circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Microsoft Cloud PKI

Dieses Dokument beschreibt die notwendigen Konfigurationsschritte zur Implementierung der zertifikatbasierten WiFi-Authentifizierung mit Microsoft Cloud PKI und Intune.

circle-info

Es wird davon ausgegangen, dass die Microsoft Cloud PKI sowohl die Root- als auch die Ausstellende CA hostet. Für Szenarien mit BYOCAs (Bring Your Own CA) konsultieren Sie bitte die Online-Ressourcen oder das Web von Microsoft.

hashtag
Schritt 1: Bereitstellung einer Microsoft Cloud PKI

hashtag
Erstellen einer Root-CA im Intune Admin Center

Bevor Sie Zertifikate an verwaltete Geräte ausstellen können, müssen Sie in Ihrem Mandanten eine Root-CA erstellen, die als Vertrauensanker fungiert. Um eine Root-CA im Intune Admin Center zu erstellen, befolgen Sie bitte diesem arrow-up-rightMicrosoft-Anleitung.

circle-info

Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in Schritt 2.

hashtag
Erstellen einer ausstellenden CA im Intune Admin Center

Eine ausstellende CA wird benötigt, um Zertifikate für von Intune verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Certificate Registration Authority fungiert. Er fordert Zertifikate von der ausstellenden CA im Namen der von Intune verwalteten Geräte mithilfe eines SCEP-Profils an. Um eine ausstellende CA zu erstellen, befolgen Sie bitte diesem arrow-up-rightMicrosoft-Anleitung.

circle-info

Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in Schritt 2.

Root- und ausstellende CAs

hashtag
Schritt 2: Vertrauensstellung zwischen RADIUSaaS und der Microsoft Cloud PKI herstellen

Konfigurieren Sie RADIUSaaS so, dass Client-Authentifizierungszertifikaten vertraut wird, die von der Microsoft Cloud PKI ausgestellt wurden. Da die Cloud PKI eine gestufte CA-Struktur erfordert, müssen Sie sowohl die Root-CA als auch die ausstellende CA hochladen (d. h. die vollständige Vertrauenskette). Gehen Sie dazu bitte wie folgt vor:

  1. Navigieren Sie zu Vertrauenswürdige Zertifikate.

  2. Hochladen der Contoso Cloud PKI Root-CA- Auswahl von Client-Authentifizierung im Upload-Vorgang.

  3. Als Verifikationsmethode wählen Sie CRL zusammen mit DER Kodierung.

  4. Verwenden Sie die kopierte CRL-Verteilungsstellen-URL der Root-CA in dem CRL-Verteilungspunkte URL-Eingabefeld.

  5. Laden Sie die Contoso Cloud PKI hoch Ausstellende CA Auswahl von Client-Authentifizierung im Upload-Vorgang.

  6. Wählen Sie erneut CRL als Verifikationsmethode zusammen mit DER Kodierung.

  7. Verwenden Sie die kopierte CRL-Verteilungsstellen-URL der ausstellenden CA in dem CRL-Verteilungspunkte URL-Eingabefeld.

hashtag
Schritt 3: RADIUS-Serverzertifikat konfigurieren

Um das Serververtrauen zwischen Ihren Endgeräten und RADIUSaaS herzustellen, befolgen Sie diese Anweisungen.

hashtag
Schritt 4: Konfigurieren Sie Ihre Netzwerkausrüstung

Um Ihre Netzwerkausrüstung (WLAN-Zugangspunkte, Switches oder VPN-Gateways) zu konfigurieren, befolgen Sie diesen Schritten.

Nach erfolgreichem Abschluss der Schritte 2 - 4 wird die Vertrauenswürdige Zertifikate Seite Ihrer RADIUSaaS-Instanz ähnlich der untenstehenden aussehen. Bitte beachten Sie, dass wir in unserem Beispiel einen RadSec-fähigen MikroTik Zugangspunkt.

Übersicht über vertrauenswürdige Zertifikate, erforderlich für die Microsoft Cloud PKI.

hashtag
Schritt 5: Intune-Profile konfigurieren

Um die zertifikatbasierte WiFi-Authentifizierung einzurichten, müssen wir eine Reihe von Profilen erstellen und diese über Intune bereitstellen. Diese Profile sind:

Profiltyp
Zweck

Vertrauenswürdiges Zertifikat

Bereitstellen des Root-CA-Zertifikats.

Vertrauenswürdiges Zertifikat

Bereitstellen des ausstellenden CA-Zertifikats.

Vertrauenswürdiges Zertifikat

Bereitstellen des Root-CA-Zertifikats, das das RADIUS-Serverzertifikat ausgestellt hat.

SCEP-Zertifikat

Registrieren des Client-Authentifizierungszertifikats.

WLAN

Bereitstellen der Einstellungen des drahtlosen Netzwerkadapters.

Relevante Intune-Profile

hashtag
Vertrauenswürdige Zertifikatsprofile

hashtag
Microsoft Cloud PKI

Bereitstellen der in Schritt 1 erstellten Root-CA- und ausstellenden CA-Zertifikate Vertrauenswürdiges Zertifikat über ein Profil an Ihre Geräte, indem Sie zu Intune Admin Center und dann zu > Geräte > Windows > Startseite > Konfigurationsprofile > Erstellen Neuer Richtlinie

  • mit den folgenden Parametern:

  • Plattform = Windows 10 und später

  • Profiltyp = Vorlage

Vorlagenname = Vertrauenswürdiges Zertifikat.

  • Laden Sie die relevante Zertifikatsdatei (*.cer) in das jeweilige Profil hoch: hier

  • Erstelltes Root-CA-Zertifikat hier

circle-info

Erstelltes ausstellendes CA-Zertifikat

Beachten Sie, dass Sie dieselbe Gruppe für die Zuordnung der vertrauenswürdigen Zertifikate und der SCEP-Profile verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

hashtag
Dies muss für jede Geräteplattform wiederholt werden, die den Dienst nutzen soll (z. B. Windows, macOS, ...)

RADIUS-Serververtrauen

Serververtrauenchevron-right

hashtag
SCEP-Zertifikatprofil

Als Nächstes verteilen Sie das Root-CA-Zertifikat, das Ihr RADIUS-Serverzertifikat ausgestellt hat, wie hier beschrieben: SCEP-Zertifikat Um ein und dann zu > Profil im Intune Admin Center zu erstellen, kopieren Sie zuerst die SCEP-URI von > Mandantenadministrator > Cloud PKI > Eigenschaften > Contoso ausstellende CA

SCEP-URI. und dann zu > Geräte > Windows > Startseite > Konfigurationsprofile > Erstellen Neuer Richtlinie

  • mit den folgenden Parametern:

  • Plattform = Windows 10 und später

  • Gehen Sie anschließend zu

Vorlagenname = SCEP-Zertifikat Konfigurieren Sie als Nächstes die Vorlage entsprechend dem Screenshot unten und stellen Sie sicher, dass Sie das beigefügte Contoso Root-Zertifikat verwendet haben, das zuvor in Schritt 1 erstellt wurde, und die SCEP-URI

die Sie oben kopiert haben.

Beachten Sie, dass Sie dieselbe Gruppe für die Zuordnung der vertrauenswürdigen Zertifikate und der SCEP-Profile verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

hashtag
WLAN-Profil

SCEP-Gerätezertifikatkonfiguration: Bereitstellen der WLAN-Adaptereinstellungen an Ihre Geräte, indem Sie diesem Artikel folgen:

WiFi-Profilchevron-right

Zuletzt aktualisiert

War das hilfreich?