zurück zum Artikel

Bildungsnetz

| Gerald Himmelein

Androiden und iPhones finden ohne Probleme Anschluss an den Eduroam-Internetzugängen in vielen europäischen Bildungseinrichtungen – mit Symbian-Geräten ist es ungleich schwieriger.

Bildungsnetz

Eduroam-Netze sind eine feine Sache: An einer Uni anmelden, an allen angeschlossenen Unis surfen. Android, iOS und Windows Phone nehmen bereitwillig Verbindung zu Eduroam-Netzen auf: Eine kurze Frage, ob man dem vom Server präsentierten Zertifikat vertrauen will, und schwupps, man ist drin. Symbian3 sperrt sich hingegen bei WLAN-Verbindungen gegen Zertifikate, deren Zertifizierungspfad es nicht überprüfen kann: Kein Einlass ohne zugehöriges Stammzertifikat. Sicherheitstechnisch gesehen handelt Nokias mobiles Betriebssystem durchaus korrekt; in der Praxis macht es viel Arbeit, ein Symbian-3-Smartphone zur erfolgreichen Anmeldung zu überreden.

Auch in einigen Firmennetzen kommen Authentifizierungssysteme nach Eduroam-Vorbild zum Einsatz; man erkennt sie daran, dass sie Gastzugänge mit Eintagskennwörtern über einen Radius-Server bereitstellen. Die im Folgenden beschriebenen Schritte zum Log-on sind weitgehend dieselben; Unterschiede gibt es meist nur beim Stammzertifikat und dem Benutzernamen.

Stammbaum installieren

Stammbaum installieren

Der erste Schritt besteht darin, das nötige Stammzertifikat zu installieren. Die meisten deutschen Universitätszertifikate setzen auf einem Stammzertifikat der Telekom auf – das liegt daran, dass die Telekom akademische Zertifikate kostenlos signiert. Das Stammzertifikat heißt „Deutsche Telekom Root CA 2 [1]“. Meist stellt die Universität es direkt im binären DER-Format zum Download bereit.

Firmennetze nutzen andere Zertifizierungsstellen; hier sollte man bei der Netzadministration nach dem passenden Stammzertifikat fragen. Wer das Zertifikat nicht direkt herunterladen kann, muss die DER-Datei per USB-Kabel oder über einen Massenspeicher auf das Nokia-Gerät kopieren und dann im Dateimanager (Programme/Office/Dateiman.) antippen.

Wird das Zertifikat nur im PEM-Format angeboten, müssen Nokia-Anwender es erst in das Binärformat konvertieren, damit das Symbian-Gerät es schluckt. Das PEM-Format ist reines ASCII; man erkennt es an der Endung .pem, .crt, .cer oder .key. Wer kein OpenSSL installiert hat, nutzt den Online-SSL-Converter von SSL Shopper [2]: PEM-Datei hochladen, auf „Convert Certificate“ klicken und schon bekommt man eine DER-Datei zurück.

Bildungsnetz - Import der Zertifikate (6 Bilder) [3]

[4]

Bildungsnetz

Schritt1: Telekom-Zertifikat importieren

Tippt man im Dateimanager auf das DER-Zertifikat, öffnet sich der Dialog „Zertifikat speichern“. Es sollte mit „Betreff: Deutsche Telekom Root CA 2“ beginnen. Drückt man auf „Speichern“, erscheint eine Rückfrage, ob man das Zertifikat wirklich speichern wolle, es sei eventuell unsicher. Belassen Sie den Standardnamen und markieren Sie im darauffolgenden Dialog alle vier (!) Optionen zur „Zertifikatverwendung“.

Das war freilich erst der Anfang; jetzt geht der Spaß erst richtig los. Nach dem Import des Stammzertifikats muss man es einer Internetverbindung zuordnen. Dies geschieht über „Einstell./Verbindungen/Einstellungen/Ziele“. Dort wählt man „Zugangspunkt“ und bejaht die Frage „Verfügbare Zugangspunkte automatisch suchen?“. Wählen Sie unter „Verfügb. Zugangspunkte:/WLAN“ das Eduroam-Netz Ihrer Bildungseinrichtung aus und als Ziel „Internet“. Firmenanwender wählen ihr Firmennetz.

Jetzt ist zwar ein Zugangspunkt definiert. Der funktioniert aber (noch) nicht, da seine Einstellungen nicht mit denen des Eduroam-Systems kompatibel sind. Tippen Sie unter „Netzziele/Internet“ kurz auf den eben angelegten Zugangspunkt. Es öffnet sich ein Fenster mit ziemlich vielen Auswahlmöglichkeiten. Wählen Sie hier „WLAN-Sicherheitseinstell.“ und im darauffolgenden Dialog „EAP Plug-in-Einstellungen“. Der folgende Dialog führt mehrere Authentifzierungsverfahren auf, von denen ausgerechnet die falschen markiert sind. Tippen Sie zunächst etwas länger auf „EAP-PEAP“ und wählen Sie dann EAP-SIM und EAP-AKA ab. Zum Abwählen muss man jeden Eintrag gedrückt halten, bis sich ein Kontextmenü öffnet. Aus diesem wählt man dann „Deaktivieren“.

Tippen Sie jetzt kurz auf „EAP-PEAP“. Es öffnet sich wieder einer dieser Dialoge, bei denen jeder iOS-Anwender die Nerven verlieren würde. Ruhe bewahren. Wählen Sie als „Behördliches Zertifikat“ das frisch installierte Telekom-Zertifikat („Deutsche Telekom Root C…“) und bestätigen Sie mit „OK“.

Ein Tipp auf das Feld unter „Verwend. Benutzername“ ändert die Einstellung auf „Benutzerdefiniert“. Geben Sie unter „Benutzername“ Ihre Mail-Adresse an der Universität an. Bei einem Firmennetz müssen Sie sich möglicherweise mit der Domain und dem Benutzernamen Ihrer Firma anmelden, also „Firmendomain\Benutzer“ (ohne Anführungszeichen). Schalten Sie als Nächstes die Option „Verwendetes Gebiet“ in den Modus „Benutzerdefiniert“.

Jetzt kommt der wesentliche Kniff, von dem der Erfolg der Anmeldung abhängt. Oben rechts im Dialog „EAP-PEAP-Einstellungen“ zeigt ein unscheinbares Pfeilchen neben dem Batteriesymbol nach rechts. Ein Druck darauf führt zu weiteren Einstellungen – dem Kern dieser Konfigurationsorgie.

In diesem Dialog sind abermals die falschen Optionen aktiv. Aktivieren Sie zuerst „EAP-MSCHAPv2“ und wählen Sie dann EAP-SIM und EAP-AKA über die Kontextmenüs der Einträge ab. Jetzt geht es wieder eine Menüebene tiefer – das ist der Punkt, wo Android-User rückwärts den Raum verlassen. Ein Symbian-3-Anwender kennt keinen Schmerz.

Drücken Sie kurz auf „EAP-MSCHAPv2“, um einen neuen Dialog zu öffnen. Wiederholen Sie die Eingabe Ihres Benutzernamens, lassen Sie „Passwort abfragen“ auf „Nein“ und geben Sie als Passwort Ihr Zugangskennwort ein. Jetzt drücken Sie unten rechts achtmal auf „Zurück“, bis Sie wieder im Fenster „Verbindungen“ sind. Tippen Sie jetzt unter „WLAN“ auf den Namen des eingerichteten Netzwerks und wählen Sie aus dem Kontextmenü „Verbinden“. Bei einigen Netzen muss bei der ersten Anmeldung nochmals Benutzername und Kennwort eingegeben werden, aber ansonsten sind Sie fertig.

Wer beim Import des Stammzertifikats vergessen hat, alle vier Verwendungszwecke zu aktivieren, kommt meistens nicht weiter. Um dies wieder geradezubiegen, muss man in die Untiefen der Zertifikatsverwaltung herabsteigen. Sie liegt unter „Einstell./Telefon/Telefonmanagem./Sicherheitseinstell./Zertifikatmanagement“ verborgen. Hier liegt das Telekom-Zertifikat (bzw. das Stammzertifikat für das Firmenzertifikat) unter „Sicherheitszertifikate“. Firmeneigene Zertifikate finden sich gegebenenfalls unter „Zertifikate beglaub. Seiten“. Tippt man lange auf das ausschlaggebende Zertifikat, erscheint ein Menü, in dem „Beglaubigungseinstell.“ auszuwählen ist. Dort alle vier Einträge auf „Ja“ setzen, dann mehrfach „Zurück“ antippen und alles wird gut. (ghi [5])

URL dieses Artikels:
https://www.heise.de/-1901833

Links in diesem Artikel:
[1] https://ca.gwdg.de/certs/root-DGP/deutsche-telekom-ca2-root-cert.der
[2] https://www.sslshopper.com/ssl-converter.html
[3] https://www.heise.de/bilderstrecke/bilderstrecke_1380294.html?back=1901833
[4] https://www.heise.de/bilderstrecke/bilderstrecke_1380294.html?back=1901833
[5] mailto:ghi@ct.de

Copyright © 2011 Heise Medien