circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Zertifikatbasierte Netzwerkauthentifizierung

Wir empfehlen, unseren RADIUS-as-a-Service als Network Access Controller (NAC) zu verwenden, um zertifikatbasierte WiFi-, LAN- oder VPN-Authentifizierung zu realisieren, da er eine One-Click-Konfiguration ermöglicht. SCEPman-Zertifikate funktionieren im Allgemeinen jedoch mit allen NACs, die standardmäßige 802.1x zertifikatbasierte Authentifizierung unterstützen.

Dieser Artikel beschreibt bemerkenswerte Eigenschaften einiger der gebräuchlichsten NACs.

hashtag
RADIUS-as-a-Service

Bitte beziehen Sie sich auf die RADIUS-as-a-Service-Dokumentationarrow-up-right um zu sehen, wie SCEPman-Zertifikate in RADIUS-as-a-Service verwendet werden.

hashtag
Cisco ISE

circle-info

Dies ist nicht mehr erforderlich für Cisco

  • ISE Release 3.3 Patch 5 oder neuer,

  • ISE Release 3.4 Patch 2 oder neuer

Cisco ISE unterstützt häufig kein HTTP 1.1, sondern nur HTTP 1.0 für OCSP-Anfragen. Dies erfordert einen zusätzlichen Application Proxy vor SCEPman. Siehe unseren Troubleshooting-Artikel für ISE für Details.

Mindestens einige Versionen von Cisco ISE 3.x verlangen eine Extended Key Usage-Erweiterung, die die OCSP Responder Extended Key Usage enthält, um OCSP-Antworten zu akzeptieren, selbst wenn dies bei einer CA gemäß RFC nicht erforderlich ist. SCEPman-Versionen bis 1.7 fügten standardmäßig kein Extended Key Usage zu ihrem CA-Zertifikat hinzu. Version 1.8 erlaubt Ihnen, diese Erweiterung über eine Konfigurationseinstellunghinzuzufügen. In SCEPman 1.9 fügt der Standardwert der Konfigurationseinstellung bereits die Extended Key Usage hinzu. Wenn Sie bereits ein CA-Zertifikat ohne Extended Key Usage-Erweiterung haben und Probleme mit Cisco ISE 3.x auftreten, müssen Sie möglicherweise ein neues SCEPman Root CA-Zertifikat mit der Extended Key Usage-Erweiterung erstellen.

hashtag
Aruba ClearPass

circle-info

Dies ist nicht mehr erforderlich für ClearPass 6.9.6 oder neuer.

Analog zu Cisco ISE verwendet Aruba ClearPass HTTP 1.0 für OCSP-Anfragen und erfordert daher zusätzliche Konfigurationsschritte durch Hinzufügen eines Application Proxy um mit SCEPman zu funktionieren.

hashtag
Microsoft Network Policy Server (NPS)

NPS ordnet Zertifikate Geräte- oder Benutzerentitäten in AD (nicht AAD) zu. Da es keine Geräte-Synchronisation von Haus aus zwischen AAD und AD gibt, ist es in der Regel nicht möglich, NPS mit Gerätezertifikaten zu verwenden, die über Intune mit SCEPman oder einer anderen PKI verteilt wurden. Benutzerzertifikate können für zwischen AAD und AD synchronisierte Benutzer funktionieren. Die Zertifikate müssen die UPNs der Benutzer enthalten, die NPS verwendet, um auf AD-Benutzerobjekte mit demselben UPN zuzuordnen.

hashtag
Sonstige

In der Regel müssen Sie das SCEPman Root CA-Zertifikat als vertrauenswürdige CA im NAC hinzufügen.

Möglicherweise müssen Sie die SCEPman-OCSP-URL manuell hinzufügen. Die OCSP-URL finden Sie in der Authority Information Access (AIA)-Erweiterung eines beliebigen Clientzertifikats.

Zuletzt aktualisiert

War das hilfreich?