Kategorien
Seiten
-

IT Center Blog

WLAN News – Teil 3: Neue Wurzel, altes WLAN

30. Juni 2023 | von
Router, Notizblock und Smartphone

Quelle: Freepik

Am 23. Mai 2023 wurde zum Ablauf des Serverzertifikats unseres Authentifizierungsservers „radius.rz.rwth-aachen.de“ ein neues Zertifikat im System implementiert. Im ersten Beitrag dieser Blogreihe haben wir euch darüber informiert.

Nun steht eine größere Änderung an: Zukünftig wird die neue Zertifizierungsinstanz GÉANT/TCS verwendet werden und DFN-PKI Global ablösen. Dadurch werden ein neues Radius-Zertifikat samt Zertifizierungskette eingesetzt. Diese Umstellung wird am 1. August 2023 erfolgen.

Hiervon wird eduroam im Hinblick auf die Anmeldung und Konfiguration betroffen sein. Die genauen Hintergründe und was ihr tun müsst, um eduroam weiter nutzen zu können, erklären wir euch im folgenden Blogbeitrag.

Von DFN zu GÉANT/TCS

Die Nutzung der neuen Zertifizierungsinstanz GÉANT/TCS hat zur Folge, dass der Authentifizierungsserver RADIUS ein neues Zertifikat erhält, was in ein neues Wurzelzertifikat mündet. Je nach eduroam-Konfiguration muss man nicht nur dem neuen RADIUS-Zertifikat vertrauen, sondern auch seiner Wurzel. Die Umstellung zum neuen RADIUS-Zertifikat der GÉANT/TCS wird am 01.08.2023 stattfinden.

 

Wie kann ich eduroam weiter nutzen?

Nach dem Tausch des RADIUS-Zertifikats auf dem Server, wird das Betriebssystem eures mobilen Gerätes (je nach eduroam-Konfiguration) mit einer Meldung auf den Zertifikatswechsel hinweisen. Das passiert bei eurer nächsten Anmeldung in eduroam. Dabei werdet ihr aufgefordert, zu entscheiden, ob ihr eine WLAN-Verbindung herstellen möchtet oder nicht. An dieser Stelle wird die Verbindung zum RADIUS-Server nicht mehr als vertrauenswürdig erkannt und eure Geräte erhalten keinen Zugang mehr zu eduroam.

Bei Windows-Geräten sieht die Warnung wie auf dem folgenden Bild aus:

Fingerprint Géant

Quelle: Eigene Darstellung

Mit einem Klick auf „Zertifikatsdetails einblenden“ wird die Meldung vollständig angezeigt.

Unter Zertifikatsdetails wird folgendes angezeigt:

  • Der Name des Servers für den das Zertifikat ausgestellt wurde, nämlich „DE, Nordrhein-Westfalen, RWTH Aachen University, radius.rz.rwth-aachen.de“.
  • Der Name des Ausstellers des neuen RADIUS-Zertifikats, in diesem Fall „GEANT OV RSA CA 4“.
  • Der SHA256-Fingerabdruck des öffentlichen RSA-Schlüssels des RADIUS-Servers, und zwar „06:0B:12:1F:9E:C2:36:0C:69:36:8A:04:C6:E5:EB:79:3F:22:DF:48:2A:96:89:B4:47:BC:9E:C2:FE:8C:0A:B2“.

An dieser Stelle ist es wichtig, die angezeigten Felder zu prüfen. Alle müssen übereinstimmen. Nur dann könnt ihr der Verbindung vertrauen.

 

Fingerprints

Als Hilfestellung findet ihr auf IT Center Help den Fingerprint und alle relevante Daten des aktuell eingesetzten RADIUS-Zertifikats. Diese Angaben in IT Center Help vergleicht ihr mit denen, die euch bei der Verbindung mit eduroam angezeigt werden. Da ihr zu dem Zeitpunkt, wenn die Betriebssystem-Meldung angezeigt wird, keinen Internetzugriff auf IT Center Help habt, am besten den nächsten Fingerabdruck schon jetzt auswendig lernen – Spaß beiseite!

Sollte der Fingerprint nicht übereinstimmen, habt ihr im Folgenden einen Fahrplan:

  1. Man könnte vermuten, dass euch eduroam von einem WLAN Access Point angeboten wird, der nicht zu der offiziellen eduroam-Infrastruktur gehört. In dem Fall vertraut ihr dem Zertifikat nicht, sonst werden eure eduroam-Login-Daten von Unbefugten abgegriffen. So würde der Teil der Windows-Meldung oben „Andernfalls handelt es sich möglicherweise um ein anderes Netzwerk mit demselben Namen“ zutreffen.
  2. Einen anderen Standort aufsuchen, wo ihr wisst, dass das „echte“ eduroam der Hochschule angeboten wird.
  3. Es macht keinen Unterschied, ob man sich an der RWTH, an einer anderen Uni oder in anderen Stadtteilen befindet. Man verbindet sich als RWTH-Angehörige mit einer „<egm>@rwth.edufi.de“ Kennung und somit immer mit dem RADIUS-Server der RWTH.

 

Eduroam Zugangsdaten

Es kann vorkommen, dass ihr eure Zugangsdaten neu eingeben müsst, wenn ihr euch nach dieser Umstellung mit eduroam verbindet. Ihr kennt eure Zugangsdaten nicht mehr? Kein Problem! Ihr könnt über den eduroam Gerätemanager ganz leicht neue generieren. Schaut euch dafür gerne unser YouTube-Tutorial und unsere Anleitungen auf IT Center Help an.

 

Ihr nutzt die CAT App?

Hinter der CAT App sind nun beide Wurzeln hinterlegt. Dadurch sollte ein nahtloser Übergang bei der Migration möglich sein, wenn ihr eine Neukonfiguration mit der CAT App vor dem 1. August 2023 durchführt. Nach dem Stichtag wird nur noch die neue Wurzel vorhanden sein.

 

Weitere Hilfestellungen und Konfigurationsanleitungen für die entsprechenden Betriebssysteme, findet ihr ebenfalls auf IT Center Help.

 

Verantwortlich für die Inhalte dieses Beitrags sind Jelena Ćulum und Ekaterini Papachristou.

Kommentare sind geschlossen.