Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Erneuerung des Serverzertifikats

Diese Seite beschreibt den Erneuerungsprozess des RADIUSaaS-Serverzertifikats.

Ein Serverzertifikat ist unerlässlich, um sowohl den EAP-TLS-Inner-Tunnel als auch den RadSec-TLS-Outer-Tunnel auf RADIUSaaS abzusichern. Um Authentifizierungsfehler zu vermeiden, stellen Sie sicher, dass Sie Ihr Zertifikat erneuern, bevor es abläuft.

Ihr Serverzertifikat kann einer der folgenden zwei Typen sein:

  1. Customer-CA. Dieses ist in Ihrem RADIUSaaS enthalten und bietet eine lange Gültigkeitsdauer von 20 Jahren. Derzeit gibt es keine Möglichkeit, neben der bestehenden Customer-CA eine neue zu erstellen. Das bedeutet, dass die vorhandene ablaufende Customer-CA gelöscht werden muss, bevor eine neue erstellt werden kann. Das Erstellen einer neuen Customer-CA erzeugt außerdem ein neues Root-Zertifikat, das erneut auf Ihren Clients bereitgestellt werden muss. Bitte folgen Sie diesem Artikel, um Ihre neue Customer-CA bereitzustellen und sie über die WiFi-Richtlinie Ihres MDM zu referenzieren.

  2. Bring Your Own (BYO)-Zertifikat unter Verwendung Ihrer eigenen PKI, z. B. von SCEPman ausgestelltes Serverzertifikat. SCEPman-Serverzertifikate laufen alle zwei Jahre ab, daher sollten Sie unbedingt eine Erinnerung setzen, um Ausfallzeiten zu vermeiden. Bei Verwendung eines BYO-Zertifikats wird davon ausgegangen, dass das Root-Zertifikat der CA und der FQDN (Subject und SAN) gegenüber dem ablaufenden Zertifikat unverändert bleiben. Daher ist eine erneute Bereitstellung des Zertifikats nicht erforderlich.

Neues Zertifikat erstellen

Integrierte Customer-CA

Dieser Zertifikatstyp ist 20 Jahre lang gültig und kann vor Ablauf nicht erneuert werden. Er kann jedoch gelöscht und ein neues Zertifikat erstellt werden, indem Sie diesem der Anleitung

BYO-Zertifikat

Wenn Sie Ihr eigenes Zertifikat verwenden möchten, z. B. ein von SCEPman ausgestelltes Serverzertifikat, dann folgen Sie diesem dem Link, um vor Ablauf ein Serverzertifikat in SCEPman oder Ihrer bevorzugten PKI zu erstellen.

Bereitstellen des neuen Serverzertifikats

Intune-Profile

Wenn Sie die Customer-CA oder eine BYO-CA mit einem anderen Root und FQDN als die vorherige erneuern, folgen Sie bitte den folgenden Schritten, um dieses Zertifikat erneut auf Ihren Clients bereitzustellen. Wenn Sie hingegen ein BYO-Zertifikat ohne Änderungen am Root-Zertifikat der CA und am FQDN (Subject und SAN) verwenden, können Sie diesen Schritt überspringen!

  1. Stellen Sie das neue Serverzertifikat/vertrauenswürdige Root-Zertifikat bei Ihren Clients bereit, wie hier beschrieben, indem Sie ein neues Profil erstellen.

  2. Aktualisieren Sie Ihre bestehenden WiFi- oder kabelgebundenen Profile

    • Wenn Sie den Intune-Assistenten zum Erstellen Ihrer Netzwerkprofile verwendet haben, bearbeiten Sie alle relevanten Profile, indem Sie ein zweites vertrauenswürdiges Serverzertifikat hinzufügen. Vergessen Sie nicht, unter Zertifikat-Servernamen einen zweiten Servernamen hinzuzufügen, falls das neue Zertifikat eine andere Domäne hat.

    • Wenn Sie ein benutzerdefiniertes Profil zum Erstellen Ihrer Netzwerkprofile verwendet haben, laden Sie das von RADIUSaaS aus hiergenerierte XML erneut herunter und ersetzen Sie es in Ihrem vorhandenen Profil. Beide Serverzertifikat-Fingerabdrücke sind automatisch in der XML enthalten.

  3. Warten Sie bis alle Ihre Clients die aktualisierten Profile erhalten haben.

Beispiel: Aktualisiertes Windows-10-WiFi-Profil mit zwei vertrauenswürdigen RADIUS-Serverzertifikaten und unterschiedlichen Domänen.

WiFi- und LAN-Infrastruktur

Wenn Sie RadSecverwenden, laden Sie das neue Serverzertifikat auf Ihre Access Points oder Ihr Netzwerkswitch-Gerät hoch.

Aktivieren des neuen Serverzertifikats

Wenn Sie schließlich bereit sind, auf das neue Zertifikat umzuschalten, aktivieren Sie es wie beschrieben hier.

Zuletzt aktualisiert

War das hilfreich?