4
PKI-CA für Mobile Endgeräte
Hallo zusammen,
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 443532
Url: https://administrator.de/contentid/443532
Printed on: April 20, 2024 at 06:04 o'clock
4 Comments
Latest comment
Moin,
ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.
lg,
Slainte
ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.
lg,
Slainte
Das MDM ist MobileIron.
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
MobileIron
Das unterstützt doch sogar explizit eine SubCA, oder nicht?Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;) Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Moin,
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Gruß,
Dani
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;)
Viele IT-Admins sind sich gar nicht klar drüber, was der Betrieb einer PKI bedeutet und was zu berücksichtigen ist.Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Richtig, setzt voraus dass die Sperrlisten gepflegt und erreichbar sind. Gruß,
Dani
