joerg
Goto Top

PKI-CA für Mobile Endgeräte

Hallo zusammen,

ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?


Gruß

Content-Key: 443532

Url: https://administrator.de/contentid/443532

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 23.04.2019 um 08:56:06 Uhr
Goto Top
Moin,

ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.

lg,
Slainte
Mitglied: joerg
joerg 23.04.2019 um 08:59:56 Uhr
Goto Top
Das MDM ist MobileIron.
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
Mitglied: SlainteMhath
SlainteMhath 23.04.2019 um 09:22:29 Uhr
Goto Top
MobileIron
Das unterstützt doch sogar explizit eine SubCA, oder nicht?

Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;) Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Mitglied: Dani
Dani 27.04.2019 aktualisiert um 11:40:47 Uhr
Goto Top
Moin,
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.

Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;)
Viele IT-Admins sind sich gar nicht klar drüber, was der Betrieb einer PKI bedeutet und was zu berücksichtigen ist.

Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Richtig, setzt voraus dass die Sperrlisten gepflegt und erreichbar sind. face-smile


Gruß,
Dani