Kategorien
Seiten
-

IT Center

Das Sicherheitszertifikat: Ihr Schlüssel zum eduroam // The Security Certificate: Your Key to eduroam

09. Mai 2019 | von
Sicherheitszertifikat & eduroam // Safety Certificate & eduroam

—English Version below—

Haben Sie sich schon einmal gefragt, was ein Sicherheitszertifikat eigentlich macht? Und weshalb es so wichtig ist? In dem folgenden Beitrag möchten wir Ihnen Antworten auf diese Fragen geben.

Unser Hochschul-WLAN eduroam ist auf dem gesamten Campus der RWTH Aachen verfügbar. Sogar am Ende von Gleis 2 am Hauptbahnhof hat man eine Verbindung zum schnellen und sicheren Netzwerk der Hochschule. Insgesamt rechnen wir mit ca. 133.000 Geräten, die sich grundsätzlich mit dem eduroam verbinden können. Aber wie gelingt die sichere Verbindung zum eduroam? Schließlich erfolgt die Verbindung mit dem Netzwerk automatisch, sobald unsere mobilen Geräte ein Netzwerk in der Nähe erkennen, das eduroam heißt.

Was macht eigentlich ein Sicherheitszertifikat?

Und genau hier kommt das Sicherheitszertifikat ins Spiel. Ihre eduroam-Zugangsdaten müssen an den Authentifizierungsserver (RADIUS) der RWTH übermittelt werden. Da diese Verbindung im eduroam verschlüsselt ist, sind Ihre Zugangsdaten auf dem Übertragungsweg sicher.

Aber wissen Sie, ob Ihre Zugangsdaten an den richtigen Authentifizierungsserver gesendet werden?

Diese Aufgabe übernimmt das Sicherheitszertifikat des Radius-Servers. Wenn Sie z.B. das CAT-Tool benutzt haben, um Ihren eduroam-Zugang auf Ihrem Gerät zu konfigurieren, werden unter anderem der Namen des Radius Servers und das Wurzelzertifikat der Zertifizierungskette auf Ihrem Gerät eingetragen/installiert.

Anhand der Namen, prüft ihr Gerät ob der richtige Radius Server angesprochen wird und anhand des Wurzelzertifikats prüft das TLS Protokoll, ob dieser Radius-Server ein Zertifikat benutzt das von Ihrer vertrauten Zertifizierungsstelle ausgestellt wurde.

Dieses Vertrauen sprechen Sie aus, wenn Sie das Wurzelzertifikat auf Ihrem Gerät installieren. Das heißt:

Einmal installieren und bei jeder Verbindung implizit vertrauen.

Bei diesem Wurzelzertifikat ist eine Umstellung jetzt notwendig. Das „Deutsche Telekom Root CA 2“ Wurzelzertifikat läuft am Dienstag, 9. Juli 2019, um 23:59:00 GMT ab. D.h. alle eduroam-Geräte, die nur diesem Zertifikat vertrauen, werden ab dem 10.7.2019 keinen Zugang mehr bekommen, da die Verbindung zum Radius-Server nicht mehr als vertrauenswürdig erkannt werden wird.

Aber keine Sorge, denn der Radius-Server der RWTH arbeitet schon jetzt mit beiden Sicherheitszertifikaten, die an unterschiedlichen Ketten hängen. Die alte, die am 09.07.2019 abläuft, und die neue, die bis zum 1. Oktober 2033 gültig ist. Sie können schon jetzt auf die neue Kette umstellen, in dem Sie die eduroam-Konfiguration Ihrer Geräte auf das neue Zertifikat umstellen.

Warum ist es so wichtig auch die Zugangsdaten zu ändern?

Ein weiterer Sicherheitsaspekt zum Schutz Ihrer Daten ist, die Zugangsdaten zu verklausulieren. Grundsätzlich ist es aktuell noch möglich mittels eduroam-Zugangsdaten Rückschluss auf Ihre persönlichen Informationen zu bekommen. Eine entsprechende Abhilfe schafft der eduroam Gerätemanager, der für jedes Ihrer Geräte individuelle Zugangsdaten generiert – ohne Ihren Benutzernamen oder Ihr Passwort zu verraten.

Deshalb wird im Zusammenhang mit der Zertifikatsumstellung auch der Login am 04.06.2019 umgestellt. Eine Verbindung mit dem eduroam ist dann nur noch mit sicheren Zugangsdaten aus dem eduroam Gerätemanager möglich, die keinerlei Rückschluss auf persönliche Informationen (z. B. Benutzerkennung ab123456@rwth-aachen.de) zulassen. Auch hier gilt, dass eine Umstellung der Zugangsdaten schon heute möglich und sinnvoll ist.

Wir schreiben Sicherheit groß und möchten, dass Sie auch weiterhin online bleiben. Aus diesem Grund empfehlen wir schon heute das Anlegen von sicheren Zugangsdaten über den eduroam Gerätemanager in Verbindung mit dem neuen Sicherheitszertifikat für Ihre mobilen Geräte.

Uns ist bewusst, dass all dies einen Mehraufwand für Sie bedeutet, daher haben wir uns besonders viel Mühe mit den Anleitungen gegeben. Wie Sie eduroam sicher konfigurieren können, verraten wir Ihnen in unserem Dokumentationsportal oder klicken Sie einfach auf rwth-aachen.de/wlw .

Wir danken Ihnen für Ihr Verständnis und freuen uns auf Ihr Feedback!

Verantwortlich für die Inhalte dieses Beitrags ist Nicole Filla mit freundlicher Unterstützung von Ekaterini Papachristou.

—English version—

Have you ever wondered what a security certificate actually does? And why is it so important? In the following article we would like to give you answers to these questions.

Our university WLAN eduroam is available on the entire campus of RWTH Aachen University. Even at the end of track 2 at main station you have a connection to the fast and secure network of the university. In total, we expect about 133,000 devices to be connected to the eduroam network.

But how does the secure connection to eduroam work? After all, the connection to the network takes place automatically as soon as our mobile devices detect a nearby network with the name “eduroam”.

What does a security certificate actually do?

And this is exactly where the security certificate comes into play. Your eduroam access data must be transmitted to the RWTH authentication server (RADIUS). Since this connection is encrypted in eduroam, your access data is secure during the transmission.

But do you know if your credentials are sent to the correct authentication server?

This task is performed by the security certificate of the Radius server. If, for example, you have used the CAT tool to configure your eduroam access on your device, the name of the Radius server and the root certificate of the certification chain will be entered/installed on your device.

Based on the names, your device checks whether the correct Radius server is addressed. In addition, based on the root certificate, the TLS protocol checks whether the Radius server is using a certificate that was issued by your trusted certification authority (CA).

You express this trust when you install the root certificate on your device. This means:

Install it once and trust it implicitly every time you connect.

With this root certificate, a conversion is now necessary. The “Deutsche Telekom Root CA 2“ certificate expires on Tuesday, July 9, 2019, at 23:59:00 GMT. This means, all eduroam devices, which only trust this certificate, will no longer be able to access the network after July 7, 2019, because the connection to the Radius server is no longer trusted.

But don’t worry, because the Radius server at RWTH is already working with both security certificates attached to different chains. The old one, which expires on July 09, 2019, and the new one, which is valid until October 1, 2033.

You can already switch to the new chain by changing the eduroam configuration of your devices to the new certificate.

Why is it so important to change the access data?

A further security aspect for the protection of your data is to encrypt it. In principle, it is currently still possible to use eduroam access data to draw conclusions about your personal information. The eduroam Device Manager provides a remedy by generating individual access data for each of your devices – without revealing your user name or password.

Therefore, the login will be changed on June 04, 2019. This in connection of the certificate conversion. A connection to the eduroam network is then only possible with secure access data from the eduroam Device Manager, which does not allow any inference to personal information (e.g. your user ID ab123456@rwth-aachen.de). Here as well, it is possible and sensible to change the access data as soon as possible.

We attach great importance to security and want you to remain online. For this reason, we already recommend creating secure access data with the eduroam Device Manager in conjunction with the new security certificate for your mobile devices.

We are aware that all of this means additional work for you, so we have put a lot of effort into the instructions. You can find out how to safely configure eduroam in our documentation portal or simply click on rwth-aachen.de/wlw.

We thank you for your understanding and look forward to your feedback!

Responsible for the content of this article is Nicole Filla with the kind support of Ekaterini Papachristou.

5 Antworten zu “Das Sicherheitszertifikat: Ihr Schlüssel zum eduroam // The Security Certificate: Your Key to eduroam”

  1. Frank Knoben sagt:

    Hallo It Center,
    hiermit teste Ich die Kommentarfunktion auf Ihrem Blog.
    Und wollte fragen, ob Sie den Punkt Blog Policy in Ihrem Disclaimer ein wenig anpassen
    können.
    Toll wäre das, wenn es analog zu den anderen Disclaimer Punkten erfolgen könnte, die
    u.a. auf dem zentralen RWTH Disclaimer zu finden sind.
    Also Beschreibung und Umfang der Datenverarbeitung, welche Daten werden erhoben und wie
    lange gespeichert. Wie kann ich diese Daten löschen lassen und wie kann ich einen
    Blogkommentar löschen lassen.
    Ich bin dabei einen Baukasten zum Erstellen von RWTH Disclaimern zu machen und der
    Punkt zu Blog fehlt auf der zentralen Seite, da es dort keinen Blog gibt.
    Aus dem Internet habe ich jetzt folgenden Text gefunden:

    Kommentare
    Kommentarfunktion auf dieser Webseite
    Für die Kommentarfunktion auf dieser Seite werden neben Ihrem Kommentar auch Angaben zum Zeitpunkt der Erstellung des Kommentars, Ihre E-Mail-Adresse und, wenn Sie nicht anonym posten, der von Ihnen gewählte Nutzername gespeichert.

    Speicherung der IP Adresse

    Unsere Kommentarfunktion speichert die IP-Adressen der Nutzer, die Kommentare verfassen. Da wir Kommentare auf unserer Seite vor der Freischaltung prüfen, benötigen wir diese Daten, um im Falle von Rechtsverletzungen wie Beleidigungen oder Propaganda gegen den Verfasser vorgehen zu können.

    Avatar

    Aus der E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt. Die Datenschutzerklärung des Gravatar-Dienstes findest du hier: https://automattic.com/privacy/ . Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.

    • Nicole Barbara Filla sagt:

      Hallo Herr Knoben,

      vielen Dank für das Testen unserer Kommentarfunktion. Wir freuen uns sehr, dass Sie diese nutzen und bedanken uns für Ihr ausführliches Feedback.
      Ihre Anfrage samt der hilfreichen Anregungen nehmen wir gerne auf und prüfen diese. Die weitere detaillierte Bearbeitung Ihres Kommentars findet über ein entsprechendes Ticket statt, über das wir Sie, wie gewohnt, informieren.

      Viele Grüße,
      Ihr Blog-Team

  2. Sommer Sonne Sonnenschein sagt:

    Gefällt mir meine ich natürlich

    • Nicole Barbara Filla sagt:

      Hallo Sommer Sonne Sonnenschein,

      vielen Dank für den Kommentar. Das freut uns natürlich 🙂

      Ein schönes Wochenende und viele Grüße
      Das IT Center Blog-Team

  3. Sommer Sonne Sonnenschein sagt:

    Fällt mir !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.