# Zertifikatsbasierte Netzwerkauthentifizierung

Wir empfehlen die Verwendung unseres RADIUS-as-a-Service als Network Access Controller (NAC), um eine zertifikatsbasierte WiFi-, LAN- oder VPN-Authentifizierung zu realisieren, da so eine Konfiguration mit nur einem Klick möglich ist. SCEPman-Zertifikate funktionieren jedoch grundsätzlich mit allen NACs, die die standardmäßige 802.1x-zertifikatsbasierte Authentifizierung unterstützen.

Dieser Artikel beschreibt bemerkenswerte Eigenschaften einiger der gängigsten NACs.

## RADIUS-as-a-Service

Bitte lesen Sie die [RADIUS-as-a-Service-Dokumentation](https://docs.radiusaas.com/configuration/get-started/scenario-based-guides/scepman-pki) um zu sehen, wie SCEPman-Zertifikate in RADIUS-as-a-Service verwendet werden.

## Cisco ISE

{% hint style="info" %}
Dies ist für Cisco nicht mehr erforderlich&#x20;

* ISE Release 3.2 Patch 8 oder höher,
* ISE Release 3.3 Patch 5 oder höher,
* ISE Release 3.4 Patch 2 oder höher
  {% endhint %}

Cisco ISE unterstützt für OCSP-Anfragen üblicherweise nicht HTTP 1.1, sondern nur HTTP 1.0. Dafür ist ein zusätzlicher Application Proxy vor SCEPman erforderlich. Siehe unseren [Troubleshooting-Artikel für ISE](https://docs.scepman.com/de/sonstiges/troubleshooting/cisco-ise-host-header-limitation) für Details.

Zumindest einige Versionen von Cisco ISE 3.x erfordern eine Extended Key Usage-Erweiterung, die die OCSP Responder Extended Key Usage enthält, um OCSP-Antworten zu akzeptieren, selbst wenn sie von einer CA stammen, für die dies gemäß RFC nicht erforderlich ist. SCEPman-Versionen bis einschließlich 1.7 haben standardmäßig keine Extended Key Usage zu ihrem CA-Zertifikat hinzugefügt. Version 1.8 ermöglicht es Ihnen, diese Erweiterung über eine [Konfigurationseinstellung](https://docs.scepman.com/de/scepman-konfiguration/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-addextendedkeyusage)hinzuzufügen. In SCEPman 1.9 fügt der Standardwert der Konfigurationseinstellung die Extended Key Usage bereits hinzu. Wenn Sie bereits ein CA-Zertifikat ohne Extended Key Usage-Erweiterung haben und Probleme mit Cisco ISE 3.x auftreten, müssen Sie möglicherweise ein neues SCEPman Root CA-Zertifikat mit der Extended Key Usage-Erweiterung erstellen.

## Aruba ClearPass

### Microsoft Intune ClearPass Extension

Falls Sie Arubas [Microsoft Intune ClearPass Extension](https://arubanetworking.hpe.com/techdocs/NAC/clearpass/integrations/unified-endpoint-management/intune/) innerhalb des ClearPass Policy Manager verwenden, müssen Sie die Geräte-IDs im [SCEP certificate template](https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/windows-10#device-certificates) in einem bestimmten Format hinzufügen. Um die Kompatibilität mit SCEPman sicherzustellen, sind untenstehende SAN-Attribute in der folgenden **Reihenfolge**:

* `(URI)` Wert: `DeviceId:{{DeviceId}}`
* `(URI)` Wert: `AAD_Device_ID:{{AAD_Device_ID}}`
* `(URI)` Wert: `IntuneDeviceId://{{DeviceId}}`&#x20;

{% hint style="info" %}
Die ersten beiden Einträge werden von ClearPass verwendet, während der dritte Eintrag von SCEPman verwendet wird.
{% endhint %}

### OCSP HTTP 1.0 Problem

{% hint style="info" %}
Dies ist **nicht mehr erforderlich** für ClearPass 6.9.6 oder höher.
{% endhint %}

Analog zu Cisco ISE verwendet Aruba ClearPass HTTP 1.0 für OCSP-Anfragen und erfordert daher [zusätzliche Konfigurationsschritte zum Hinzufügen eines Application Proxy](https://docs.scepman.com/de/sonstiges/troubleshooting/cisco-ise-host-header-limitation) um mit SCEPman zu funktionieren.

## Microsoft Network Policy Server (NPS)

NPS ordnet Zertifikate Geräte- oder Benutzerentitäten in AD (nicht AAD) zu. Da es keine geräteübergreifende Synchronisierung out-of-the-box zwischen AAD und AD gibt, ist es in der Regel nicht möglich, NPS mit Geräte-Zertifikaten zu verwenden, die über Intune mit SCEPman oder einer anderen PKI verteilt werden. Benutzerzertifikate können für Benutzer funktionieren, die zwischen AAD und AD synchronisiert sind. Die Zertifikate müssen die UPNs der Benutzer enthalten, die NPS verwendet, um sie AD-Benutzerobjekten mit demselben UPN zuzuordnen.

## Sonstige

Generell müssen Sie das SCEPman Root CA-Zertifikat im NAC als vertrauenswürdige CA hinzufügen.

Möglicherweise müssen Sie die SCEPman-OCSP-URL manuell hinzufügen. Die OCSP-URL finden Sie in der Erweiterung Authority Information Access (AIA) eines beliebigen Client-Zertifikats.