drittens einen RADIUS-Server, der Ihrer CA vertraut und Client-Zertifikate in Echtzeit validieren kann. [mittlere Pause] Bei der CA-Hierarchie geraten die meisten Organisationen schon früh in Schwierigkeiten. Das richtige Muster ist ein dreistufiges Modell. Sie haben eine Root-CA an der Spitze - diese sollte offline sein, durch ein Air Gap geschützt und nur online gebracht werden, um Ihr Intermediate-CA-Zertifikat zu signieren. Die Intermediate-CA - manchmal auch als Issuing-CA bezeichnet - ist diejenige, die die täglichen Zertifikate tatsächlich signiert. Sie ist online, aber ihr privater Schlüssel ist gut geschützt. Darunter stellen Sie zwei Arten von Zertifikaten aus: Server-Zertifikate für Ihre RADIUS-Infrastruktur und Client-Zertifikate für Ihre Geräte und Benutzer. [mittlere Pause] Warum ist das wichtig? Denn wenn Ihre Root-CA kompromittiert wird, müssen Sie Ihre gesamte PKI von Grund auf neu aufbauen und jedes Gerät neu registrieren. Sie offline zu halten, eliminiert dieses Risiko. Die Intermediate-CA kann ausgetauscht werden, ohne die Root-CA anzurühren. Das ist das Argument der betrieblichen Resilienz für das dreistufige Modell. [mittlere Pause] Sprechen wir über die Gültigkeitsdauer von Zertifikaten. Hier hat sich in der Branche ein bedeutender Wandel vollzogen. Apple, Google und Mozilla haben sich alle darauf geeinigt, kürzere maximale Zertifikatslaufzeiten durchzusetzen. Für TLS-Serverzertifikate liegt das Maximum nun bei 398 Tagen. Für Client-Zertifikate in enterprise WiFi haben Sie mehr Flexibilität - üblich sind ein bis zwei Jahre - aber der Trend geht klar zu kürzeren Laufzeiten und automatischer Erneuerung statt zu manuell verwalteten Zertifikaten mit langer Lebensdauer. Der Grund dafür ist einfach: Eine kürzere Lebensdauer begrenzt das Risiko einer Kompromittierung zeitlich. [medium pause] Dies bringt uns zum Thema Automatisierung. Eine manuelle Zertifikatsverwaltung ist nicht skalierbar. Wenn Sie 500 Geräte haben, können Sie Verlängerungen gerade noch so manuell verwalten. Bei 5.000 Geräten an 50 Standorten ist das unmöglich. Sie benötigen SCEP - das Simple Certificate Enrolment Protocol - oder dessen modernen Nachfolger EST. SCEP lässt sich direkt in MDM-Plattformen wie Microsoft Intune, Jamf Pro und VMware Workspace ONE integrieren. Das MDM sendet ein SCEP-Konfigurationsprofil an das Gerät. Das Gerät generiert ein Schlüsselpaar, sendet eine Zertifikatssignierungsanfrage an Ihren SCEP-Server und erhält ein signiertes Zertifikat zurück - und das alles ohne jegliche Benutzerinteraktion. [medium pause] Für Windows-Geräte in einer Active Directory-Umgebung haben Sie eine Alternative: die durch Gruppenrichtlinien gesteuerte automatische Registrierung über die Active Directory-Zertifikatsdienste. Das Gerät authentifiziert sich an der Domäne, die Zertifizierungsstelle stellt automatisch ein Zertifikat aus, und das Zertifikat wird vor dem Ablaufdatum ohne manuelles Eingreifen erneuert. Dies ist der nahtloseste Weg für primär auf Windows basierende Infrastrukturen. [medium pause] Nun zum Widerruf. Dies ist der Bereich, in den Unternehmen am seltensten investieren, und es ist der wichtigste Teil, wenn etwas schiefgeht. Wenn ein Gerät verloren geht, gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt, müssen Sie dessen Zertifikat sofort widerrufen. Hierfür gibt es zwei Mechanismen: CRL - Certificate Revocation Lists - und OCSP - Online Certificate Status Protocol. [medium pause] CRL ist der ältere Mechanismus. Ihre Zertifizierungsstelle veröffentlicht eine Liste widerrufener Zertifikatsseriennummern unter einer bekannten URL. Der RADIUS-Server lädt diese Liste regelmäßig herunter und gleicht sie ab. Das Problem bei CRL ist die Latenz - wenn Ihre CRL eine Gültigkeitsdauer von 24 Stunden hat, kann ein widerrufenes Zertifikat noch bis zu 24 Stunden nach dem Widerruf authentifiziert werden. [medium pause] OCSP ist die Echtzeit-Alternative. Der RADIUS-Server sendet bei jedem Authentifizierungsversuch eine Abfrage an den OCSP-Responder und erhält eine sofortige Rückmeldung über die Gültigkeit oder den Widerruf. Der Nachteil ist, dass Ihr OCSP-Responder zu einer kritischen Abhängigkeit wird - wenn er nicht verfügbar ist, müssen Sie entscheiden, ob Sie einen offenen Zugang zulassen oder den Zugriff sperren. Für Hochsicherheitsumgebungen ist die Sperrung des Zugriffs die richtige Antwort. Für Betriebsumgebungen, in denen es auf Verfügbarkeit ankommt, können Sie eine kurze OCSP-Toleranzperiode konfigurieren. [medium pause] Lassen Sie mich Ihnen zwei konkrete Szenarien aufzeigen, um dies zu verdeutlichen. [medium pause] Erstens: Eine Hotelgruppe mit 150 Standorten. Diese nutzte PEAP mit einem gemeinsam genutzten Passwort für das Mitarbeiter-WiFi. Die Passwortänderung erfolgte vierteljährlich, was bedeutete, dass jedes Quartal ein Zeitfenster von zwei Wochen entstand, in dem Mitarbeiter ausgesperrt waren oder das alte Passwort nutzten. Sie wechselten zu EAP-TLS und nutzten Microsoft Intune für die Bereitstellung von Zertifikaten. SCEP-Profile wurden auf alle Windows - und iOS-Geräte übertragen. Active Directory Certificate Services fungierte als CA. Das Ergebnis: keine Passwortänderungen mehr, die Zertifikatsverlängerung wird 30 Tage vor Ablauf automatisch abgewickelt, und wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Zertifikat im MDM innerhalb von Minuten nach Deaktivierung seines Kontos in Microsoft Entra ID widerrufen. Das IT-Team schätzte, dass es pro Quartal etwa 40 Stunden für Passwort-Resets und Helpdesk-Tickets einsparen konnte. [medium pause] Zweitens: Eine Einzelhandelskette mit mehreren Standorten und 3.000 Mitarbeitergeräten in 200 Geschäften. Die Herausforderung hier war die Gerätevielfalt - eine Mischung aus Windows -Laptops, Android-Handhelds und iOS-Geräten. Sie nutzten Jamf Pro für Apple-Geräte und Microsoft Intune für Windows und Android, wobei beide auf denselben SCEP-Server verwiesen, der durch eine Microsoft ADCS Intermediate CA unterstützt wurde. Die WiFi-Infrastruktur bestand aus Cisco Meraki, wobei die RADIUS-Authentifizierung über einen in der Cloud gehosteten RADIUS-Dienst in Kombination mit Purple abgewickelt wurde. Die wichtigste Design-Entscheidung war die Ausstellung von Zertifikaten mit einer Gültigkeit von 12 Monaten und die Einrichtung einer automatischen Verlängerung 60 Tage vor Ablauf. Dies bot ein komfortables Verlängerungsfenster ohne zusätzlichen operativen Aufwand. [medium pause] Nun zu den Fallstricken. Es gibt vier, die ich immer wieder beobachte. [medium pause] Erstens: Das Testen des Widerrufs wird vernachlässigt. Organisationen richten ihre PKI ein, stellen Zertifikate bereit und testen nie wirklich, ob der Widerruf durchgängig funktioniert. Testen Sie es. Widerrufen Sie ein Testzertifikat, bestätigen Sie, dass der RADIUS-Server den Widerruf innerhalb des erwarteten Zeitfensters erkennt, und prüfen Sie, ob dem Gerät der Zugriff verweigert wird. [medium pause] Zweitens: Massenhafter Ablauf von Zertifikaten. Wenn Sie alle Zertifikate gleichzeitig mit derselben Gültigkeitsdauer ausstellen, laufen sie auch alle zur gleichen Zeit ab. Staffeln Sie die Ausstellung oder zumindest die Auslöser für die Verlängerung. Eine Fehlerrate bei der Verlängerung von 10 % bei 5.000 Geräten gleichzeitig ist ein schwerwiegender Vorfall. [medium pause] Drittens: Das Root-CA-Zertifikat wird vor der Bereitstellung von EAP-TLS nicht an alle Geräte verteilt. Wenn das Gerät Ihrer Root-CA nicht vertraut, lehnt es das Zertifikat des RADIUS-Servers ab und die Authentifizierung schlägt fehl. Das klingt offensichtlich, wird aber von Organisationen oft übersehen, wenn sie BYOD-Geräte oder Laptops von externen Dienstleistern im Einsatz haben, die nicht im MDM registriert sind. [medium pause] Viertens: Verfügbarkeit des OCSP-Responders. Wenn Ihr OCSP-Responder ausfällt und Ihr RADIUS-Server so konfiguriert ist, dass er bei OCSP-Fehlern den Zugriff blockiert, funktioniert Ihre gesamte WiFi-Infrastruktur nicht mehr. Sorgen Sie für Redundanz in Ihrer OCSP-Infrastruktur oder konfigurieren Sie eine kurze Übergangsfrist mit entsprechendem Monitoring. [medium pause] Nun zu den Fragen in aller Kürze. [medium pause] Kann ich eine öffentliche Zertifizierungsstelle (CA) für EAP-TLS-Client-Zertifikate verwenden? Technisch gesehen ja, in der Praxis jedoch nein. Öffentliche CAs stellen keine Client-Zertifikate für beliebige Geräte aus. Sie benötigen eine eigene CA für Client-Zertifikate. Für das RADIUS-Server-Zertifikat ist eine öffentliche CA völlig in Ordnung und vereinfacht die Vertrauensverteilung. [medium pause] Wie sieht es mit BYOD aus? BYOD ist der schwierige Fall. Sie können Zertifikate nicht über ein MDM auf nicht verwaltete Geräte übertragen. Zu den Optionen gehören ein Netzwerkzugriffssteuerungs-Portal, das nach der Benutzerauthentifizierung kurzlebige Zertifikate ausstellt, oder die einfache Bereitstellung von BYOD auf einer separaten SSID mit einer anderen Authentifizierungsmethode. [medium pause] Wie verhält sich dies mit WPA3? WPA3-Enterprise schreibt für sensible Umgebungen einen 192-Bit-Sicherheitsmodus vor, der bestimmte Cipher Suites erfordert. EAP-TLS ist vollständig kompatibel mit WPA3-Enterprise und wird tatsächlich als Authentifizierungsmethode empfohlen. [medium pause] Zusammenfassend lässt sich sagen: Die Verwaltung von EAP-TLS-Zertifikaten ist nicht einfach, aber sie ist machbar, wenn die Architektur von Anfang an stimmt. Eine dreistufige CA-Hierarchie. Automatische Registrierung über SCEP oder MDM. Kurze Zertifikatslaufzeiten mit automatischer Erneuerung. Echtzeit-Widerruf über OCSP. Testen Sie alles, insbesondere den Widerruf. Und integrieren Sie den Lebenszyklus Ihrer Zertifikate in Ihren Identitätsanbieter - Microsoft Entra ID, Okta oder Google Workspace - damit der Zertifikatswiderruf automatisch ausgelöst wird, wenn ein Konto deaktiviert wird. [medium pause] Wenn Sie mit Purple verknüpfte RADIUS-Server betreiben, sind die Integrationspunkte Ihre SCEP-Server-URL, Ihr RADIUS-Server-Zertifikat und Ihr CRL- oder OCSP-Endpunkt. Die herstellerunabhängige Architektur von Purple sorgt dafür, dass dies über Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und den Rest der bekannten Hardware-Liste hinweg funktioniert - Sie sind nicht an die PKI-Tools eines einzelnen Anbieters gebunden. [medium pause] Nächste Schritte: Überprüfen Sie Ihren aktuellen Zertifikatsbestand. Wenn Sie nicht wissen, wie viele Zertifikate Sie haben, wann sie ablaufen und wer sie ausgestellt hat, ist das der erste Punkt, den es zu beheben gilt. Von dort aus ist der Weg zur vollständigen Automatisierung klar definiert. Vielen Dank fürs Zuhören.

header_image.png

Management-Zusammenfassung

Die Verwaltung digitaler Zertifikate für die EAP-TLS WiFi Authentifizierung stellt eine große operative Herausforderung für IT-Teams in Unternehmen dar. Da Unternehmen die auf Anmeldedaten basierende Authentifizierung im Zuge der Zero Trust Compliance ausphasen, verlagert sich der operative Aufwand von Passwort-Resets auf das Lebenszyklusmanagement von Zertifikaten. Dieser Leitfaden beschreibt die Architekturmuster, die erforderlich sind, um clientseitige Zertifikate in komplexen Infrastrukturumgebungen im großen Maßstab bereitzustellen, zu erneuern und zu widerrufen.

Für CTOs und Netzwerkarchitekten ist das Ziel klar: Implementierung einer robusten Public-Key-Infrastruktur (PKI), die sich nahtlos in bestehende Mobile-Device-Management-Plattformen (MDM) integrieren lässt. Durch die Automatisierung der Zertifikatsausstellung über das Simple Certificate Enrolment Protocol (SCEP) und den Widerruf in Echtzeit entfallen manuelle Eingriffe. Dieser Ansatz sichert den Netzwerkperimeter ab, erfüllt Compliance-Frameworks einschließlich PCI-DSS 4.0 und gewährleistet eine kontinuierliche Konnektivität für über 80.000 physische Standorte, an denen Unternehmenshardware betrieben wird.

Technische Detailanalyse

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) stellt den Goldstandard für die 802.1X Netzwerkzugriffskontrolle dar. Es erzwingt eine gegenseitige Authentifizierung. Der RADIUS-Server präsentiert sein Zertifikat, um seine Identität gegenüber dem Client nachzuweisen, während der Client sein Zertifikat präsentiert, um seine Identität gegenüber dem Netzwerk nachzuweisen.

Dreistufige PKI-Architektur

Eine flache PKI-Hierarchie birgt ein inakzeptables Risiko. Das empfohlene Muster ist eine dreistufige Architektur:

  1. Root-Zertifizierungsstelle (Root CA): Der ultimative Vertrauensanker. Dieser Server bleibt offline und physisch vom Netzwerk getrennt. Seine einzige Funktion besteht darin, Zertifikate von Zwischen-Zertifizierungsstellen zu signieren.
  2. Zwischen-Zertifizierungsstelle (Ausstellende CA): Dieser Server bleibt online und übernimmt die tägliche Signierung von Client- und Server-Zertifikaten. Im Falle einer Kompromittierung kann sie von der Root CA widerrufen werden, ohne dass die gesamte Vertrauensinfrastruktur neu aufgebaut werden muss.
  3. Endbenutzer-Zertifikate: Dies sind die tatsächlichen Zertifikate, die auf RADIUS-Servern und Client-Geräten bereitgestellt werden.

pki_trust_chain_diagram.png

Zertifikatslaufzeiten und kryptografische Standards

Die Branche schreibt kürzere Zertifikatslaufzeiten vor, um das Risiko im Falle einer Kompromittierung des Schlüssels zu minimieren. Während öffentliche TLS-Zertifikate auf 398 Tage begrenzt sind, weisen interne Client-Zertifikate, die für die WiFi Authentifizierung verwendet werden, in der Regel eine Gültigkeitsdauer von 365 Tagen auf.

Kryptografische Anforderungen verlangen ein Minimum an RSA-2048-Bit-Schlüsseln oder Elliptic Curve Cryptography (ECC) unter Verwendung der P-256-Kurve. Der WPA3-Enterprise-192-Bit-Modus erfordert spezifische Cipher Suites, und EAP-TLS ist die einzige Authentifizierungsmethode, die diese Anforderungen vollständig erfüllt.

Implementierungsleitfaden

Die Bereitstellung von EAP-TLS in verteilten Standorten erfordert eine enge Integration zwischen Ihrem Identity Provider, Ihrer MDM-Plattform und Ihrer Netzwerk-Hardware. Das Cloud-Overlay von Purple lässt sich nahtlos in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Schritt 1: Vertrauenskette aufbauen

Bevor sich ein Gerät authentifizieren kann, muss es dem RADIUS-Server vertrauen. Stellen Sie das Root-CA-Zertifikat über Ihr MDM auf allen verwalteten Geräten bereit. Für nicht verwaltete Geräte müssen Sie ein Bootstrapping-Onboarding-Portal anbieten, um das Vertrauensprofil zu installieren.

Schritt 2: Zertifikatserstellung über SCEP automatisieren

Die manuelle Erstellung von Zertifikaten ist nicht praktikabel. Implementieren Sie SCEP, um diesen Workflow zu automatisieren:

  1. Das MDM (z. B. Microsoft Intune) überträgt ein SCEP-Payload an das Gerät.
  2. Das Gerät generiert lokal einen privaten Schlüssel.
  3. Das Gerät sendet eine Zertifikatssignierungsanforderung (CSR) an den SCEP-Server.
  4. Die CA stellt das Zertifikat aus, und das Gerät installiert es in seinem hardwaregestützten Schlüsselspeicher.

Schritt 3: RADIUS-Richtlinien konfigurieren

Konfigurieren Sie Ihren RADIUS-Server so, dass er EAP-TLS vorschreibt. Stellen Sie sicher, dass der Server den Subject Alternative Name (SAN) im Client-Zertifikat mit Ihrem Identitätsverzeichnis (Microsoft Entra ID, Okta oder Google Workspace) abgleicht, um zu bestätigen, dass das Benutzerkonto noch aktiv ist.

certificate_lifecycle_infographic.png

Best Practices

  • Erneuerung frühzeitig automatisieren: Konfigurieren Sie MDM-Profile so, dass die Zertifikatserneuerung mindestens 30 Tage vor dem Ablaufdatum ausgelöst wird. Dies verhindert plötzliche Authentifizierungsfehler an gesamten Standorten.
  • Hardware-Schlüsselspeicher erzwingen: Verlangen Sie, dass private Schlüssel im Trusted Platform Module (TPM) oder der Secure Enclave des Geräts generiert und gespeichert werden. Schlüssel müssen als nicht exportierbar konfiguriert werden.
  • Echtzeit-Widerruf implementieren: Die Nutzung statischer Zertifikatswiderrufslisten (CRLs) verursacht Verzögerungen. Implementieren Sie das Online Certificate Status Protocol (OCSP), damit der RADIUS-Server den Zertifikatsstatus während der Authentifizierung in Echtzeit überprüfen kann.

Fehlerbehebung und Risikominimierung

Die häufigsten Fehlerquellen bei EAP-TLS-Bereitstellungen hängen mit Vertrauen und Zeit zusammen.

Fehler beim Vertrauensanker

Wenn ein Client-Gerät das Zertifikat des RADIUS-Servers ablehnt, schlägt die Authentifizierung geräuschlos fehl. Dies geschieht, wenn das Root-CA-Zertifikat im Vertrauensspeicher des Geräts fehlt. Überprüfen Sie die MDM-Bereitstellungsprotokolle, um sicherzustellen, dass das Vertrauensprofil vor dem WiFi-Profil angewendet wird. Weitere Diagnosen zu Verbindungsproblemen finden Sie unter Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .

Klippen durch Ablauf von Zertifikaten

Das gleichzeitige Ausstellen von Tausenden von Zertifikaten führt zu einer kritischen Spitze beim Erneuerungszeitraum. Wenn der SCEP-Server während dieses Fensters ausfällt, werden Geräte vom Netzwerk getrennt. Staffeln Sie die ersten Bereitstellungen, um die Erneuerungslast zu verteilen.

OCSP-Timeouts

Wenn der RADIUS-Server den OCSP-Responder nicht erreichen kann, muss er entscheiden, ob er im Modus „Fail-Open“ (offen lassen) oder „Fail-Closed“ (gesperrt lassen) verfährt. Für Unternehmensnetzwerke ist das Sperren im Fehlerfall der Standard. Stellen Sie sicher, dass Ihre OCSP-Infrastruktur hochverfügbar und geografisch verteilt ist.

ROI & geschäftliche Auswirkungen

Die Umstellung auf EAP-TLS erfordert anfänglichen Entwicklungsaufwand, aber der betriebliche Ertrag ist erheblich. Ein Unternehmen mit 5.000 Benutzern verbringt in der Regel 40 Stunden pro Monat mit der Behebung von Passwortrücksetzungen und RADIUS-Sperren, die durch PEAP-Passwortrotationen verursacht werden.

Durch die Automatisierung von Zertifikatslebenszyklen können Sie diese Support-Tickets eliminieren. Darüber hinaus erfüllen Sie die strengen Zugriffskontrollanforderungen von ISO 27001 und PCI-DSS, was den Audit-Aufwand reduziert. In Kombination mit Guest WiFi und WiFi Analytics bietet Purple eine einheitliche Sicht auf den Netzwerkzugriff für alle Benutzertypen und vereinfacht so die Compliance-Berichterstattung über verteilte Standorte hinweg.

Schlüsseldefinitionen

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Ein Authentifizierungs-Framework, bei dem sich sowohl der Client als auch der Server mithilfe digitaler Zertifikate identifizieren müssen.

Der Branchenstandard für die Absicherung von WiFi-Netzwerken in Unternehmen, ohne sich auf unsichere Passwörter verlassen zu müssen.

SCEP

Simple Certificate Enrolment Protocol. Ein Protokoll, das von MDM-Plattformen verwendet wird, um die Anforderung und Installation digitaler Zertifikate auf Geräten sicher zu automatisieren.

Unerlässlich für die Skalierung von EAP-TLS-Bereitstellungen über einige Dutzend Geräte hinaus, da die manuelle Zertifikatsverwaltung entfällt.

RADIUS

Remote Authentication Dial-In User Service. Das Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.

Die Serverkomponente, die das Client-Zertifikat validiert und dem Access Point mitteilt, dass der Netzwerkzugriff gewährt werden soll.

OCSP

Online Certificate Status Protocol. Ein Internetprotokoll zur Abfrage des Widerrufsstatus eines digitalen X.509-Zertifikats in Echtzeit.

Ersetzt statische CRLs, um sicherzustellen, dass ein widerrufenes Zertifikat sofort im Netzwerk gesperrt wird.

Root CA

Root Certificate Authority. Die oberste kryptografische Instanz in einer Public Key Infrastructure, die zum Signieren untergeordneter CAs verwendet wird.

Muss hochsicher und offline aufbewahrt werden, um die gesamte Vertrauenskette der Organisation zu schützen.

SAN

Subject Alternative Name. Eine Erweiterung für X.509, die es ermöglicht, einem Sicherheitszertifikat verschiedene Werte wie E-Mail-Adressen oder UPNs zuzuordnen.

Wird vom RADIUS-Server verwendet, um das Zertifikat einem bestimmten Benutzerkonto im Identitätsverzeichnis zuzuordnen.

MDM

Mobile Device Management. Software, die von IT-Abteilungen verwendet wird, um die mobilen Geräte der Mitarbeiter zu überwachen, zu verwalten und zu sichern.

Der Bereitstellungsmechanismus, der die SCEP-Konfiguration und die WiFi-Profile an die Endgeräte der Benutzer verteilt.

CRL

Certificate Revocation List. Eine Liste digitaler Zertifikate, die von der ausstellenden CA vor ihrem geplanten Ablaufdatum widerrufen wurden.

Eine veraltete Methode zur Überprüfung der Gültigkeit von Zertifikaten, die im Vergleich zu OCSP unter Latenzproblemen leidet.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 150 Standorten muss den Zugriff der Mitarbeiter auf 3.000 Geräten absichern. Derzeit wird PEAP mit einem gemeinsamen Passwort verwendet, das vierteljährlich gewechselt wird, was zu einem hohen Helpdesk-Aufkommen führt. Wie sollte EAP-TLS implementiert werden?

Stellen Sie Microsoft Intune bereit, um alle Unternehmensgeräte zu verwalten. Richten Sie eine Microsoft ADCS Intermediate CA ein, die über den Intune Certificate Connector in Intune integriert ist. Verteilen Sie das Root CA-Zertifikat an alle Geräte, gefolgt von einem SCEP-Profil, das ein Client-Zertifikat mit einer Gültigkeit von 365 Tagen anfordert. Konfigurieren Sie das WiFi-Profil so, dass es EAP-TLS verwendet und auf die mit Purple verknüpften RADIUS-Server verweist. Stellen Sie das SCEP-Profil so ein, dass es sich bei verbleibenden 20 % der Lebensdauer (73 Tage) automatisch erneuert.

Kommentar des Prüfers: Dieser Ansatz erübrigt den vierteljährlichen Passwortwechsel vollständig. Durch die Einrichtung eines frühzeitigen Erneuerungs-Triggers vermeidet das IT-Team kritische Ablaufdaten. Die direkte Integration in Intune stellt sicher, dass das MDM das Zertifikat widerruft und das WiFi-Profil automatisch löscht, wenn ein Mitarbeiter das Unternehmen verlässt und sein Entra ID-Konto deaktiviert wird.

Eine Einzelhandelskette benötigt sicheres WiFi für mobile POS-Handhelds an 200 Standorten. Die Geräte laufen mit Android und verlieren häufig die Verbindung zum zentralen Verwaltungsserver. Wie gehen Sie mit dem Widerruf von Zertifikaten um?

Implementieren Sie OCSP für die Echtzeit-Widerrufsprüfung auf Ebene des RADIUS-Servers. Konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder abfragt. Wird ein Handheld als verloren gemeldet, widerruft das Sicherheitsteam das Zertifikat in der CA. Beim nächsten Versuch des Geräts, sich mit einem Access Point zu verbinden, erhält der RADIUS-Server eine "Widerrufen"-Antwort von OCSP und verweigert den Zugriff sofort.

Kommentar des Prüfers: Sich darauf zu verlassen, dass das MDM ein verlorenes Gerät löscht, reicht nicht aus, wenn das Gerät offline oder abgeschirmt ist. Durch die Durchsetzung von Widerrufsprüfungen am Netzwerkrand via OCSP fungiert der RADIUS-Server als Kontrollpunkt. So wird sichergestellt, dass das kompromittierte Zertifikat nicht verwendet werden kann, selbst wenn das Gerät selbst vom MDM nicht erreicht werden kann.

Übungsfragen

Q1. Sie stellen EAP-TLS für 2.000 Unternehmens-Laptops bereit. Die SCEP-Infrastruktur ist konfiguriert, aber während des Tests schlägt die Verbindung der Laptops mit dem WiFi fehl. Die RADIUS-Protokolle zeigen "Unknown CA". Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie die Reihenfolge der Abläufe beim Bereitstellen von Vertrauensprofilen im Vergleich zu Authentifizierungsprofilen.

Musterlösung anzeigen

Auf den Laptops ist das Root CA-Zertifikat nicht im Speicher für vertrauenswürdige Stammzertifikate installiert. Das MDM muss so konfiguriert sein, dass es die Root CA-Zertifikats-Payload an die Geräte verteilt, bevor die SCEP-Payload oder das EAP-TLS WiFi-Profil übertragen wird. Ohne die Root CA lehnt der Client das Zertifikat des RADIUS-Servers ab.

Q2. Ein kompromittiertes Gerät wird als verloren gemeldet. Das IT-Team löscht das Gerät aus dem MDM und widerruft das Zertifikat in der CA. Tests zeigen jedoch, dass sich das Gerät immer noch bis zu 12 Stunden lang mit dem Netzwerk verbinden kann. Wie lösen Sie dies?

Hinweis: Sehen Sie sich an, wie der RADIUS-Server den Zertifikatsstatus validiert.

Musterlösung anzeigen

Der RADIUS-Server verlässt sich wahrscheinlich auf eine Certificate Revocation List (CRL), die nur alle 12 bis 24 Stunden veröffentlicht oder heruntergeladen wird. Um dies zu lösen, implementieren Sie das Online Certificate Status Protocol (OCSP) und konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den OCSP-Responder für eine Echtzeit-Validierung abfragt.

Q3. Sie entwerfen die Richtlinie für den Zertifikatslebenszyklus. Das Sicherheitsteam wünscht sich eine Zertifikatslebensdauer von 30 Tagen, um das Risiko zu minimieren, aber das Netzwerkteam ist besorgt über die SCEP-Serverlast und Verbindungsabbrüche. Was ist die empfohlene Balance?

Hinweis: Berücksichtigen Sie den Unterschied zwischen öffentlichen Webzertifikaten und einer internen, verwalteten PKI.

Musterlösung anzeigen

Eine Gültigkeitsdauer von 365 Tagen mit einer automatischen Verlängerung, die 60 oder 90 Tage vor dem Ablauf ausgelöst wird, bietet die optimale Balance. Eine 30-tägige Lebensdauer für WiFi-Zertifikate birgt ein zu hohes betriebliches Risiko, wenn Geräte während ihres engen Verlängerungsfensters offline sind. Die Sicherheit wird durch einen robusten OCSP-Widerruf in Echtzeit gewährleistet und nicht durch aggressiv kurze Lebensdauern.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →