# Erneuerung des Serverzertifikats

Ein Serverzertifikat ist unerlässlich, um sowohl den EAP-TLS-Inner-Tunnel als auch den RadSec-TLS-Outer-Tunnel auf RADIUSaaS abzusichern. Um Authentifizierungsfehler zu vermeiden, stellen Sie sicher, dass Sie Ihr Zertifikat erneuern, bevor es abläuft.

### **Ihr Serverzertifikat kann einer der folgenden zwei Typen sein:**

1. [Customer-CA](https://docs.radiusaas.com/admin-portal/settings/settings-server#customer-ca). Dieses ist in Ihrem RADIUSaaS enthalten und bietet eine lange Gültigkeitsdauer von 20 Jahren. Derzeit gibt es keine Möglichkeit, neben der bestehenden Customer-CA eine neue zu erstellen. Das bedeutet, dass die vorhandene ablaufende Customer-CA gelöscht werden muss, bevor eine neue erstellt werden kann. Das Erstellen einer neuen Customer-CA erzeugt außerdem ein neues Root-Zertifikat, das erneut auf Ihren Clients bereitgestellt werden muss. Bitte folgen Sie [diesem ](#deploying-the-new-server-certificate)Artikel, um Ihre neue Customer-CA bereitzustellen und sie über die WiFi-Richtlinie Ihres MDM zu referenzieren.&#x20;
2. Bring Your Own (BYO)-Zertifikat unter Verwendung Ihrer eigenen PKI, z. B. [von SCEPman ausgestelltes Serverzertifikat](https://docs.radiusaas.com/admin-portal/settings/settings-server#scepman-issued-server-certificate). SCEPman-Serverzertifikate laufen alle zwei Jahre ab, daher sollten Sie unbedingt eine Erinnerung setzen, um Ausfallzeiten zu vermeiden. Bei Verwendung eines BYO-Zertifikats wird davon ausgegangen, dass das **Root-Zertifikat der CA** und der **FQDN (Subject und SAN)** gegenüber dem ablaufenden Zertifikat unverändert bleiben. Daher ist eine erneute Bereitstellung des Zertifikats nicht erforderlich.

## Neues Zertifikat erstellen

### Integrierte Customer-CA

Dieser Zertifikatstyp ist 20 Jahre lang gültig und kann vor Ablauf nicht erneuert werden. Er kann jedoch gelöscht und ein neues Zertifikat erstellt werden, indem Sie [diesem ](https://docs.radiusaas.com/admin-portal/settings/settings-server#customer-ca)der Anleitung

### BYO-Zertifikat

Wenn Sie Ihr eigenes Zertifikat verwenden möchten, z. B. ein von SCEPman ausgestelltes Serverzertifikat, dann folgen Sie [diesem ](https://docs.radiusaas.com/admin-portal/settings/settings-server#bring-your-own-certificate)dem Link, um vor Ablauf ein Serverzertifikat in SCEPman oder Ihrer bevorzugten PKI zu erstellen. &#x20;

## Bereitstellen des neuen Serverzertifikats

#### Intune-Profile <a href="#intune-profiles" id="intune-profiles"></a>

Wenn Sie die Customer-CA oder eine BYO-CA mit einem anderen Root und FQDN als die vorherige erneuern, folgen Sie bitte den folgenden Schritten, um dieses Zertifikat erneut auf Ihren Clients bereitzustellen. Wenn Sie hingegen ein BYO-Zertifikat ohne Änderungen am Root-Zertifikat der CA und am FQDN (Subject und SAN) verwenden, können Sie diesen Schritt überspringen!

1. Stellen Sie das neue **Serverzertifikat/vertrauenswürdige Root-Zertifikat** bei Ihren Clients bereit, wie [hier](https://docs.radiusaas.com/profile-deployment/jamf-pro/server-trust) beschrieben, indem Sie ein **neues** Profil erstellen.
2. Aktualisieren Sie Ihre **bestehenden** WiFi- oder kabelgebundenen Profile
   * Wenn Sie den Intune-Assistenten zum Erstellen Ihrer Netzwerkprofile verwendet haben, bearbeiten Sie alle relevanten Profile, indem Sie **ein zweites vertrauenswürdiges Serverzertifikat hinzufügen**. Vergessen Sie nicht, unter **Zertifikat-Servernamen** einen zweiten Servernamen hinzuzufügen, falls das neue Zertifikat eine andere Domäne hat.
   * Wenn Sie ein benutzerdefiniertes Profil zum Erstellen Ihrer Netzwerkprofile verwendet haben, laden Sie das von RADIUSaaS aus [hier](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml)generierte XML erneut herunter und ersetzen Sie es in Ihrem vorhandenen Profil. Beide Serverzertifikat-Fingerabdrücke sind automatisch in der XML enthalten.
3. Warten Sie **bis alle Ihre Clients** die aktualisierten Profile erhalten haben.

<figure><img src="/files/9ff8f019009e323ac093351c8b7b7a4662d9d709" alt=""><figcaption><p>Beispiel: Aktualisiertes Windows-10-WiFi-Profil mit zwei vertrauenswürdigen RADIUS-Serverzertifikaten und unterschiedlichen Domänen.</p></figcaption></figure>

## WiFi- und LAN-Infrastruktur <a href="#wifi-and-lan-infrastructure" id="wifi-and-lan-infrastructure"></a>

Wenn Sie [RadSec](https://docs.radiusaas.com/details#what-is-radsec)verwenden, laden Sie das neue **Serverzertifikat** auf Ihre Access Points oder Ihr Netzwerkswitch-Gerät hoch.

## Aktivieren des neuen Serverzertifikats

Wenn Sie schließlich bereit sind, auf das neue Zertifikat umzuschalten, aktivieren Sie es wie beschrieben [hier](/de/admin-portal/settings/settings-server.md#certificate-activation).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/de/konfiguration/renew-certificate.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.