4
PKI-CA für Mobile Endgeräte
Hallo zusammen,
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 443532
Url: https://administrator.de/contentid/443532
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.
lg,
Slainte
ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.
lg,
Slainte
Das MDM ist MobileIron.
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
MobileIron
Das unterstützt doch sogar explizit eine SubCA, oder nicht?Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;) Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Moin,
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Gruß,
Dani
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;)
Viele IT-Admins sind sich gar nicht klar drüber, was der Betrieb einer PKI bedeutet und was zu berücksichtigen ist.Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Richtig, setzt voraus dass die Sperrlisten gepflegt und erreichbar sind. Gruß,
Dani
