Einrichten/Anmelden am eduroam-WLAN unter Windows 10 mit einer gesicherten Verbindung

Hinweis: Die folgende Anleitung basiert auf den eduroam Zugangsdaten für Universitätsangehörige. Angehörige der Hochschule wenden sich bitte an den Helpdesk der Hochschule, um die für sie benötigten Anmeldedaten und Konfigurationseinstellungen für den eduroam Zugang zu erhalten.

Das Rechenzentrum empfiehlt die Nutzung des eduroam-WLANs über eine gesicherte Verbindung, da die beteiligten Zertifikate auf ihre Vertrauenswürdigkeit geprüft werden können. Ohne diesen Test auf Vertrauenswürdigkeit, das heißt, ohne die Verwendung des Root-Zertifikates (T-TeleSec GlobalRoot Class 2) sind Missbrauchsszenarien denkbar, die potentielle Angreifer nutzen könnten, um Nutzerdaten auszuspionieren.

• Automatische Konfiguration
• Manuelle Konfiguration
  • eduroam WLAN-Profil anlegen und konfigurieren
  • Verbindung zum eduroam-WLAN herstellen
  • Verwendungszweck des "T-TeleSecGlobalRoot Class 2"-Zertifikates festlegen
• Bekannte Probleme und Tipps
• Nach Passwort Änderung keine eduroam Verbindung mehr (Ändern des WLAN-Profiles)
• Das eduroam-Profil löschen

Automatische Konfiguration

Der leichteste und bequemste Weg, eine gesicherte, vertrauenswürdige Verbindung mittels des "T-TeleSec GlobalRoot Class 2" Zertifikates zum eduroam herzustellen, ist die Nutzung des zum Betriebssystem passenden CAT-Installers. Die Installer-Datei muss zunächst gepeichert werden. Über einen Doppelklick auf die Datei startet eine Installationsroutine, die alle benötigten Konfigurationsschritte automatisch ausführt. Während der Installation werden die persönlichen Zugangsdaten für das eduroam-WLAN verlangt.

Diese lauten:
Kennung: Benutzerkennung@uni-osnabrueck.de
Passwort: Das zur Benutzerkennung gehörende Passwort.

Die angegebenen Authentifizierungsdaten werden zum Profil gespeichert und das Endgerät verbindet sich ab jetzt immer automatisch mit dem WLAN, sobald ein eduroam-Access Point in der Nähe ist. Das heißt, der Benutzer wird nicht mehr nach seinen Authentifizierungsdaten gefragt.

Alternativ kann der Zugang zum eduroam mittels des "T-TeleSec GlobalRoot Class 2" Zertifikates auch manuell eingerichtet werden. Das manuelle Einrichten einer vertrauenswürdigen, gesicherten Verbindung unter Windows 10 wird im Folgenden beschrieben.

Manuelle Konfiguration

eduroam WLAN-Profil anlegen und konfigurieren

Hinweis: Existiert bereits ein fehlerhaft konfiguriertes eduroam WLAN-Profil, das keine Verbindung zum Universitätsnetz herstellt, muss dieses gelöscht werden. Erst danach kann ein neues eduroam WLAN-Profil angelegt werden. Dazu werden, wie in dem folgenden Bild gezeigt, die "Netzwerk- und Interneteinstellungen" aufgerufen. Dort werden die Menüpunkte "WLAN --> Bekannte Netzwerke verwalten" ausgewählt. Das zu löschende WLAN-Profil eduroam wird ausgewählt. Über die Schaltfläche "Nicht speichern" wird das WLAN-Profil gelöscht.

Um das eduroam-WLAN unter Windows 10 manuell einzurichten, wird zuerst aus der Taskleiste das WLAN-Symbol selektiert. Dort sind die "Netzwerk- und Interneteinstellungen" auszuwählen.

Anschließend wird aus dem Menü WLAN der Punkt "Netzwerk- und Freigabecenter" ausgewählt.

Hier wird der Menüpunkt "Neue Verbindung oder neues Netzwerk einrichten" gewählt.

Als Verbindungsoption wird "Manuell mit einem Drahtlosnetzwerk verbinden" bestimmt und mit Weiter bestätigt.

Das nächste Dialogfenster erwartet die folgenden Einstellungen:

• Netzwerkname: eduroam
• Sicherheitstyp: WPA2-Enterprise

Mit Weiter startet das nächste Dialogfenster.

Das WLAN-Profil mit dem Namen eduroam wurde erfolgreich hinzugefügt. Aus dem Bestätigungshinweis ist der Punkt "Verbindungseinstellungen ändern" auszuwählen.

Auf der Karteikarte Sicherheit wird als Methode für die Netzwerkauthentifizierung "Microsoft: Geschütztes EAP (PEAP)" angegeben. Über die Schaltfläche Einstellungen werden die Konfigurationsparameter für die gewählte Netzwerkauthentifizierung [hier: Microsoft: Geschütztes EAP (PEAP) ] angepasst.

Das Optionsfeld "Verbindung mit folgenden Servern herstellen ..." ist zu selektieren. Das angezeigte Eingabefeld erwartet den Servereintrag radius.uni-osnabrueck.de. Als "Vertrauenswürdige Stammzertifizierungsstelle" ist das Stammzertifikat T-TeleSec GlobalRoot Class 2 auszuwählen.
Hinweis: Dem Stammzertifikat fehlen unter Windows 10 standardmäßig die benötigten Zugriffsrechte. Diese müssen nachträglich zugewiesen werden (siehe: Verwendungszweck des T-TeleSecGlobalRoot Class 2-Zertifikates festlegen). Zusätzlich wird die Option Identitätsschutz aktiviert. Das Eingabefeld erwartet die Bezeichnung eduroam. Die Sicherung der getroffenen Parameter erfolgt über OK.

Hinweis: Es ist darauf zu achten, dass im Menü Konfigurieren... die Option "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden" deaktiviert ist.

Auf der Karteikarte Sicherheit wird das Optionsfeld "Für diese Verbindung eigene Anmeldeinformationen für jede Anmeldung speichern" ausgewählt. Dadurch wird festgelegt, dass die Anmeldedaten (Benutzerkennung@uni-osnabrueck und das Kennwort) nur bei der Erstanmeldung an das eduroam-WLAN (siehe: Verbindung zum eduroam-WLAN herstellen) angefordert werden. Alle weiteren Verbindungen zum eduroam-WLAN erfolgen dann automatisch ohne Eingabe der Benutzerdaten.
Anschließend wird die Schaltfläche "Erweiterte Einstellungen" ausgewählt.

Hier ist auf der Karteikarte 802.1X-Einstellungen das Optionsfeld "Authentifizierungsmodus angeben:" auszuwählen. Als Authentifizierungsmodus wird die Benutzerauthentifizierung erwartet. Nun wird die Schaltfläche "Anmeldeinformationen speichern" selektiert.

Das Dialogfenster "Anmeldeinformationen speichern" erwartet die Eingabe von Benutzerkennung und Passwort. Es wird mit OK abgeschlossen.

Die "Erweiterten Einstellungen" werden über OK beendet.

Es folgen zwei weitere Dialogfenster, die ebenfalls über die Schaltflächen OK oder Schließen beendet werden.

Verbindung zum eduroam-WLAN herstellen

Um die Verbindung zum eduroam-WLAN herzustellen, muss eine "Drahtlose Netzwerkverbindung" (wie unter Konfiguration des eduroam-WLAN beschrieben) konfiguriert und ein eduroam-Accesspoint verfügbar sein.
In der Taskleiste wird auf das Netzwerksymbol geklickt. Aus der Liste der verfügbaren WLAN-Netzwerke wird das eduroam-WLAN ausgewählt. Hier wird ein Häkchen in das Optionsfeld "Automatisch verbinden" gesetzt. Über Verbinden startet der Anmelden-Dialog.

Der Anmeldedialog erwartet die folgenden Eingaben:

• Benutzername: Benutzerkennung gefolgt vom Suffix "@uni-osnabrueck.de" (hier: xmuster@uni-osnabrueck.de)
  
• Kennwort: das zur Benutzerkennung gehörende Kennwort.

Über die Schaltfläche OK wird die Verbindung zum eduroam-WLAN aufgebaut.

Hinweis: Der Anmeldedialog erscheint unter Umständen zweimal. Die Anmeldedaten müssen also wiederholt eingegeben werden. Anschließend werden sie gespeichert und müssen bei zukünftiger Nutzung des eduroam-WLANs nicht mehr angegeben werden.

Verwendungszweck des T-TeleSecGlobalRoot Class 2-Zertifikates festlegen

Das T-TeleSecGlobalRoot Class 2-Zertifikat wird unter Windows 10 standardmäßig mit ausgeliefert. Sein Verwendungszweck (es für eine gesicherte Verbindung mit dem eduroam-WLAN zu nutzen) leider nicht. Damit es für eine vertrauenswürdige Verbindung akzeptiert wird, müssen die Eigenschaften des Zertifikates erweitert werden. Die benötigten Arbeitsschritte werden im Folgenden beschrieben.

Das T-TeleSecGlobalRoot Class 2-Zertifikat liegt unter Windows im Zertifikatsspeicher des lokalen Benutzers. Der Zugriff auf den Zertifikatsspeicher kann über das Tool mmc (Microsoft Management Console) erfolgen.

Hinweis: Die im Folgenden beschriebenen Aktionen können nur mit einer Windows-Benutzerkennung durchgeführt werden, die über ausreichend administrative Rechte verfügt.

1) Die Windows Taste drücken.
2) Die Buchstaben mmc eintippen.
3) Aus der Trefferliste, den im Bild dargestellten Treffer "mmc Befehl ausführen" mit der rechten Maustaste ansteuern.
4) Aus dem Kontextmenü den Punkt "Als Administrator ausführen" selektieren.

Es öffnet sich die Microsoft Management Konsole, aus der im Menüpunkt Datei der Untermenüpunkt "Snap-In hinzufügen/entfernen..." auszuwählen ist.

Aus der Liste der "Verfügbaren Snap-Ins" wird das Snap-In Zertifikate mittels der Schaltfläche Hinzufügen ausgewählt. Über OK wird das Snap-In geöffnet.

Jetzt wird der verwaltete Zertifikatsspeicher ausgewählt (hier: Eigenes Benutzerkonto) und über "Fertig stellen" angezeigt.

Das Dialogfenster "Snap-Ins hinzufügen bzw. entfernen" wird mit OK bestätigt.

Das "T-TeleSecGlobalRoot Class 2"-Zertifikat liegt im Konsolenstamm unterhalb des Verzeichnispfades "Zertifikate - Aktueller Benutzer --> Vertrauenswürdige Stammzertifikate --> Zertifikate". Es muss markiert werden. Anschließend steht im rechten Fensterbereich unter dem Menüpunkt "Weitere Aktionen" der Top Eigenschaften zur Verfügung. Dieser muss geöffnet werden.

Aus dem Eigenschaften-Dialog des "T-TeleSecGlobalRoot Class 2"-Zertifikates wird auf der Karteikarte Allgemein in der Kategorie Zertifikatzwecke das Optionsfeld "Alle Zwecke für dieses Zertifikat aktivieren" selektiert. Über OK werden die getroffenen Änderungen gesichert. Das Zertifikat wird jetzt für den Aufbau einer vertrauenswürdigen Verbindung ins eduroam-WLAN akzeptiert.

Die Management Konsole wird über die Menüpunkte Datei --> Beenden verlassen.

Hinweis: Damit die geänderten Zertifikatseinstellungen von der eduroam-Verbindung als vertrauenswürdig erkannt werden, empfiehlt sich ein Neustart des Windows 10 Endgerätes.

Bekannte Probleme und Tipps

Nach Passwort-Änderung keine eduroam Verbindung mehr (Ändern des WLAN-Profiles)

Unter bestimmten Umständen, wenn beispielsweise das Benutzerpasswort geändert wurde, schlägt die Verbindung zum eduroam-WLAN fehl. Damit der Anmelde-Dialog erneut am Bildschirm erscheint, muss im eduroam-Profil die Option "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" abgewählt werden. (Alternativ dazu kann das eduroam-Profil gelöscht und anschließend neu angelegt werden). Der folgende Abschnitt beschreibt, die dafür benötigten Arbeitsschritte:

Zuerst wird aus der Taskleiste das WLAN-Symbol selektiert. Anschließend werden die "Netzwerk- und Interneteinstellungen" ausgewählt.

Im Dialogfenster Einstellungen wird die Kategorie Status ausgewählt. Anschließend wird auf der rechten Fensterseite unterhalb der Kategorie "Netzwerkeinstellungen ändern" der Top "Adapteroptionen ändern" selektiert.

Im Dialogfenster Netzwerkverbindungen werden alle verfügbaren Verbindungen angezeigt. Im Beispiel wird das Verbindungsprofil "WLAN eduroam" angezeigt. Dieses wird mit der rechten Maustaste angesteuert. Aus dem Kontextmenü wird der Punkt Status ausgewählt.

Nun wird die Schaltfläche Drahtloseigenschaften ausgewählt.

Auf der Registerkarte Sicherheit wird jetzt das Häkchen aus dem Optionsfeld "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" entfernt. Die getroffene Änderung wird über OK bestätigt.

Abschließend muss die Verbindung zum eduroam, wie unter Verbindung zum eduroam-WLAN herstellen beschrieben, neu hergestellt werden. Durch das Entfernen der Option "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" wird der Benutzer ab jetzt bei jedem Verbindungsaufbau zum eduroam nach seinen Authentifizierungsdaten gefragt. Wenn dies nicht gewünscht ist, dann sollte die Option im eduroam-Profil wieder aktiviert werden.

Das eduroam-Profil löschen

Unter bestimmten Umständen ist es erforderlich, ein bestehendes eduroam-Profil zu löschen. Dazu kann das Kommando netsh in einer Eingabeaufforderung, die mit Administratorrechten gestartet sein muss, verwendet werden.
Mit dem folgenden Kommandobeispiel wird das Profil eduroam mit sämtlichen Konfigurationseinstellungen gelöscht:

netsh wlan delete profile name="eduroam"