Dies ist eine alte Version des Dokuments!


Wichtige Änderung bei der Nutzung von eduroam ab 1. Juli 2019

Im Zusammenhang mit dem schon länger angekündigten Ablauf des Wurzelzertifikats „Deutsche Telekom Root CA 2“ zum 10. Juli 2019 verliert das Zertifikat, das für die Verschlüsselung des Login-Vorgangs im WLAN eduroam genutzt wird, zum 1. Juli 2019 seine Gültigkeit. Für alle betroffenen Nutzer ergibt sich hieraus dringender Handlungsbedarf, um auch nach diesem Termin den beliebten und weitverbreiteten eduroam-Zugang nutzen zu können.

Warum muss die WLAN-Konfiguration für eduroam geändert werden?

Wie Sie vielleicht bereits erfahren haben, läuft zum 10. Juli 2019 das derzeitige Wurzelzertifikat „Deutsche Telekom Root CA 2“ (Generation 1), welches auch für das WLAN eduroam bei der GWDG und der Universität Göttingen genutzt wird, aus und verliert seine Gültigkeit. Es wird durch das neue Wurzelzertifikat „T-TeleSec Global Root Class 2“ (Generation 2) ersetzt. Für Geräte, auf denen das WLAN eduroam eingerichtet ist und die eine Zwischenzertifizierungskette der noch gültigen alten Generation 1 und nicht schon der neuen Generation 2 verwenden, verkürzt sich die Gültigkeitsdauer, abweichend vom Wurzelzertifikat „Deutsche Telekom Root CA 2“, auf den 30. Juni 2019.

Deshalb werden die eduroam-Authentifizierungsserver der GWDG nach dem 30. Juni 2019 nur noch das neue Wurzelzertifikat „T-TeleSec Global Root Class 2“ akzeptieren. Das bedeutet für alle Geräte mit eduroam-Zugang, die noch nicht das neue Wurzelzertifikat installiert haben, dass das WLAN eduroam neu eingerichtet werden muss, wenn eduroam weiterhin genutzt werden soll. Nach dem 30. Juni 2019 wird eine Anmeldung mit dem alten Wurzelzertifikat nicht mehr möglich sein. Die Neueinrichtung der WLAN-Konfiguration kann selbstverständlich auch noch nach diesem Termin jederzeit vorgenommen werden. Es entstehen bei verspäteter nachträglicher Neueinrichtung, bis auf die fehlende Möglichkeit der Nutzung von eduroam, keine weiteren Nachteile; insbesondere resultieren daraus keine Sicherheitsprobleme.

Welche Nutzer müssen ihre WLAN-Konfiguration für eduroam ändern?

Nicht alle Nutzer müssen ihre WLAN-Konfiguration für eduroam ändern, denn auf vielen Geräten sind bereits das neue Zertifikat und damit zusammenhängend die äußere Identität eduroam@gwdg.de in der WLAN-Konfiguration für eduroam enthalten.

Wenn Sie bei der Einrichtung des eduroam-Zugangs mit einem von der GWDG verwalteten Account das über den DFN-Verein bereitgestellte CAT-Tool verwendet haben, sind auf Ihrem Gerät eventuell schon das neue Wurzelzertifikat und die äußere Identität eduroam@gwdg.de im eduroam-Profil installiert. Denn für Nutzer, die auf https://cat.eduroam.org über die Organisationen „Universität Göttingen“ und „GWDG“ das eduroam-Profil auf ihren Geräten installiert haben, wurden bereits im Herbst 2017 das neue Wurzelzertifikat und die äußere Identität eduroam@gwdg.de in das CAT-Tool eingefügt. Für die Max-Planck-Institute, deren eduroam-Profile die GWDG auf https://cat.eduroam.org betreut, geschah dies im Herbst 2018.

Die eigenhändige Prüfung, ob das neue Wurzelzertifikat und die äußere Identität eduroam@gwdg.de schon im eduroam-Profil eines Gerätes installiert sind, unterscheidet sich leider je nach eingesetztem Betriebssystem z. T. sehr stark und ist in vielen Fällen ohne genauere Sachkenntnis nur umständlich oder sogar gar nicht möglich. Wir empfehlen daher bei nicht feststellbarem eindeutig positivem Ergebnis auf jeden Fall die baldige Neueinrichtung des eduroam-Zugangs.

Wie sollte die Änderung der WLAN-Konfiguration für eduroam vorgenommen werden?

Zur Durchsetzung einer zukünftig strengeren, roaming-konformen eduroam-Konfiguration und zur Vermeidung von Fehlern sollte nach Möglichkeit die Einrichtung des eduroam-Zugangs nicht mehr manuell vorgenommen werden, sondern nur noch mit Hilfe der benutzerfreundlichen CAT-Tools der GÉANT Organisation auf https://cat.eduroam.org, zu der auch der DFN-Verein gehört. Damit können die gewünschten eduroam-Profile für alle vom DFN-Verein unterstützten Betriebssysteme schnell und sicher über das Netz installiert werden. Das eduroam-CAT (eduroam Configuration Assistant Tool) stellt automatische eduroam-Konfigurationsassistenten für Windows, macOS, Linux, Chrome OS, iOS und Android zur Verfügung.

Dann ist auch sichergestellt, dass das neue Wurzelzertifikat und – genauso wichtig – die äußere Identität eduroam@gwdg.de im eduroam-Profil implementiert sind.