Seminar SecurEAP PKI & EAP-TLS: Zertifikate, Lifecycle, Enrollment

Inhaltsverzeichnis

• Abstract
• Zielbild und Nutzen
• Zielgruppe und Voraussetzungen
• Lernziele
• Agenda
• Übungen
• Ergebnisse und Templates

Abstract

Dieses Seminar liefert das vollständige PKI- und Zertifikatsverständnis für EAP-TLS in Enterprise-WLAN-Umgebungen. Im SecurEAP-Themenrahmen liegt der Schwerpunkt auf sauberer Vertrauenskette, belastbarer Enrollment-Strategie, Lifecycle-Management (Rotation, Sperrung, Erneuerung) und operativer Absicherung (Key-Handling, CA-Design, Richtlinien). Teilnehmende entwickeln eine praxistaugliche PKI-Zielarchitektur für WLAN, definieren Zertifikatsprofile für Clients und AAA-Server und erstellen eine durchgängige Lifecycle-Checkliste. Übungen bilden Zertifikatsflüsse ab, ohne produktive Umgebungen zu berühren.

Zielbild und Nutzen

• Minimierung von MitM-Risiken durch saubere Server-Authentizität
• Operativ tragfähiger Zertifikatsbetrieb für große Client-Flotten
• Standardisierte Zertifikatsprofile und Lifecycle-Prozesse

Zielgruppe und Voraussetzungen

• Zielgruppe: PKI/IAM, Netzwerksecurity, WLAN-Architektur, Endpoint-Engineering
• Voraussetzungen: Grundlagen EAP/802.1X (SecurEAP Essentials: Enterprise-WLAN, 802.1X und EAP-Grundlagen). PKI-Basics hilfreich, aber nicht zwingend

Lernziele

• PKI-Komponenten und Vertrauensmodell für EAP-TLS ableiten
• Zertifikatsprofile für Server und Clients definieren (KeyUsage, EKU, Naming)
• Enrollment- und Rotationsstrategien für Managed Devices und Sonderfälle erstellen
• Sperrung und Incident-Prozesse im Zertifikatskontext definieren

Agenda

• Tag 1
  • PKI-Grundlagen für EAP-TLS, Trust Stores, Chain Building
  • Zertifikatsprofile: Client vs. Server, EKU, Subject/SAN, Naming
  • Enrollment-Modelle: manuell, automatisiert, MDM-/ConfigMgmt-gekoppelt
  • Profildefinition und Validierungscheck (Templates erstellen)
• Tag 2
  • Lifecycle: Renewal, Rotation, Übergangsfenster, Backout
  • Revocation, OCSP, CRL: Betrieb, Risiken, Policy-Entscheidungen
  • Incident-Szenarien (Key Leak, CA-Rollover) als Runbook
  • Governance: Richtlinien, Dokumentation, Audit-Nachweise

Übungen

• Zertifikatsprofile und Validierungskriterien erstellen
  • Use Cases sammeln: User-Device, Shared Device, IoT, Admin-Device
  • Pro Use Case Profil definieren: Schlüssellänge, EKU, Laufzeit, Naming-Regeln
  • Serverprofil definieren: TLS-Anforderungen, SAN-Strategie, Rolloutfenster
  • Validierungskriterien in Checkliste überführen (Client prüft, AAA präsentiert)
  • Profile-Templates und „Do not allow“-Regeln festlegen
• CA-Rollover und Kompromittierung als Prozess
  • Trigger definieren: Ablauf, Algorithmuswechsel, CA kompromittiert
  • Übergangsarchitektur skizzieren: Parallel-Trust, Migration in Phasen
  • Operative Schritte planen: Rollout neuer Trust Anchors, Monitoring, Cutover
  • Nachweise definieren: Logs, Change-Dokumentation, Abnahmekriterien

Ergebnisse und Templates

• Zertifikatsprofil-Templates (Client/Server) mit Pflichtfeldern
• Lifecycle-Playbook (Renew, Rotate, Revoke)
• CA-Rollover-Runbook (phasenbasiert)