Verwendung von Zertifikaten an der WWU

Welche Zertifikate finden Verwendung?

Server der WWU-Münster liefern Zertifikate der folgenden Zertifikatshierarchie aus:

  • X.509 Zertifikat der Wurzel-CA "Deutsche Telekom Root CA 2" (Wurzelzertifikat)
  • X.509 Zertifikat der DFN PCA
  • X.509 Zertifikat der WWUCA
  • X.509 Zertifikat des Servers der WWU (z.B. von radius06.uni-muenster.de)

Welche Zertifikate muss man händisch installieren?

Im Idealfall kein Einziges, alles geht automatisch:

[ Ausnahmen stellen einige Betriebssysteme wie z.B. Android dar, bei denen zumindest das Wurzelzertifikat zuvor installiert werden muss (s.u.). ]

Das Wurzelzertifikat:

Der Rechner/Browser bzw. das Programm bringen das Wurzelzertifikat oft schon mit.

(Hinweis für Besitzer älterer Windows-Systeme: Bei Rechnern mit Windows Vista, Windows XP mit vollständigen Updates oder mit installiertem Internet Explorer 7 ist dieses Wurzelzertifikat im Zertifkatspeicher des Systems bereits verfügbar.)

Man muss ggfs. nur eintragen, dass diesem Zertifikat grundsätzlich vertraut werden soll.

Fehlt dieses Zertifikat (oder wird ein weiterer Browser installiert) , muss man diese von einer sicheren Quelle beziehen (Zertifikate: Windows Update, oder händisch beziehen und installieren).

Die Zwischenzertifikate (der WWUCA und DFN PCA):

Der Rechner/Browser bzw. das Programm laden die Zwischenzertifikate im Normalfall selber aus dem Internet nach.

WLAN-Verbindungen über PEAP-TLS sind hierfür darauf angewiesen, dass der Radius-Server die Zwischenzertifikate selbst ausliefert (da ja noch keine Internetverbindung besteht). Dies ist an der WWU der Fall.

Sollte diese Automatik nicht funktionieren, kann man die Zertifikate händisch beziehen und installieren.

Das Zertifikat des Servers der WWU:

... wird beim Verbindungsaufbau vom Server selbst gesendet.

Die Theorie und die Praxis: Troubleshooting:

In der Praxis ist die Implementierung ggfs. fehlerhaft.
Abhilfe schafft eine händische Installation der fehlenden Zertifikate oder die Kontrolle des Fingerprints:

 

Zertifikate händisch beziehen und installieren:

Die Downloadseite für die Zertifikate finden Sie hier (nach unten scrollen, .cer-Datei des aktuellen Jahres. Das Bild links zeigt markiert z.B. das Wurzelzertifikat).

Zertifikate händisch beziehen und installieren:

Es lohnt, die Zertifikate in der zuvor angegebenen Reihenfolge zu installieren:
Abgesehen vom Wurzelzertifikat kann man so auch ohne bestehende Internetverbindung schrittweise die Echtheit verifizieren, da das Zertifikat der übergeordneten Instanz schon (verifiziert und) installiert ist.

Hinweis 1 (richtiger Browser): Achten Sie darauf, welches Programm die Zertifikate installiert. Es sollte der Browser des Betriebssystems sein. Für WLAN-Verbindungen z.B. macht es keinen Sinn, wenn die Zertifikate im Zertifikatsspeicher von Firefox landen, statt in dem von Windows/dem Internet Explorer bzw. bei Android dem Google-Browser.

Hinweis 2 (richtiges Datum): Kontrollieren die bitte die Datumseinstellung des Rechners. Hat der Rechner z.B. irrtümlicherweise 2006, und das Zertifikat ist ab 2007 gültig, meint der Rechner, das Zertifikat sei abgelaufen.

Fingerprintkontrolle:

Beherrscht das Programm die Kontrolle der Zertifikatskette nicht richtig, lassen Sie sich am besten das Zertifikat des Servers der WWU anzeigen, mit dem die Verbindung aufgebaut wird. Dann kontrollieren Sie den Fingerprint. Windows 8 z.B. zeigt beim WLAN-Verbindungsaufbau direkt nur den Fingerprint an. Dies ist eine kryptische Zeichenkette, die Sie sonst in den Einstellungen des Zertifikates finden.
Den korrekten Fingerprint zum Vergleichen finden Sie über diese Suche (Zertifikat suchen auswählen, Servernamen eingeben und "OK", auf das kleine "i" klicken).