Zertifikatswechsel bei Eduroam-WLAN nötig

TUM-IT-Newsletter tum-it-newsletter at lists.lrz.de
Di Aug 7 07:55:20 CEST 2018 

Anmerkung: Der folgende Text ist vorrangig für Mitarbeitende in der
IT-Administration gedacht und nicht an „normale“ Endanwender gerichtet. Alle
Endanwender werden Mitte September separat angeschrieben, da auch die
Eduroam-Konfigurationen von privaten Notebooks und Smartphones umgestellt
werden müssen. 

 

 

Liebe Kolleginnen und Kollegen,

 

wie Sie inzwischen wahrscheinlich erfahren haben, läuft die Gültigkeitsdauer
des Root-Zertifikats des DFN nächstes Jahr aus. Aus diesem Grund müssen alle
davon abhängigen Zertifikate ausgetauscht werden. Darunter ist auch das
Zertifikat des LRZ-Radius-Servers, der für die WLAN-Anmeldung an Eduroam
zuständig ist. Alle sicher konfigurierten Eduroam-Verbindungen müssen daher
aktualisiert werden. Ansonsten ist der WLAN-Zugang über Eduroam ab dem
geplanten Zertifikatswechseltermin Anfang November nicht mehr möglich!

 

Für gängige Betriebssysteme (Windows, OS X, Linux, 
) stellt das LRZ unter
https://www.lrz.de/services/netz/wlan/eduroam/ passende Konfigurationen und
Tools bereit, die ab sofort manuell installiert werden können. Diese Tools
tragen sowohl das bisherige, alte, als auch das zukünftige, neue Zertifikat
als gültig in die WLAN-Konfiguration des Rechners ein. Somit treten beim
Wechsel des Radius-Zertifikats bei den entsprechend vorbereiteten Systemen
keine Probleme auf. Für Android wird auf der Webseite ein alternativer
Ansatz gezeigt, der ohne festes Zertifikat funktioniert.  Bitte planen Sie
zusätzlich für Anfang November die manuelle Umkonfiguration von
Spezialsystemen  (IOT-Devices, Drucker, 
) ein, die Sie über Eduroam und mit
Zertifikatsabsicherung eingebunden haben und die meist keine parallele
Zertifikatskonfiguration zulassen.

  

Mehr Komfort bei der nötigen Umstellung gibt es für Windows-Systeme, die in
das MWN Active Directory eingebunden sind. Hier lassen sich die nötigen
Updates zentral automatisch durchführen. 

 

TUM-PC

Im September wird bei allen TUM-PCs die nötige Eduroam-Anpassung zentral
erledigt und wirkt auch auf zukünftig neu installierte Systeme. Allerdings
kommt es zu Problemen, falls Sie eine eigene, veraltete
Eduroam-Konfiguration parallel über eine GPO verteilen, z.B. die alte
TU00E02PO-EDUROAM-GPO nutzen. Soweit dies ersichtlich ist, wird das LRZ
betroffene OUs anschreiben und Sie zum Entfernen der störenden GPO
auffordern. Weitere Probleme können auftreten, wenn der WLAN-Adapter
deaktiviert ist oder wie etwa bei USB-WLAN-Adaptern nicht ständig angesteckt
ist. Für diese Sonderfälle bieten wir zukünftig im Softwarecenter aller
TUM-PC das Tool „Eduroam-Repair“ an, das bei Problemen einmalig bei aktivem
WLAN-Adapter gestartet werden muss.

 

Sonstige Windows-PCs im Active Directory

Für alle Windows-PCs im AD bieten wir eine neue Gruppenrichtlinie
TU00E02PO-EDUROAM-LRZ an, die die nötigen Änderungen per GPO einspielt.
Diese GPO ist zudem kompatibel zur TUM-PC-Lösung und kann daher ab sofort
auf all Ihre Rechner im AD ausgerollt werden.

 

Test und Details

Das demnächst ablaufende Zertifikat des LRZ-Eduroam-Radius-Servers leitet
sich vom DFN-Root-Zertifikat „Deutsche Telekom Root CA 2“ ab. Das zukünftige
neue DFN-Root-Zertifikat lautet „T-TeleSec GlobalRoot Class 2“. Für einen
störungsfreien Wechsel sollten unter Windows derzeit beide Zertifikate in
der WLAN-Konfiguration aufgeführt sein. Zur Überprüfung klicken Sie bei
aktiver WLAN-Verbindung bitte folgenden Weg: „Systemsteuerung – Netzwerk-
und Freigabecenter – WLAN (eduroam) – Drahtloseigenschaften – Sicherheit –
Einstellungen“. Dort sollten dann für radius.lrz.de beide oben genannten
Stammzertifizierungsquellen genannt werden (Details siehe Screenshot, wobei
im Bildausschnitt nur das neue Zertifikat zu sehen ist.)

 

Zeitplan

Die neue Eduroam-GPO „TU00E02PO-EDUROAM-LRZ“ sowie das Eduroam-Repair-Tool
für den TUM-PC wird noch im August bereitgestellt, damit Sie damit testen
können. Die zentrale Anpassung aller TUM-PC erfolgt Anfang September. Die
Umschaltung des Radius-Servers auf das neue Zertifikat findet Anfang
November statt, ein genauer Termin wird noch bekannt gegeben. Bis dahin
müssen alle Systeme angepasst sein! Nach hinten haben wir dabei auch wenig
Spielraum, da das alte Radius-Zertifikat bereits im Januar 2019 abläuft.  

 

Bei Fragen und Problemen wenden Sie sich bitte an it-support at tum.de
<mailto:it-support at tum.de> 

 

Mit freundlichen Grüßen

 

Albert Lauchner

 

--

Dipl. Phys. Albert Lauchner, Leiter IT-Management

Technische Universität München, IT-Servicezentrum 

Karlstr. 45, 80333 München

Tel: +49 89 289 22256, Mobil: +49 162 2957204, www.it.tum.de
<http://www.it.tum.de> 

 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20180807/13802a90/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : Eduroam Zertifikatswechsel.png
Dateityp    : image/png
Dateigröße  : 123878 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20180807/13802a90/attachment.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 7692 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20180807/13802a90/attachment.bin>

Mehr Informationen über die Mailingliste TUM-IT-Newsletter