PKI-Endes-Server mit Intune-Integration

Von /

🔍 Zielsetzung

In modernen IT-Umgebungen wird Sicherheit großgeschrieben – insbesondere bei der Verwaltung mobiler Geräte. In diesem Projekt wurde ein Windows-Server eingerichtet, um über Microsoft Intune verwalteten Geräten automatisch Zertifikate bereitzustellen. Dabei kommt eine Public Key Infrastructure (PKI) zum Einsatz, die über eine Active Directory-Zertifizierungsstelle (AD CS) und den Network Device Enrollment Service (NDES) mit Intune verknüpft ist.

💻 Serveranforderungen

  • CPU: 4 vCPUs

  • RAM: 8 GB

  • Speicher: 100 GB Festplattenplatz

  • Betriebssystem: Windows Server 2019 oder 2022

  • Zusätzliche Software:

    • Active Directory-Zertifikatdienste (AD CS)

    • Microsoft Intune mit gültiger Lizenz

⚙️ Schritt-für-Schritt Einrichtung

1. Windows Server vorbereiten

  • Installation des Betriebssystems

  • Beitritt zur Domäne

  • Einspielen aller Windows Updates

2. AD-Zertifikatdienste einrichten

  • Rolle „Zertifizierungsstelle“ installieren (GUI oder PowerShell)

  • Wahlweise als untergeordnete oder eigenständige Enterprise-CA

  • Zugriff über LDAP/HTTP konfigurieren

3. NDES installieren und konfigurieren

  • Rolle „NDES“ hinzufügen

  • SSL-Zertifikat für NDES konfigurieren

  • Verbindung zur Zertifizierungsstelle sicherstellen

4. Intune-Integration

  • Intune-Zertifikat-Connector installieren

  • SCEP-Connector in Intune einrichten (kommuniziert mit NDES)

  • SCEP-Profil erstellen, um Zertifikate automatisch zu verteilen

5. Sicherheit & Tests

  • TLS-Verbindungen absichern

  • Firewall konfigurieren (nur autorisierte Geräte & Intune zulassen)

  • Zertifikatsverteilung testen und Logs prüfen

💡 Automatisierung mit PowerShell

Ein Großteil der Serverkonfiguration lässt sich per PowerShell-Skript automatisieren:

# Rollen installieren
Install-WindowsFeature ADCS-Cert-Authority, Adcs-Web-Enrollment, Adcs-Device-Enrollment, RSAT-ADCS -IncludeManagementTools

# Zertifizierungsstelle konfigurieren
Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CACommonName „Unternehmens-CA“ -KeyLength 2048 -HashAlgorithm SHA256 -CryptoProviderName „RSA#Microsoft Software Key Storage Provider“

# NDES einrichten
Install-WindowsFeature Adcs-Device-Enrollment -IncludeManagementTools
Install-AdcsNetworkDeviceEnrollmentService -ServiceAccountName „DomäneServicekonto“ -ServicePassword (ConvertTo-SecureString „Passwort“ -AsPlainText -Force)

# SSL-Zertifikat konfigurieren
$cert = Get-ChildItem Cert:LocalMachineMy | Where-Object { $_.Subject -like „*NDES-Server*“ }
$thumbprint = $cert.Thumbprint
Set-AdcsEnrollmentWebService -AuthenticationType Windows -SSLCertificateThumbprint $thumbprint

# Intune Connector installieren
Invoke-WebRequest -Uri „https://go.microsoft.com/fwlink/?linkid=2083377“ -OutFile „IntuneConnectorSetup.exe“
Start-Process -FilePath .IntuneConnectorSetup.exe -ArgumentList „/quiet“ -Wait

# Serverneustart
Restart-Computer -Force

🧩 Fazit

Die Einrichtung eines PKI-Endes-Servers mit Intune-Integration ist kein trivialer Schritt – aber ein wichtiger Baustein auf dem Weg zu einer sicheren Geräteverwaltung in der Cloud. Durch den Einsatz von AD CS, NDES und Intune wird ein nahtloses Zertifikats-Management für Windows-Clients ermöglicht.

Related Posts

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen