Microsoft Cloud PKI
Dieses Dokument beschreibt die Konfigurationsschritte, die notwendig sind, um zertifikatbasierte WiFi-Authentifizierung mit Microsoft Cloud PKI und Intune zu implementieren.
Schritt 1: Bereitstellung einer Microsoft Cloud PKI
Erstellen einer Root-CA im Intune Admin Center
Bevor Sie Zertifikate an verwaltete Geräte ausstellen können, müssen Sie in Ihrem Mandanten eine Root-CA erstellen, die als Vertrauensanker fungiert. Um eine Root-CA im Intune Admin Center zu erstellen, befolgen Sie bitte diesem Microsoft-Anleitung.
Erstellen einer ausstellenden CA im Intune Admin Center
Eine ausstellende CA wird benötigt, um Zertifikate für von Intune verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Certificate Registration Authority fungiert. Er fordert Zertifikate von der ausstellenden CA im Namen der von Intune verwalteten Geräte mithilfe eines SCEP-Profils an. Um eine ausstellende CA zu erstellen, befolgen Sie bitte diesem Microsoft-Anleitung.
Schritt 2: Vertrauensstellung zwischen RADIUSaaS und der Microsoft Cloud PKI herstellen
Konfigurieren Sie RADIUSaaS so, dass Client-Authentifizierungszertifikaten vertraut wird, die von der Microsoft Cloud PKI ausgestellt wurden. Da die Cloud PKI eine gestufte CA-Struktur erfordert, müssen Sie sowohl die Root-CA als auch die ausstellende CA hochladen (d. h. die vollständige Vertrauenskette). Gehen Sie dazu bitte wie folgt vor:
Navigieren Sie zu Vertrauenswürdige Zertifikate.
Hochladen der Contoso Cloud PKI Root-CA- Auswahl von Client-Authentifizierung im Upload-Vorgang.
Als Verifikationsmethode wählen Sie CRL zusammen mit DER Kodierung.
Verwenden Sie die kopierte CRL-Verteilungsstellen-URL der Root-CA in dem CRL-Verteilungspunkte URL-Eingabefeld.
Laden Sie die Contoso Cloud PKI hoch Ausstellende CA Auswahl von Client-Authentifizierung im Upload-Vorgang.
Wählen Sie erneut CRL als Verifikationsmethode zusammen mit DER Kodierung.
Verwenden Sie die kopierte CRL-Verteilungsstellen-URL der ausstellenden CA in dem CRL-Verteilungspunkte URL-Eingabefeld.
Schritt 3: RADIUS-Serverzertifikat konfigurieren
Um das Serververtrauen zwischen Ihren Endgeräten und RADIUSaaS herzustellen, befolgen Sie diese Anweisungen.
Schritt 4: Konfigurieren Sie Ihre Netzwerkausrüstung
Um Ihre Netzwerkausrüstung (WLAN-Zugangspunkte, Switches oder VPN-Gateways) zu konfigurieren, befolgen Sie diesen Schritten.
Nach erfolgreichem Abschluss der Schritte 2 - 4 wird die Vertrauenswürdige Zertifikate Seite Ihrer RADIUSaaS-Instanz ähnlich der untenstehenden aussehen. Bitte beachten Sie, dass wir in unserem Beispiel einen RadSec-fähigen MikroTik Zugangspunkt.
Schritt 5: Intune-Profile konfigurieren
Um die zertifikatbasierte WiFi-Authentifizierung einzurichten, müssen wir eine Reihe von Profilen erstellen und diese über Intune bereitstellen. Diese Profile sind:
Vertrauenswürdiges Zertifikat
Bereitstellen des Root-CA-Zertifikats.
Vertrauenswürdiges Zertifikat
Bereitstellen des ausstellenden CA-Zertifikats.
Vertrauenswürdiges Zertifikat
Bereitstellen des Root-CA-Zertifikats, das das RADIUS-Serverzertifikat ausgestellt hat.
SCEP-Zertifikat
Registrieren des Client-Authentifizierungszertifikats.
WLAN
Bereitstellen der Einstellungen des drahtlosen Netzwerkadapters.
Vertrauenswürdige Zertifikatsprofile
Microsoft Cloud PKI
Bereitstellen der in Schritt 1 erstellten Root-CA- und ausstellenden CA-Zertifikate Vertrauenswürdiges Zertifikat über ein Profil an Ihre Geräte, indem Sie zu Intune Admin Center und dann zu > Geräte > Windows > Startseite > Konfigurationsprofile > Erstellen Neuer Richtlinie
mit den folgenden Parametern:
Plattform = Windows 10 und später
Profiltyp = Vorlage
Vorlagenname = Vertrauenswürdiges Zertifikat.
Laden Sie die relevante Zertifikatsdatei (*.cer) in das jeweilige Profil hoch: hier
Erstelltes Root-CA-Zertifikat hier
Beachten Sie, dass Sie dieselbe Gruppe für die Zuordnung der vertrauenswürdigen Zertifikate und der SCEP-Profile verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Dies muss für jede Geräteplattform wiederholt werden, die den Dienst nutzen soll (z. B. Windows, macOS, ...)
RADIUS-Serververtrauen
ServervertrauenSCEP-Zertifikatprofil
Als Nächstes verteilen Sie das Root-CA-Zertifikat, das Ihr RADIUS-Serverzertifikat ausgestellt hat, wie hier beschrieben: SCEP-Zertifikat Um ein und dann zu > Profil im Intune Admin Center zu erstellen, kopieren Sie zuerst die SCEP-URI von > Mandantenadministrator > Cloud PKI > Eigenschaften > Contoso ausstellende CA
SCEP-URI. und dann zu > Geräte > Windows > Startseite > Konfigurationsprofile > Erstellen Neuer Richtlinie
mit den folgenden Parametern:
Plattform = Windows 10 und später
Gehen Sie anschließend zu
Vorlagenname = SCEP-Zertifikat Konfigurieren Sie als Nächstes die Vorlage entsprechend dem Screenshot unten und stellen Sie sicher, dass Sie das beigefügte Contoso Root-Zertifikat verwendet haben, das zuvor in Schritt 1 erstellt wurde, und die SCEP-URI
Beachten Sie, dass Sie dieselbe Gruppe für die Zuordnung der vertrauenswürdigen Zertifikate und der SCEP-Profile verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
WLAN-Profil
SCEP-Gerätezertifikatkonfiguration: Bereitstellen der WLAN-Adaptereinstellungen an Ihre Geräte, indem Sie diesem Artikel folgen:
WiFi-ProfilZuletzt aktualisiert
War das hilfreich?