Anwendungsfälle

Diese Seite soll Ihnen einen Überblick über häufige Anwendungsfälle und Szenarien geben, für die unsere Kunden SCEPman nutzen. Zwar können wir nicht die Einzelheiten jeder Anbieterlösung unterstützen, aber wir hoffen, dass Ihnen dieser Überblick hilft, schnell einzuschätzen, ob SCEPman auch für Ihr Szenario geeignet sein könnte, ohne Sie mit weniger üblichen oder gar exotischen Anwendungsfällen zu überfrachten. Wenn Sie unsicher sind, stellen Sie uns einfach eine Frage.

Sichere WLAN- und Netzwerkzugänge

Von SCEPman ausgestellte Zertifikate werden häufig für zertifikatbasierte Netzwerk-Authentifizierung (802.1X / EAP-TLS) für WLAN, Kabel/LAN und VPN verwendet, typischerweise zusammen mit einem Network Access Control (NAC)-Dienst, der das RADIUS- oder RadSec-Protokoll spricht. Solche Dienste sind häufig

• RADIUSaaS

• Aruba ClearPass

• Cisco ISE / Cisco ASA

• Azure VPN Gateway / Azure AlwaysOn VPN

• Fortinet FortiGate

• Palo Alto GlobalProtect

Zusätzlich zu typischen benutzerzentrierten Endgeräten wie Laptops, PCs oder Macs werden Kiosksysteme wie POS- oder Self-Checkout-Systeme, Handscanner/Barcode-Scanner oder Kundenterminals oft mit Zertifikaten von SCEPman für eine sichere Netzwerk-Authentifizierung ausgestattet.

Zertifikatbasierte Authentifizierung

Sie können Benutzer-Authentifizierungszertifikate mit SCEPman für TLS-Client-Authentifizierung ausstellen. Dadurch ist die Authentifizierung an Websites oder Diensten wie

• Interne Webanwendungen

• Windows oder Linux Servern

• Microsoft 365

  • Exchange Online

  • Azure Active Directory (AAD) / Azure CBA (einschließlich CRL-Unterstützung) wie z. B. erforderlich durch NIST 800-63, Rev. 4

• Andere Cloud-Dienste

• Remote Desktop (RDP)-Verbindungen

  • AVD

  • Windows-Server-Administration / PAWs

TLS-Inspektion

SCEPman kann Sub-CA-Zertifikate ausstellen für TLS-Inspektion auf Firewall-Appliances und Diensten wie

• Azure Firewall

• Global Secure Access (GSA) (Microsoft Entra Internet Access)

• Andere Firewall-Appliances

MDM-Lösungen

Um die Bereitstellung relevanter Konfigurationsprofile zu automatisieren und Zertifikate aktuell zu halten (Auto-Erneuerung), empfehlen wir die Verwendung von SCEPman zusammen mit einer MDM-Lösung. Während SCEPman nativ in Microsoft Endpoint Manager/Intune und Jamf Pro integriert ist, haben unsere Kunden SCEPman auch erfolgreich zusammen mit anderen MDM-Lösungen eingesetzt.

Die untenstehende Tabelle bietet einen Überblick über die am häufigsten verwendeten MDM-Lösungen und zeigt, wie/ob eine Zertifikatswiderruf möglich ist.

*: Funktioniert nur mit benutzerbasierten Zertifikaten, wenn die Benutzerobjekte aus Microsoft Entra ID (Azure AD) synchronisiert werden.

Migration von On-Premises in die Cloud

Da SCEPman cloud-nativ und eine allgemein einsetzbare PKI ist, nutzen viele unserer Kunden, die ihre On-Premises-Infrastruktur in die Cloud migrieren, SCEPman, um ihre lokale Microsoft-PKI (ADCS und NDES) vollständig zu ersetzen. Mit SCEPman ist dies für Endgeräte möglich, die

• Domänenverbunden

• Hybrid-verbunden oder

• Entra ID-verbunden sind.

IoT-Geräte

SCEPman kann verwendet werden, um IoT-Geräte mit Zertifikaten zu versorgen. Daher unterstützt SCEPman eine ECC-CA, die leistungs- und energieoptimierte kryptografische Algorithmen auf Geräten mit begrenzter Rechenleistung oder auf batteriebetriebenen Geräten ermöglicht. Die Flexibilität von SCEPman unterstützt die Ausstellung von Zertifikaten mit langen Gültigkeitszeiträumen, die einen langfristigen Offline-Betrieb ohne regelmäßige Zertifikatsverlängerung erlauben. Darüber hinaus können Zertifikate auf einer Montagelinie bequem durch Nutzung der SCEPman-REST-API mit Microsoft Entra ID (Azure AD)-basierter Authentifizierung registriert werden.