Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Vertrauenswürdige Zertifikate für 802.1X-Authentifizierungen in iOS und macOS konfigurieren

Hier erfährst du, wie du die Eigenschaften vertrauenswürdiger Zertifikate und Namen vertrauenswürdiger Server konfigurieren kannst, um zum Schutz deines Netzwerks beizutragen.

802.1X-Netzwerke verwenden für die Einrichtung eines sicheren TLS-Kommunikationskanals zwischen dem Client und dem Authentifizierungsserver möglicherweise ein serverseitiges Zertifikat. Der Client stellt vor dem Fortsetzen des Authentifizierungsvorgangs sicher, dass das Zertifikat des Servers vertrauenswürdig ist. Wenn du die Einstellungen zur Vertrauenswürdigkeit deines Zertifikats in einem Konfigurationsprofil nicht korrekt konfigurierst, wird Benutzern beim Verbindungsaufbau zu deinem 802.1X-geschützten Netzwerk ein Dialogfeld zur Vertrauenswürdigkeit des Zertifikats angezeigt.

In diesem Dialogfeld werden die Benutzer aufgefordert zu überprüfen, dass die Informationen der Zertifikatskette des RADIUS-Servers authentisch sind. Wenn ein Benutzer aus Versehen versucht, eine Verbindung zu einem "betrügerischen Netzwerk" herzustellen, das vorgibt, dein Netzwerk zu sein, könnte er sich durch dessen ungültiges Dialogfeld für die Vertrauenswürdigkeit von Zertifikaten klicken. Dies kann vorkommen, wenn der Benutzer nicht weiß, wie er die Authentizität der Informationen überprüfen kann. Wenn der Benutzer seine gültigen Anmeldeinformationen bei dem betrügerischen Netzwerk eingibt, könnte das die Sicherheit deines Netzwerks gefährden. Wenn du die Vertrauenswürdigkeit von Zertifikaten für ein 802.1X-Konfigurationsprofil im Systemmodus nicht konfigurierst, schlägt die Authentifizierung fehl, da der Benutzer nicht aufgefordert werden kann, die Vertrauenswürdigkeit der Serverzertifikatskette manuell zu bestätigen.

Vertrauenswürdige Zertifikate in einem Konfigurationsprofil konfigurieren

  1. Identifiziere die Zertifikatskette, die dein RADIUS-Server angibt, wenn Clients versuchen, sich zu authentifizieren. Dies könnte das Zertifikat für deinen RADIUS-Server sein. Es könnte sich dabei auch um ein Zwischen- oder Root-Zertifikat handeln, welches das Zertifikat des RADIUS-Servers ausgestellt hat.

  2. Füge die von dir identifizierten Zertifikate zur Zertifikats-Payload des Konfigurationsprofils hinzu.

  3. Suche in der Netzwerk-Payload des Konfigurationsprofils im Abschnitt "Vertrauen" das Zertifikat, mit dem du die Vertrauenswürdigkeit verknüpfen möchtest. Markiere es dann als vertrauenswürdiges Zertifikat.

Wenn du beispielsweise einen einzelnen RADIUS-Server in deiner Umgebung hast, verknüpfe die Vertrauenswürdigkeit mit dem Zertifikat dieses RADIUS-Servers oder mit dem Zertifikat, das es ausgestellt hat. Wenn du mehrere RADIUS-Server hast, deren Zertifikate alle vom gleichen Root- oder Zwischenzertifikat ausgestellt werden, verknüpfe die Vertrauenswürdigkeit mit dem entsprechenden Root- oder Zwischenzertifikat, sodass die Vertrauenswürdigkeit für alle deine RADIUS-Server gilt.

Mit diesen Vertrauenseinstellungen für Zertifikate funktionieren auch der macOS-Systemmodus 802.1X sowie der Anmeldefenstermodus.

Die Namen vertrauenswürdiger Server in einem Konfigurationsprofil konfigurieren

Du kannst auch vertrauenswürdige Servernamen konfigurieren, um zu verhindern, dass Benutzer aufgefordert werden, die Vertrauenswürdigkeit von RADIUS-Serverzertifikaten zu bestätigen. Verwende einen Wert (Groß- und Kleinschreibung beachten), der dem allgemeinen Namen deiner RADIUS-Serverzertifikate entspricht. Dieser Wert kann auch ein Platzhalterzeichen enthalten, um mehrere RADIUS-Server innerhalb derselben Domain zu bezeichnen. Weitere Informationen finden sich im EAPClientConfiguration Dictionary in der Apple Developer-Referenz zu Konfigurationsprofilen.

Veröffentlichungsdatum: