Zertifikatsbasierte Authentifizierung mittels EAP-TLS ist heute die bevorzugte Methode, um VPN-Zugänge und andere Netzwerkdienste in Telco- und Enterprise-Umgebungen hochsicher zu betreiben. Sie ersetzt passwortbasierte Verfahren durch eine Public-Key-Infrastruktur (PKI) und ermöglicht eine starke Zwei-Faktor-Authentifizierung auf Basis von Besitz (Client-Zertifikat) und Identität. In diesem Tutorial erfahren Sie praxisnah, wie PKI-Design, Zertifikatsausstellung, Rotation und Betrieb in VPN-Umgebungen umgesetzt werden.
Grundlagen von EAP-TLS
EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) verwendet X.509-Zertifikate für die Authentifizierung von Clients gegenüber VPN-Gateways oder RADIUS-Servern. Im Gegensatz zu Passwortverfahren bietet EAP-TLS:
- Starke Kryptografie ohne Passworttransmission
- Phishing-Resistenz durch eindeutige Zertifikate
- Zentrale Verwaltung und automatisierte Revokation von Zertifikaten
PKI-Design für VPNs
Ein robustes PKI-Design ist die Grundlage für eine sichere EAP-TLS-Implementierung. Wesentliche Komponenten sind:
- Root CA: Vertrauensanker, offline gehalten
- Intermediate CA: Signiert Client- und Serverzertifikate, kann online betrieben werden
- RADIUS/VPN Server: Prüft die Zertifikate der Clients
- Clients: Besitzen individuelle Zertifikate mit eindeutiger Serialnummer
Best Practices für PKI-Hierarchien
- Root-CA offline und sicher verwahren
- Intermediate-CAs für unterschiedliche Zwecke trennen (Admin-Zugriff, Endgeräte)
- Zertifikats-Lifetimes planen, um häufige Rotation ohne Unterbrechungen zu ermöglichen
- CRL (Certificate Revocation List) oder OCSP für Echtzeit-Revokation einsetzen
Zertifikatsausstellung und Enrollment
Die automatisierte Ausstellung von Client-Zertifikaten reduziert Administrationsaufwand und Fehlerquellen:
- Automatisiertes Enrollment über SCEP, EST oder interne Enrollment-Server
- Zuweisung von Zertifikaten auf Basis von Rollen oder Standort
- Integration mit MDM-Systemen für mobile Clients
CLI-Beispiele für Zertifikatsausstellung
# Enrollment eines Client-Zertifikats über EST
est-client enroll --csr client.csr --ca https://ca.company.local/est
# Anzeige von ausgestellten Zertifikaten
vpn-cert list --role User
# Zuordnung des Zertifikats zum VPN-Account
vpn-user assign-cert --user alice --cert client123.pem
Zertifikatsrotation und Lifetimes
Um Ausfallzeiten zu vermeiden, müssen Zertifikate regelmäßig erneuert werden. Best Practices:
- Client-Zertifikate mit mittlerer Lebensdauer (1–2 Jahre)
- Server-Zertifikate kürzer (6–12 Monate) für höhere Sicherheit
- Automatisiertes Renewal vor Ablauf mittels Enrollment-Prozess
- Grace-Period für alte Zertifikate einplanen
Revoke und Blacklisting
Bei kompromittierten Zertifikaten ist sofortiges Sperren notwendig:
- CRL-Update im VPN-Gateway sicherstellen
- OCSP-Responder zur Echtzeitprüfung implementieren
- Automatisierte Benachrichtigungen bei Revokation
# Revokation eines Zertifikats
vpn-cert revoke --serial 123456789
# Update der CRL auf VPN-Gateway
vpn-crl update --from-ca intermediate_ca.pem
Client-Konfiguration
Clients müssen korrekt konfiguriert werden, um EAP-TLS nutzen zu können:
- Installation des Client-Zertifikats und des CA-Bundles
- VPN-Client auf Zertifikatsauthentifizierung einstellen
- Optional: Private Key mit PIN schützen
Beispiel: Windows VPN Client
# Zertifikat importieren
certutil -addstore -user "My" client123.pfx
# VPN-Profil auf EAP-TLS umstellen
Set-VpnConnection -Name "TelcoVPN" -AuthenticationMethod MachineCertificate
Server-Konfiguration
RADIUS- und VPN-Server müssen die EAP-TLS-Authentifizierung korrekt prüfen:
- Intermediate CA als vertrauenswürdig eintragen
- CRL/OCSP für Echtzeitprüfung aktivieren
- Optional: Fingerprint-Whitelisting für besonders sensitive Clients
# RADIUS Server Konfiguration
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813
radius-server key MySecretKey
eap tls enable
tls ca-file intermediate_ca.pem
tls crl-check enable
Monitoring und Logging
Transparenz und Auditfähigkeit sind essenziell:
- Alle Authentifizierungsversuche loggen (erfolgreich & fehlgeschlagen)
- Revokations-Events protokollieren
- Integration mit SIEM zur Anomalieerkennung
Fazit
Ein gut geplantes EAP-TLS Setup auf Basis einer durchdachten PKI bietet Telcos und Enterprise-Netzwerken hohe Sicherheit für Remote Access. Durch strukturierte PKI-Hierarchien, automatisierte Zertifikatsausstellung, Lifetimes und Rotation wird der administrative Aufwand minimiert, während gleichzeitig Compliance- und Sicherheitsanforderungen erfüllt werden. Die Integration von Monitoring und Logging sorgt dafür, dass alle Zugriffe nachvollziehbar bleiben und bei Sicherheitsvorfällen schnell reagiert werden kann.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.