# Vertrauenswürdige Zertifikate

## Arten vertrauenswürdiger Zertifikate

### Vertrauenswürdige CAs für Client-Authentifizierung

Vertrauenswürdige CAs für die Client-Authentifizierung stellen das Vertrauen zwischen den CAs her, die Client-Authentifizierungszertifikate für Ihre Endgeräte und RADIUSaaS ausstellen.

### Vertrauenswürdige RadSec-Verbindungszertifikate

RadSec selbst arbeitet mit gegenseitiger Zertifikatsauthentifizierung (mTLS). Das bedeutet einerseits, dass Ihre Authentifikatoren [RADIUSaaS vertrauen](https://docs.radiusaas.com/de/admin-portal/settings-server#server-certificates) und andererseits muss RADIUSaaS wissen, welchen Authentifikatoren vertraut werden soll, damit eine gültige RadSec-Verbindung hergestellt werden kann. Die vertrauenswürdigen RadSec-Verbindungszertifikate stellen sicher, dass RADIUSaaS nur den von Ihnen angegebenen Authentifikatoren vertraut.

## **Vorinstalliertes vertrauenswürdiges RadSec-Zertifikat**

Aufgrund des [oben Genannten](#trusted-radsec-connection-certificates)werden Sie immer mindestens ein vertrauenswürdiges RadSec-Zertifikat sehen, das das Vertrauen mit Ihrem [RADIUS-Proxys](https://docs-preview.radiusaas.com/admin-portal/settings/settings-proxy) (das effektiv als RadSec-Client fungiert). Damit Ihre Proxys ordnungsgemäß starten können und eine Verbindung zu Ihrer Instanz herstellen können, können Sie es nicht löschen.

## Hinzufügen 

{% hint style="warning" %}
Wenn Sie eine gestufte PKI-Infrastruktur haben (z. B. eine **Microsoft Legacy PKI**), beachten Sie bitte [diesem](#tiered-pki-hierarchy).
{% endhint %}

Um ein neues vertrauenswürdiges Zertifikat hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf **Hinzufügen**
2. Wählen Sie aus, ob Sie das vertrauenswürdige Zertifikat importieren möchten 
   * von SCEPman (indem Sie die URL zu Ihrer SCEPman-Instanz angeben), oder
   * von einer anderen CA (durch Hochladen einer PEM- oder DER-kodierten Zertifikatsdatei)
3. Wählen Sie den [Typ](#types-of-trusted-certificates) des vertrauenswürdigen Zertifikats unter **Verwenden für**:
   * [**Client-Authentifizierung**](#trusted-cas-for-client-authentication)
   * [**RadSec**](#trusted-radsec-connection-certificates)
   * **Beides** (hilfreich, wenn dieselbe CA sowohl Ihre Client-Authentifizierungszertifikate als auch Ihre RadSec-Client-Zertifikate ausstellt)
4. Laden Sie die Zertifikatsdatei per Drag & Drop hoch (alternativ können Sie in den blauen Bereich klicken und Ihre Datei auswählen)
5. Wählen Sie die Zertifikatsüberprüfungsoption:
   * **OCSP-Autodetektion**: RADIUSaaS versucht, die OCSP-Responder-URL aus der Authority Information Access-(AIA-)Erweiterung des Clientzertifikats abzuleiten, die für die Netzwerkauthentifizierung verwendet wird. Falls keine OCSP-Responder-URL gefunden wird oder der OCSP-Responder nicht verfügbar ist, berücksichtigt RADIUSaaS die [**Soft Fail** ](#ocsp-soft-fail)-Konfiguration.
   * **OCSP**: Geben Sie manuell an, welche OCSP-Responder-URL für jedes von der vertrauenswürdigen CA ausgestellte Zertifikat verwendet wird. Falls der OCSP-Responder nicht verfügbar ist, berücksichtigt RADIUSaaS die [**Soft Fail** ](#ocsp-soft-fail)-Konfiguration.
   * **CRL**: Wenn diese Option ausgewählt ist, verwendet RADIUSaaS statt OCSP eine CRL, um das von der CA ausgestellte Zertifikat zu überprüfen. Geben Sie die CRL-Kodierung (**DER** oder **PEM**) und die **CRL-Verteilungspunkte**.
   * **Keine:** Wenn Ihre CA weder OCSP noch CRL unterstützt, wählen Sie **Keine** um die Überprüfung zu überspringen.
6. Klicken Sie auf **Speichern**

## Löschen

Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie auf **Löschen** und bestätigen Sie Ihre Auswahl. 

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F881Etn4X8SPLFDEUIEaz%2Fimage.png?alt=media&#x26;token=1f14289f-0179-45e1-ab9f-72a39f4e2e37" alt=""><figcaption><p>Anzeige des Löschens eines vertrauenswürdigen Zertifikats</p></figcaption></figure>

## OCSP Soft-Fail

Diese Einstellung bestimmt, wie sich RADIUSaaS verhält, wenn der OCSP-Responder Ihrer vertrauenswürdigen CA nicht erreicht werden kann.&#x20;

{% hint style="danger" %}
Wenn Sie **deaktivieren** diese Einstellung, werden Authentifizierungsanfragen **abgelehnt** wenn der OCSP-Responder Ihrer CA nicht erreicht werden kann.

Bitte prüfen Sie [folgen-von-ocsp-soft-fail](https://docs.radiusaas.com/de/sonstige/faqs/folgen-von-ocsp-soft-fail "mention") um sicherzustellen, dass Sie die Auswirkungen dieser Einstellung verstehen.
{% endhint %}

{% hint style="info" %}
Beachten Sie, dass diese Einstellung nur verfügbar ist, wenn **OCSP-Autodetektion** oder **OCSP** für die Zertifikatsüberprüfung ausgewählt ist.&#x20;
{% endhint %}

Standardmäßig **empfehlen wir, OCSP Soft Fail zu aktivieren** um die Verfügbarkeit des Dienstes zu erhöhen, indem Authentifizierungsanfragen auch dann akzeptiert werden können, wenn der OCSP-Responder nicht erreicht werden kann. Mit diesem **Soft-Fail** -Mechanismus und falls OCSP nicht erreichbar ist, prüft RADIUSaaS nur, ob das eingehende Zertifikat von einer der [vertrauenswürdigen CAs](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots) signiert wurde, und verarbeitet alle optionalen [Regeln](https://docs.radiusaas.com/de/admin-portal/settings/rules).

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FOZsiGA2Azh5szBKobNvd%2Fimage.png?alt=media&#x26;token=c5f34e6d-2d2d-49b3-813d-ea8165f8ce52" alt=""><figcaption></figcaption></figure>

## Gestufte PKI-Hierarchie

In einer gestuften CA-Umgebung mit mehreren konfigurierten ausstellenden CAs erhalten Zertifikate, die von der Root-CA oder einer beliebigen ausstellenden CA ausgestellt wurden, Zugriff, unabhängig davon, ob das Zertifikat von der Root- oder der ausstellenden CA ausgestellt wurde. Das bedeutet, dass das Vertrauen in die Root-CA automatisch auch Zertifikaten vertraut, die von einer der ausstellenden CAs ausgestellt wurden. \
\
Wenn der Zugriff anhand der ausstellenden CAs gesteuert werden muss, kann dies durch die Konfiguration von [entsprechenden Regeln](https://docs.radiusaas.com/de/admin-portal/rules#certificate-based-authentication).

### Überlegungen

Beim Hochladen von Root- und ausstellenden CAs einer gestuften PKI beachten Sie bitte Folgendes:

* Die **Die Root-CA muss zuerst hochgeladen werden**, bevor aus dieser Root-CA abgeleitete ausstellende CAs hochgeladen werden.
* Root- und ausstellende CAs müssen in separaten Dateien hochgeladen werden. Das Hochladen von Zertifikatsketten aus einer einzigen Datei kann zu unerwartetem Verhalten führen.

## Optionale Einstellungen

### Intune-ID

Es ist möglich, das Zertifikat zu verwenden, das jeder Windows-10-Maschine von Intune bei der Anmeldung bei Microsoft Entra ID (Azure AD) zugewiesen wird.

{% hint style="danger" %}
Diese Einstellung ist optional. Falls Sie mit Intune-Zertifikaten nicht vertraut sind, konfigurieren Sie sie bitte nicht!
{% endhint %}

#### Warum empfehlen wir nicht die Verwendung von Intune-Zertifikaten für Authentifizierungszwecke?

* Intune-Zertifikate werden von Microsoft für andere Zwecke als die Verwaltung mit Intune nicht unterstützt.
* Die Gültigkeitsdauer der Intune-Zertifikate beträgt 1 Jahr.
* Es gibt keinen Mechanismus zum Widerruf von Zertifikaten (wie OCSP).

Anstatt Intune-Zertifikate zu verwenden, empfehlen wir Zertifikate von einer PKI wie [SCEPman](https://scepman.com/).

#### Intune-IDs konfigurieren

{% hint style="danger" %}
Verwenden Sie diese Einstellung mit Vorsicht. Eine der folgenden IDs **muss** in der Zertifikatserweiterung 1.2.840.113556.5.14 vorhanden sein. Alle anderen Zertifikate werden **abgelehnt**.
{% endhint %}

Um Ihre Intune-Mandanten-ID zu ermitteln, führen Sie die folgenden Schritte aus:&#x20;

* Drücken Sie **Windows + R** und geben Sie **certlm.msc**
* ein
  * Gehen Sie zu Ihren persönlichen Zertifikaten. Dort wird ein Zertifikat von einem der folgenden Aussteller vorhanden sein
  * SC Online Issuing&#x20;
* MDM Device Authority **Öffnen Sie dieses Zertifikat, gehen Sie zu** Details&#x20;

  1.2.840.113556.5.14
* und suchen Sie nach der Erweiterung&#x20;

**Der ausgegebene HEX-Wert ist Ihre Intune-Mandanten-ID.**

Beispiel: **Die Mandanten-ID des folgenden Zertifikats lautet:**

![Zertifikat anzeigen](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/idPvrWmWOtjQuz2my7Yj/image.png)

## XML

{% hint style="info" %}
Das von RADIUSaaS generierte XML-Profil aktiviert [PMK-Caching](https://docs.radiusaas.com/de/profilbereitstellung/microsoft-intune/wifi-profile/windows#fast-roaming).
{% endhint %}

Heute bieten die meisten MDM-Plattformen eine Assistenten-basierte Methode zur Bereitstellung von Netzwerkprofilen (WLAN und LAN) an. Wenn dies nicht möglich ist oder der Assistent nur eingeschränkte Konfigurationsoptionen bietet, können Sie ein Roh-XML-Profil direkt auf der RADIUSaaS-Plattform generieren.

* Um Ihr **WLAN** XML-Profil zu generieren:&#x20;
  1. Erweitern Sie das **XML** Menü,&#x20;
  2. wählen Sie das gewünschte Sicherheitsprotokoll (WPA2 oder WPA3),&#x20;
  3. geben Sie Ihre **SSID**
  4. ein und klicken Sie auf **Herunterladen**.
* Um Ihr **Kabelgebunden** XML-Profil, klicken Sie auf **Herunterladen**.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FjHbQ9ohBN5f6bMmug00h%2Fimage.png?alt=media&#x26;token=ea446f76-6399-41fa-b81c-88414d863dcc" alt=""><figcaption></figcaption></figure>