PKI-CA für Mobile Endgeräte
Hallo zusammen,
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 443532
Url: https://administrator.de/forum/pki-ca-fuer-mobile-endgeraete-443532.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
4 Kommentare
Neuester Kommentar
MobileIron
Das unterstützt doch sogar explizit eine SubCA, oder nicht?Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;) Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Moin,
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Gruß,
Dani
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;)
Viele IT-Admins sind sich gar nicht klar drüber, was der Betrieb einer PKI bedeutet und was zu berücksichtigen ist.Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Richtig, setzt voraus dass die Sperrlisten gepflegt und erreichbar sind. Gruß,
Dani