Vertrauenswürdige Zertifikate für 802.1X-Authentifizierungen in iOS und macOS konfigurieren

Hier erfahren Sie, wie Sie die Eigenschaften vertrauenswürdiger Zertifikate und vertrauenswürdiger Servernamen konfigurieren, um zum Schutz Ihres Netzwerks beizutragen.

802.1X-Netzwerke verwenden für die Einrichtung eines sicheren TLS-Kommunikationskanals zwischen dem Client und dem Authentifizierungsserver möglicherweise ein serverseitiges Zertifikat. Der Client stellt vor dem Fortsetzen des Authentifizierungsvorgangs sicher, dass das Zertifikat des Servers vertrauenswürdig ist. Wenn Sie die Einstellungen zur Vertrauenswürdigkeit Ihres Zertifikats nicht korrekt in einem Konfigurationsprofil konfigurieren, wird Benutzern bei der Herstellung einer Verbindung zu Ihrem 802.1X-geschützten Netzwerk ein Dialogfeld zur Vertrauenswürdigkeit des Zertifikats angezeigt.

In diesem Dialogfeld werden die Benutzer aufgefordert zu überprüfen, dass die Informationen der Zertifikatskette des RADIUS-Servers authentisch sind. Wenn ein Benutzer aus Versehen versucht, eine Verbindung zu einem betrügerischen Fremdnetzwerk herzustellen, das vorgibt, Ihr Netzwerk zu sein, könnte Ihnen ein unzulässiges Dialogfenster zur Vertrauenswürdigkeit der Zertifikate angezeigt werden. Dies kann vorkommen, wenn der Benutzer nicht weiß, wie er die Authentizität der Informationen überprüfen kann. Wenn der Benutzer seine gültigen Anmeldedaten bei einem betrügerischen Fremdnetzwerk eingibt, kann dies die Sicherheit Ihres Netzwerks gefährden.  Wenn Sie die Vertrauenswürdigkeit von Zertifikaten für ein Konfigurationsprofil des Systemmodus 802.1X nicht konfigurieren, schlägt die Authentifizierung fehl, weil der Benutzer nicht aufgefordert werden kann, die Vertrauenswürdigkeit der Serverzertifikatskette manuell zu bestätigen. 

Vertrauenswürdige Zertifikate in einem Konfigurationsprofil konfigurieren

  1. Identifizieren Sie die Zertifikatskette, die Ihr RADIUS-Server bei Authentifizierungsversuchen von Clients angibt. Es könnte sich dabei um das Zertifikat für Ihren RADIUS-Server handeln. Es könnte sich dabei auch um ein Zwischen- oder Root-Zertifikat handeln, welches das Zertifikat des RADIUS-Servers ausgestellt hat.
  2. Fügen Sie die identifizierten Zertifikate zur Zertifikate-Payload des Konfigurationsprofils hinzu.
  3. In der Netzwerk-Payload des Konfigurationsprofils suchen Sie im Abschnitt "Vertrauen" nach dem Zertifikat, mit dem Sie die Vertrauenswürdigkeit verknüpfen möchten. Markieren Sie es anschließend als ein vertrauenswürdiges Zertifikat.

Wenn Sie beispielsweise einen einzelnen RADIUS-Server in Ihrer Netzwerkumgebung haben, verknüpfen Sie die Vertrauenswürdigkeit mit dem Zertifikat dieses RADIUS-Servers oder mit dem Zertifikat, das dieses ausgestellt hat. Wenn sich mehrere RADIUS-Server in Ihrer Umgebung befinden, deren Zertifikate alle vom gleichen Root- oder Zwischenzertifikat ausgestellt wurden, verknüpfen Sie die Vertrauenswürdigkeit mit dem entsprechenden Root- oder Zwischenzertifikat, sodass die Vertrauenswürdigkeit für all Ihre RADIUS-Server gilt.

Mit diesen Vertrauenseinstellungen für Zertifikate funktionieren auch der macOS-Systemmodus 802.1X sowie der Anmeldefenstermodus.

Die Namen vertrauenswürdiger Server in einem Konfigurationsprofil konfigurieren

Um zu vermeiden, das Benutzer aufgefordert werden, die Vertrauenswürdigkeit von RADIUS-Serverzertifikaten zu bestätigen, können Sie außerdem die Namen vertrauenswürdiger Server konfigurieren. Nutzen Sie einen Wert (Groß-/Kleinschreibung beachten), der dem allgemeinen Namen Ihrer RADIUS-Serverzertifikate entspricht. Dieser Wert kann auch ein Platzhalterzeichen enthalten, um mehrere RADIUS-Server innerhalb derselben Domain zu bezeichnen. Weitere Informationen finden Sie im EAPClientConfiguration Dictionary in der Apple Developer-Referenz zu Konfigurationsprofilen.

Veröffentlichungsdatum: