Erneuerung des Serverzertifikats

Ein Serverzertifikat ist unerlässlich, um sowohl den EAP-TLS-internen Tunnel als auch den RadSec-TLS-äußeren Tunnel auf RADIUSaaS zu sichern. Um Authentifizierungsfehler zu vermeiden, stellen Sie sicher, dass Sie Ihr Zertifikat vor Ablauf erneuern.

Ihr Serverzertifikat kann einer der folgenden beiden Typen sein:

1. Customer-CA. Diese wird mit Ihrem RADIUSaaS bereitgestellt und bietet eine lange Gültigkeit von 20 Jahren. Derzeit gibt es keine Möglichkeit, eine neue Customer-CA neben der bestehenden zu erstellen. Das bedeutet, dass die vorhandene, ablaufende Customer-CA gelöscht werden muss, bevor eine neue erstellt werden kann. Das Erstellen einer neuen Customer-CA erzeugt außerdem ein neues Root-Zertifikat, das auf Ihren Clients neu bereitgestellt werden muss. Bitte folgen Sie diesem Artikel, um Ihre neue Customer-CA bereitzustellen und sie über die WLAN-Richtlinie Ihres MDM zu referenzieren.

2. Mitgebrachtes (BYO) Zertifikat unter Verwendung Ihrer eigenen PKI, z. B. SCEPman ausgestelltes Serverzertifikat. SCEPman-Serverzertifikate laufen alle zwei Jahre ab, stellen Sie daher sicher, eine Erinnerung zu setzen, um Ausfallzeiten zu verhindern. Wenn Sie ein BYO-Zertifikat verwenden, wird davon ausgegangen, dass das Root-Zertifikat der CA und der FQDN (Subject und SAN) sich nicht gegenüber dem ablaufenden Zertifikat geändert haben. Daher ist eine erneute Bereitstellung des Zertifikats nicht erforderlich.

Erstellung eines neuen Zertifikats

Eingebaute Customer-CA

Dieser Zertifikatstyp ist 20 Jahre gültig und kann vor Ablauf nicht erneuert werden. Er kann jedoch gelöscht und durch Befolgen des diesem Leitfadens

BYO-Zertifikat

Wenn Sie Ihr eigenes Zertifikat verwenden möchten, z. B. ein von SCEPman ausgestelltes Serverzertifikat, befolgen Sie diesem diesen Link, um in SCEPman oder Ihrer bevorzugten PKI vor Ablauf ein Serverzertifikat zu erstellen.

Bereitstellung des neuen Serverzertifikats

Intune-Profile

Wenn Sie die Customer-CA oder eine BYO-CA mit einem anderen Root und FQDN als zuvor erneuern, befolgen Sie bitte die folgenden Schritte, um dieses Zertifikat erneut auf Ihren Clients bereitzustellen. Andernfalls, wenn Sie ein BYO-Zertifikat verwenden und sich das Root-Zertifikat der CA und der FQDN (Subject und SAN) nicht geändert haben, können Sie diesen Schritt überspringen!

1. Stellen Sie das neue Serverzertifikat/vertraute Root bei Ihren Clients wie beschrieben bereit hier durch Erstellen eines neuen Profils.

2. Aktualisieren Sie Ihr vorhandenes WLAN- oder kabelgebundenes Profil(e)

   • Wenn Sie den Intune-Assistenten zur Erstellung Ihrer Netzprofile verwendet haben, bearbeiten Sie alle relevanten Profile, indem Sie ein zweites vertrauenswürdiges Serverzertifikat hinzufügen. Vergessen Sie nicht, unter Zertifikat-Servernamen einen zweiten Servernamen hinzuzufügen, falls das neue Zertifikat eine andere Domain hat.

   • Wenn Sie ein benutzerdefiniertes Profil zur Erstellung Ihrer Netzprofile verwendet haben, laden Sie das von RADIUSaaS generierte XML erneut von hierherunter und ersetzen Sie es in Ihrem vorhandenen Profil. Beide Serverzertifikat-Fingerabdrücke sind automatisch im XML enthalten.

3. Warten Sie bis alle Ihre Clients die aktualisierten Profile erhalten haben.

WLAN- & LAN-Infrastruktur

Wenn Sie RadSecverwenden, laden Sie das neue Serverzertifikat auf Ihre Access Points oder Ihr Netzwerkswitch-Gerät hoch.

Aktivierung des neuen Serverzertifikats

Schließlich, wenn Sie bereit sind, auf das neue Zertifikat umzuschalten, aktivieren Sie es wie beschrieben hier.