# Vertrauenswürdige Zertifikate

## Arten vertrauenswürdiger Zertifikate

### Vertrauenswürdige CAs für Client-Authentifizierung

Vertrauenswürdige CAs für die Client-Authentifizierung stellen das Vertrauen zwischen den CAs her, die Client-Authentifizierungszertifikate für Ihre Endgeräte und RADIUSaaS ausstellen.

### Vertrauenswürdige RadSec-Verbindungszertifikate

RadSec selbst arbeitet mit gegenseitiger Zertifikatsauthentifizierung (mTLS). Das bedeutet einerseits, dass Ihre Authentifikatoren [RADIUSaaS vertrauen](/de/admin-portal/settings/settings-server.md#server-certificates) und andererseits muss RADIUSaaS wissen, welchen Authentifikatoren vertraut werden soll, damit eine gültige RadSec-Verbindung hergestellt werden kann. Die vertrauenswürdigen RadSec-Verbindungszertifikate stellen sicher, dass RADIUSaaS nur den von Ihnen angegebenen Authentifikatoren vertraut.

## **Vorinstalliertes vertrauenswürdiges RadSec-Zertifikat**

Aufgrund des [oben Genannten](/de/admin-portal/settings/trusted-roots.md#trusted-radsec-connection-certificates)werden Sie immer mindestens ein vertrauenswürdiges RadSec-Zertifikat sehen, das das Vertrauen mit Ihrem [RADIUS-Proxys](https://docs-preview.radiusaas.com/admin-portal/settings/settings-proxy) (das effektiv als RadSec-Client fungiert). Damit Ihre Proxys ordnungsgemäß starten können und eine Verbindung zu Ihrer Instanz herstellen können, können Sie es nicht löschen.

## Hinzufügen&#x20;

{% hint style="warning" %}
Wenn Sie eine gestufte PKI-Infrastruktur haben (z. B. eine **Microsoft Legacy PKI**), beachten Sie bitte [diesem](#tiered-pki-hierarchy).
{% endhint %}

Um ein neues vertrauenswürdiges Zertifikat hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf **Hinzufügen**
2. Wählen Sie aus, ob Sie das vertrauenswürdige Zertifikat importieren möchten&#x20;
   * von SCEPman (indem Sie die URL zu Ihrer SCEPman-Instanz angeben), oder
   * von einer anderen CA (durch Hochladen einer PEM- oder DER-kodierten Zertifikatsdatei)
3. Wählen Sie den [Typ](#types-of-trusted-certificates) des vertrauenswürdigen Zertifikats unter **Verwenden für**:
   * [**Client-Authentifizierung**](#trusted-cas-for-client-authentication)
   * [**RadSec**](#trusted-radsec-connection-certificates)
   * **Beides** (hilfreich, wenn dieselbe CA sowohl Ihre Client-Authentifizierungszertifikate als auch Ihre RadSec-Client-Zertifikate ausstellt)
4. Laden Sie die Zertifikatsdatei per Drag & Drop hoch (alternativ können Sie in den blauen Bereich klicken und Ihre Datei auswählen)
5. Wählen Sie die Zertifikatsüberprüfungsoption:
   * **OCSP-Autodetektion**: RADIUSaaS versucht, die OCSP-Responder-URL aus der Authority Information Access-(AIA-)Erweiterung des Clientzertifikats abzuleiten, die für die Netzwerkauthentifizierung verwendet wird. Falls keine OCSP-Responder-URL gefunden wird oder der OCSP-Responder nicht verfügbar ist, berücksichtigt RADIUSaaS die [**Soft Fail** ](#ocsp-soft-fail)-Konfiguration.
   * **OCSP**: Geben Sie manuell an, welche OCSP-Responder-URL für jedes von der vertrauenswürdigen CA ausgestellte Zertifikat verwendet wird. Falls der OCSP-Responder nicht verfügbar ist, berücksichtigt RADIUSaaS die [**Soft Fail** ](#ocsp-soft-fail)-Konfiguration.
   * **CRL**: Wenn diese Option ausgewählt ist, verwendet RADIUSaaS statt OCSP eine CRL, um das von der CA ausgestellte Zertifikat zu überprüfen. Geben Sie die CRL-Kodierung (**DER** oder **PEM**) und die **CRL-Verteilungspunkte**.
   * **Keine:** Wenn Ihre CA weder OCSP noch CRL unterstützt, wählen Sie **Keine** um die Überprüfung zu überspringen.
6. Klicken Sie auf **Speichern**

## Löschen

Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie auf **Löschen** und bestätigen Sie Ihre Auswahl.&#x20;

<figure><img src="/files/3de2e0d0b84d0733fbbc887acd8f55df8b0bceb7" alt=""><figcaption><p>Anzeige des Löschens eines vertrauenswürdigen Zertifikats</p></figcaption></figure>

## OCSP Soft-Fail

Diese Einstellung bestimmt, wie sich RADIUSaaS verhält, wenn der OCSP-Responder Ihrer vertrauenswürdigen CA nicht erreicht werden kann.&#x20;

{% hint style="danger" %}
Wenn Sie **deaktivieren** diese Einstellung, werden Authentifizierungsanfragen **abgelehnt** wenn der OCSP-Responder Ihrer CA nicht erreicht werden kann.

Bitte prüfen Sie [Folgen von OCSP Soft-fail](/de/andere/faqs/folgen-von-ocsp-soft-fail.md) um sicherzustellen, dass Sie die Auswirkungen dieser Einstellung verstehen.
{% endhint %}

{% hint style="info" %}
Beachten Sie, dass diese Einstellung nur verfügbar ist, wenn **OCSP-Autodetektion** oder **OCSP** für die Zertifikatsüberprüfung ausgewählt ist.&#x20;
{% endhint %}

Standardmäßig **empfehlen wir, OCSP Soft Fail zu aktivieren** um die Verfügbarkeit des Dienstes zu erhöhen, indem Authentifizierungsanfragen auch dann akzeptiert werden können, wenn der OCSP-Responder nicht erreicht werden kann. Mit diesem **Soft-Fail** -Mechanismus und falls OCSP nicht erreichbar ist, prüft RADIUSaaS nur, ob das eingehende Zertifikat von einer der [vertrauenswürdigen CAs](/de/admin-portal/settings/trusted-roots.md) signiert wurde, und verarbeitet alle optionalen [Regeln](/de/admin-portal/settings/rules.md).

<figure><img src="/files/eaeab0e24d30d371b9ccffd9a03658ff556ad272" alt=""><figcaption></figcaption></figure>

## Gestufte PKI-Hierarchie

In einer gestuften CA-Umgebung mit mehreren konfigurierten ausstellenden CAs erhalten Zertifikate, die von der Root-CA oder einer beliebigen ausstellenden CA ausgestellt wurden, Zugriff, unabhängig davon, ob das Zertifikat von der Root- oder der ausstellenden CA ausgestellt wurde. Das bedeutet, dass das Vertrauen in die Root-CA automatisch auch Zertifikaten vertraut, die von einer der ausstellenden CAs ausgestellt wurden. \
\
Wenn der Zugriff anhand der ausstellenden CAs gesteuert werden muss, kann dies durch die Konfiguration von [entsprechenden Regeln](/de/admin-portal/settings/rules.md#certificate-based-authentication).

### Überlegungen

Beim Hochladen von Root- und ausstellenden CAs einer gestuften PKI beachten Sie bitte Folgendes:

* Die **Die Root-CA muss zuerst hochgeladen werden**, bevor aus dieser Root-CA abgeleitete ausstellende CAs hochgeladen werden.
* Root- und ausstellende CAs müssen in separaten Dateien hochgeladen werden. Das Hochladen von Zertifikatsketten aus einer einzigen Datei kann zu unerwartetem Verhalten führen.

## Optionale Einstellungen

### Intune-ID

Es ist möglich, das Zertifikat zu verwenden, das jeder Windows-10-Maschine von Intune bei der Anmeldung bei Microsoft Entra ID (Azure AD) zugewiesen wird.

{% hint style="danger" %}
Diese Einstellung ist optional. Falls Sie mit Intune-Zertifikaten nicht vertraut sind, konfigurieren Sie sie bitte nicht!
{% endhint %}

#### Warum empfehlen wir nicht die Verwendung von Intune-Zertifikaten für Authentifizierungszwecke?

* Intune-Zertifikate werden von Microsoft für andere Zwecke als die Verwaltung mit Intune nicht unterstützt.
* Die Gültigkeitsdauer der Intune-Zertifikate beträgt 1 Jahr.
* Es gibt keinen Mechanismus zum Widerruf von Zertifikaten (wie OCSP).

Anstatt Intune-Zertifikate zu verwenden, empfehlen wir Zertifikate von einer PKI wie [SCEPman](https://scepman.com/).

#### Intune-IDs konfigurieren

{% hint style="danger" %}
Verwenden Sie diese Einstellung mit Vorsicht. Eine der folgenden IDs **muss** in der Zertifikatserweiterung 1.2.840.113556.5.14 vorhanden sein. Alle anderen Zertifikate werden **abgelehnt**.
{% endhint %}

Um Ihre Intune-Mandanten-ID zu ermitteln, führen Sie die folgenden Schritte aus:&#x20;

* Drücken Sie **Windows + R** und geben Sie **certlm.msc**
* ein
  * Gehen Sie zu Ihren persönlichen Zertifikaten. Dort wird ein Zertifikat von einem der folgenden Aussteller vorhanden sein
  * SC Online Issuing&#x20;
* MDM Device Authority **Öffnen Sie dieses Zertifikat, gehen Sie zu** Details&#x20;

  1.2.840.113556.5.14
* und suchen Sie nach der Erweiterung&#x20;

**Der ausgegebene HEX-Wert ist Ihre Intune-Mandanten-ID.**

Beispiel: **Die Mandanten-ID des folgenden Zertifikats lautet:**

![Zertifikat anzeigen](/files/302cc66dccd52e71082b903a3af5ec5a11eb9d14)

## XML

{% hint style="info" %}
Das von RADIUSaaS generierte XML-Profil aktiviert [PMK-Caching](/de/profilbereitstellung/microsoft-intune/wifi-profile/windows.md#fast-roaming).
{% endhint %}

Heute bieten die meisten MDM-Plattformen eine Assistenten-basierte Methode zur Bereitstellung von Netzwerkprofilen (WLAN und LAN) an. Wenn dies nicht möglich ist oder der Assistent nur eingeschränkte Konfigurationsoptionen bietet, können Sie ein Roh-XML-Profil direkt auf der RADIUSaaS-Plattform generieren.

* Um Ihr **WLAN** XML-Profil zu generieren:&#x20;
  1. Erweitern Sie das **XML** Menü,&#x20;
  2. wählen Sie das gewünschte Sicherheitsprotokoll (WPA2 oder WPA3),&#x20;
  3. geben Sie Ihre **SSID**
  4. ein und klicken Sie auf **Herunterladen**.
* Um Ihr **Kabelgebunden** XML-Profil, klicken Sie auf **Herunterladen**.

<figure><img src="/files/e72d62dd83f2f8fa7193973e227a2c69e3283157" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.