Sichere Konfiguration des CA-Zertifikats für eduroam

eduroam ist eine weltweite Infrastruktur für WLAN-Zugänge. Mit der einheitlich verwendeten SSID „eduroam” kann ein Angehöriger einer teilnehmenden Organisation einen WLAN-Zugang bei allen anderen eduroam-Teilnehmern nutzen.

Beim Verbindungsaufbau meldet sich jeder Nutzer, auch wenn er sich bei einem anderen eduroam-Teilnehmer einwählt, bei seiner Heimateinrichtung an. Damit die Anmeldung nur gegenüber dem Anmeldeserver der Heimateinrichtung geschieht, muss die WLAN-Konfiguration vom Nutzer entsprechend sicher eingestellt werden.

Wird dies vom Nutzer unterlassen, versucht sich sein Gerät unter Umständen in gefälschte eduoram Access Points einzuwählen, die dann versuchen können, seinen Nutzernamen und sein Passwort abzugreifen.

Für die meisten Betriebssysteme ist unter der URL https://cat.eduroam.org/ ein Installer erhältlich, mit dem die sichere Konfiguration automatisch eingestellt werden kann. Leider ist dieser Installer aus technischen Gründen für aktuelle Android-Versionen nicht erhältlich (Stand: Juli 2014). Android-Nutzer müssen daher ihre eduroam WLAN-Konfiguration manuell absichern.

Ein Bestandteil der sicheren Konfiguration ist stets die Festlegung des sog. CA-Zertifikats. Da sich die eduroam-Konfiguration von Heimateinrichtung zu Heimateinrichtung unterscheiden kann, ist im Folgenden nur ein allgemeiner Fall beschrieben. Es ist möglich, dass je nach Heimateinrichtung eventuell andere Einstellungen vorgenommen werden müssen.

1. Schritt: Import des CA-Zertifikats

Zur Nutzung in der WLAN-Konfiguration muss das CA-Zertifikat zunächst von einem bestehenden Netzzugang aus auf das Android-Gerät gebracht werden. Die einfachste Möglichkeit hierfür ist das Öffnen einer URL im Android Browser bzw. in Chrome.

Für die meisten eduroam-Teilnehmer in Deutschland muss das CA-Zertifikat „Deutsche Telekom Root CA 2” verwendet werden. Überprüfen Sie bitte, ob dies an Ihrer Heimateinrichtung auch der Fall ist.

Für den Import der „Deutsche Telekom Root CA 2” verwenden Sie bitte folgende URL:
https://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.crt

bzw. als QR-Code:

Nach dem Aufruf der URL erscheint ein Dialog, in dem das CA-Zertifikat benannt werden muss. Zusätzlich muss unter dem Menüpunkt „Verwendung der Anmeldedaten” die Option „WLAN” oder bei neueren Android-Versionen „Wi-Fi” ausgewählt werden.

2. Schritt: WLAN-Konfiguration

Anschließend kann im normalen WLAN-Konfigurationsdialog dieses neue CA-Zertifikat angegeben werden: