Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:easyroam [2023/08/10 13:37] – [Installation der eduroam Profile auf ANDROID, wenn alle Stricke reißen] Ralf Paffrath
+++ de:eduroam:easyroam [2025/11/12 14:16] (aktuell) – [Troubleshooting bei manueller Installation der easyroam Profile auf Geräten mit Micrososft Windows 11] Ralf Paffrath
@@ Zeile 13: / Zeile 13: @@
 In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmethode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf www.easyroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt-In sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der easyroam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Accounts und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Identität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten ist, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.
-Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Deutsch, Englisch und Chinesisch (wird zur Zeit überarbeitet).
+Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell zwei Sprachen: Deutsch und Englisch.
 Die Anleitungen auf einem Blick finden die easyroam Nutzenden [[https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen|hier]].
@@ Zeile 53: / Zeile 53: @@
   * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]]
   * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten
-    * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
+  <alert>Im Folgendem handelt es sich um Attributwerte und nicht um Links!</alert>
-    * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins
+<code>* https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
+* https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins</code>
 Bitte beachten, für Admins müssen beide Entitlements optin und admin konfiguriert werden.
@@ Zeile 74: / Zeile 76: @@
 ==== Die Webseite www.easyroam.de für die eduroam Nutzenden ====
-Die Web-Seite www.easyroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten!  Nach dem Aufruf der Seite [[https://www.easyroam.de]] im Browser und der Autorisierung über seinen DFN-AAI IdP gelangt man auf die folgende Seite:
+Die Web-Seite www.easyroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten!  Nach dem Aufruf der Seite [[https://www.easyroam.de]] im Browser und der Autorisierung über den DFN-AAI IdP startet das Hauptmenü "Start":
-{{:de:eduroam:techdoc-dienstleistungen-eduroam-screenshot_2021-08-04_at_16.10.53.png?400|}}
+{{:de:eduroam:screenshot_2025-10-15_at_08.19.37.png?400|}}
-=== Zugänge generieren ===
+=== Profile generieren ===
-Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen:
+Unter "Manuelle Installationen" kann zwischen Android, Apple,  Windows, Chrome OS und Linux ausgewählt werden:
-{{:de:eduroam:screenshot_2021-08-04_at_16.28.27.png?400|}}
+{{:de:eduroam:screenshot_2025-10-15_at_08.30.17.png?400|}}
-Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht.
+Bei Auswahl von “Apple” werden die Mobile-Configs für macOS und iOS angeboten. Für “Chrome OS” steht eine Installationsdatei zum Download bereit. In allen anderen Fällen wird eine PKCS12-Datei zum Download angeboten.
-=== Zugänge verwalten ===
+=== Profile verwalten ===
-Klickt man mit der Maus auf "Zugänge verwalten" so gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate:
+Im Hauptmenü unter Profiles gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate:
-{{:de:eduroam:screenshot_2021-08-04_at_16.20.48.png?400|}}
+{{:de:eduroam:screenshot_2025-10-15_at_08.43.00.png?400|}}
-Hier kann man die Seriennummer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.
+Hier kann die Seriennummer des Zertifikats sowie dessen Gültigkeitsdauer eingesehen werden. Wird ein Zertifikat widerrufen, ist es umgehend für die Nutzung in easyroam gesperrt.
+Die Gültigkeitsdauer der eduroam-Profile wird in der Regel von den easyroam Admins der Einrichtungen festgelegt. Wird von den easyroam-Administratoren keine Gültigkeitsdauer für die eduroam-Profile festgelegt, sind diese drei Monate gültig.
+==== Die Webseite www.easyroam.de für die eduroam Admins ====
+Bei Admins werden im Portal zusätzliche administrative Rechte vergeben.
-Die Laufzeit der eduroam Profile legen in der Regel die easyroam Administratoren in den Einrichtungen fest. Wenn von den easyroam Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich "Zugänge verwalten"
+{{:de:eduroam:screenshot_2025-10-15_at_08.55.15.png?400|}}
-unter "Mehr Infos" und "Uhrzeit und Datum des Ablaufs (UTC):" besteht die Möglichkeit, eine ICAL Datei für die gängigen Kalender Applikationen auf den Endgeräten herunterzuladen. Die eduroam Nutzenden werden dann in der Regel frühestens 1 Woche und spätestens 1 Tag vor Ablauf des eduroam Profils erinnert, ihr eduroam Profil zu aktualisieren.
-{{:de:eduroam:screenshot_2021-11-17_at_14.35.19.png?400|}}
+Im Menüabschnitt „Mein Realm“ wird die Realm-Verwaltung aufgerufen. Hier kann der Basis-Realm eingesehen werden sowie die maximale Anzahl der Profile, die ein Nutzer generieren darf, und die maximale Lebensdauer eines Profils in Monaten verwaltet werden.
-Es bietet sich an, die Namen der eduroam Profile frei zu editieren mit mit "Klick" auf den Kugelschreiber, damit die eduroam Profile den verschiedenen Endgeräten zugeordnet werden können.
+In der "Nutzerverwaltung" ist eine gezielte Suche nach der Pairwise-ID möglich. Admins aben unter anderem die Möglichkeit, Nutzer zu (ent)sperren, die Anzahl der Profile, die ein Nutzer maximal haben darf, individuell zu überschreiben sowie die Profile der Person einzusehen oder zu widerrufen.
-{{:de:eduroam:screenshot_2021-11-17_at_15.03.11.png?400|}}
-==== Die Webseite www.easyroam.de für die eduroam Admins ====
-Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten:
+In der "Profilverwaltung" ist es möglich, gezielt nach der Seriennummer eines Profils zu suchen und dieses zu widerrufen.
-{{:de:eduroam:screenshot_2021-08-04_at_16.55.43.png?400|}}
+Im "Auditlog" wird dokumentiert, wer zu welchem Zeitpunkt Admin-Rechte ausgeübt und welche administrativen Maßnahmen durchgeführt wurden.
-Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eines Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen.
 === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam ===
-In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt.
+In easyroam werden die Identitäten der Nutzer durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt.
-Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerzugängen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.
-{{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}}
+Sollte eine Person in easyroam, beispielsweise aufgrund eines virenverseuchten Rechners, gesperrt werden müssen, ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der für die Anmeldung in eduroam erforderlichen Zertifikate sind fester Bestandteil der Roaming-Identität, auch bekannt als äußere Roaming-Identität. Die äußere Roaming-Identität kann nicht geändert werden, da sie fest an den CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden, ohne dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate der in eduroam angemeldeten Person können die zuständigen easyroam-Administratoren auf dem Portal www.easyroam.de im Bereich “Profilverwaltung” das betreffende eduroam-Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Um zu verhindern, dass easyroam-Nutzende unmittelbar ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden die Erlaubnis zur Generierung neuer Profile temporär entzogen werden. In der „Profilverwaltung“ wird der Besitzer jeder Seriennummer durch eine interne ID dargestellt. Durch einen Klick auf die ID des Besitzers gelangen Admins direkt in die Nutzerverwaltung, wo sie die betreffende Person temporär sperren können.
-"Klicken" die easyroam Admins auf die Pairwise-ID, so gelangen diese in die Personenverwaltung.
+{{:de:eduroam:screenshot_2025-10-15_at_09.44.39.png?400|}} {{:de:eduroam:screenshot_2025-10-15_at_09.49.43.png?400|}}
-{{:de:eduroam:screenshot_2021-11-17_at_15.43.03.png?500|}}
-In der Personenverwaltung können die easyroam Admins das Konto einzelner pseudonymer Personen für die Generierung von easyroam Profile temporär sperren und einzelne eduroam Profile/Zertifikate sowie alle eduroam Profile/Zertifikate der ausgewählten pseudonymen Person widerrufen. Zu beachten ist hier, während des gesamten Vorgangs zur Sperrung von Personen in easyroam wird die wahre Identität der Person zu keiner Zeit offengelegt. Möchte die Person ihren easyroam Account wieder entsperren, so muss diese Person unter Angabe Ihres Pseudonyms (Pairwise - ID) Kontakt zu den easyroam Admins der Einrichtungen aufnehmen. Die Person kann dort erfahren, warum sie gesperrt wurde und welche Schritte unternommen werden müssen, damit der Account der Person erneut freigeschaltet werden kann. Der Vorgang, der zum Widerrufen von easyroam Profile führt, kann nicht mehr rückgängig gemacht werden.
 <alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert>
 ==== Installation der eduroam Profile auf W10/11 mit der easyroam App ====
+<alert>Die easyroam app konfiguriert ausschließlich den eduroam Zugang für das Anmeldeverfahren EAP-TLS auf den Geräten. Die easyroam app führt weder die Anmeldung in eduroam aus noch ist sie verantwortlich für die Etablierung der Verbindung zum eduroam Netz. Die easyroam app versteht sich als Hilfswerkzeug (nicht zwingend erforderlich), um die Installation der Pseudozertifikate, welche das Betriebssystem nutzt, damit sich die Geräte in eduroam anmelden können.
+</alert>
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
+. Wenn die GETEDUROAM app und/oder alte eduroam Profile installiert sind, diese bitte jetzt löschen.
-. Wenn vorher die GETEDUROAM app installiert war, diese bitte löschen.
+. Die easyroam app für W10/W11 herunterladen: [[https://www.easyroam.de]] und installieren.
-. Die easyroam app herunterladen: [[https://www.easyroam.de/winapp/easyroam.msix]] und installieren.
 . easyroam app starten. In der Regel wird ein Browser automatisch geöffnet.
@@ Zeile 143: / Zeile 137: @@
 {{:de:eduroam:screenshot_neu_cert_2023-01-09_101420.png?400|}}
+<alert>Bitte beachten, dass die verwendeten Geräte für die jeweilige Zeitzone und lokale Standard Zeit korrekt konfiguriert sind. Ein typisches Fehlerbild für die nicht korrekt eingestellte Zeit ist im folgenden zu betrachten. Nach dem DFN-AAI IdP-Login wiederholt sich die Fehlermeldung dauerhaft. Es handelt sich hierbei nicht um ein easyroam Problem!</alert>
+{{:de:eduroam:screenshot_2024-10-25_061523.jpg?800|}}
+==== Troubleshooting bei manueller Installation der easyroam Profile auf Geräten mit Micrososft Windows 11 ====
+<alert>Bei der Nutzung der aktuellen easyroam App sind die im folgenden beschriebenen Schritte nicht erforderlich, da die App einen nahtlosen Wechsel von Zertifikaten und PKI gewährleistet.  Bei einer manuellen Installation der easyroam Profile sollte die App nicht gleichzeitig zur Installation der Profile verwendet werden, da dies zu Verwechslungen führen und den Support erheblich erschweren kann.</alert>
+Für die Installation der eduroam Profile auf Windows 11 Geräten wird grundsätzlich die Verwendung der easyroam App empfohlen.  Obwohl eine manuelle Installation der Profile ohne die easyroam App möglich und scheinbar unkompliziert ist, kann es bei der eduroam Anmeldung zu Komplikationen kommen.
+Bei der manuellen Installation auf Windows 11 Geräten ist sicherzustellen, dass die korrekte Root CA ausgewählt wurde.  Im Falle von Problemen, die zeitlich verzögert nach der manuellen Installation der Profile auftreten können, steht folgender Lösungsansatz zur Verfügung:
+. Im unteren rechten Bereich des Bildschirms wird das WLAN-Menü durch einen Linksklick aktiviert.  Durch einen erneuten Linksklick wird anschließend “eduroam” ausgewählt. Ein Rechtsklick im “eduroam”-Feld öffnet ein Untermenü, in dem “Properties/Eigenschaften” ausgewählt wird, wie in der folgenden Abbildung dargestellt.
+{{:de:eduroam:screenshot_2025-11-07_134317.png?200|}}
+. Im eduroam Eigenschaftsfenster mit Linbksklick "Editiren/Edit" auswählen.
+{{:de:eduroam:screenshot_2025-11-07_134502.png?400|}}
+. Ein weiteres Fenster wird gestartet. Wieder mit Linksklick "Security/Sicherheit" auswählen.
+{{:de:eduroam:screenshot_2025-11-07_134616.png?200|}}
+. Im Menü "Security/Sicherheit" mit Linksklick "Settings/Einstellungen" auswählen.
+{{:de:eduroam:screenshot_2025-11-07_134716.png?200|}}
+. In einem weiteren Fenster wird bei "AAA Certificate Service" ein Häkchen gesetzt und anschließebd werden alle Fenster mit Linksklick auf "OK" geschlossen.
+{{:de:eduroam:screenshot_2025-11-07_134745.png?200|}}
 ==== Installation der eduroam Profile auf iOS <= 12 ====
@@ Zeile 169: / Zeile 201: @@
 ==== Installation der eduroam Profile auf macOS ====
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ und Profile.
+Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ im Device Management.
 Alte Profile, die mit easyroam installiert wurden, müssen nicht vorher gelöscht werden.
-. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben.
+. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben und anschließend anmelden.
-{{:de:eduroam:screenshot_2021-08-06_at_08.25.12.png?400|}}
+{{:de:eduroam:screenshot_2025-10-24_at_16.29.23.png?400|}}
-. Nach erfolgreicher Anmeldung ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen.
+. Nach erfolgreicher Anmeldung "Apple" auswählen.
-{{:de:eduroam:screenshot_2021-08-06_at_08.56.24.png?400|}}
+{{:de:eduroam:screenshot_2025-10-24_at_16.31.35.png?400|}}
-. Mit dem "Klick" auf "Zugang generieren" erscheint im Vordergrund des Browser-Fensters die Download Box.
+. In der Eingabe - Box den Namen für das Profil festlegen.
-{{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}}
+{{:de:eduroam:screenshot_2025-10-24_at_16.35.48.png?400|}}
-. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen
+. Das heruntegeladene Profil öffnen
-{{:de:eduroam:screenshot_2021-08-06_at_07.58.10.png?400|}}
+{{:de:eduroam:screenshot_2025-10-24_at_16.40.50.png?400|}}
-und unten rechts Profiles auswählen.
+. Nach dem Öffnen des Profils die Info Box "würdigen" und mit "OK" bestätigen
-. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.
+{{:de:eduroam:screenshot_2025-10-24_at_16.45.14.png?200|}}
-{{:de:eduroam:screenshot_2021-08-06_at_07.57.00.png?400|}}
+. Nun die Systemeinstellungen starten und "Profile Downloaded" auswählen, s. weißen Pfeil in der Grafik und einfacher Klick mit dem Mauszeiger.
-Das heruntegeladene Profil anklicken und dann ein "Klick" auf Install/Installieren, es erscheint das nächste Menü.
+{{:de:eduroam:screenshot_2025-10-24_at_16.55.03.png?200|}} {{:de:eduroam:screenshot_2025-10-24_at_16.51.04.png?400|}}
-{{:de:eduroam:screenshot_2021-08-06_at_07.59.40.png?400|}}
+. Im Device Manager mit einem Doppel-Klick mit dem Mauszeiger, siehe Grafik weißer Pfeil, das noch nicht installierte Profil "eduroam" auswählen.
-. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der macOS-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt.
+{{:de:eduroam:screenshot_2025-10-24_at_17.08.11.png?400|}}
-<alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert>
+. In der Auswahl Box mit dem Titel „Are you sure you want to install this profile?“ „Install“ auswählen, anschließend dem „Device Management“ mit der Eingabe des Passworts (Anmelde-Passwort für die Kennung auf dem macOS-Gerät) erlauben, das Profil zu installieren. Die Eingabe des Passworts mit „OK“ bestätigen.
+{{:de:eduroam:screenshot_2025-10-24_at_17.13.44.png?400|}} {{:de:eduroam:screenshot_2025-10-24_at_17.15.05.png?200|}}
 ==== Installation der eduroam Profile auf watchOS ====
@@ Zeile 234: / Zeile 269: @@
-==== Installation der eduroam Profile auf ANDROID <= 9 ====
-Sicherstellen, dass eine Internetverbindung besteht, WLAN (nicht eduroam), LTE, etc.
-<alert>
-Wichtige Vorbereitungen:
-Sollte bereits ein eduroam Profile auf dem Gerät installiert sein, bitte löschen. Aus dem Google PlayStore die eduroamCAT App herunterladen. Bitte die eduroamCAT App nur dann herunterladen und dieser Anleitung folgen, wenn auf dem Gerät auch wirklich ein ANDROID < = 9 läuft.
-</alert>
-. WEB-Browser, z.B. Chrome und [[https://www.easyroam.de]] eingeben. Im WAYF (Where Are You From) den eigenen DFN-AAI IdP auswählen.
-{{:de:eduroam:screenshot_20210806-095025.png?200|}}
-. Am DFN-AAI IdP anmelden und nach erfolgreicher Anmeldung auf "Manuelle Optionen" klicken. EAP-Config (Kreis links EAP-Config klicken) und in der Eingabe-Box Name (Klick auf Eingabebox),einen Namen auswählen, z.B. MyAndroid und auf "Zugang generieren".
-{{:de:eduroam:screenshot_20210806-105422.png?200|}}
-. Nun muss man leider ein wenig Geduld beweisen und versuchen auf "Zugang generieren" zu klicken. Die Darstellung ist auf dem SmartPhone alles andere als freundlich für die eduroam Nutzenden. Es ist eben ein WORKAROUND. Vielleicht geht es im Querformat besser oder verkleinern bzw. vergrößern. Schafft man es auf "Zugang generieren" erfolgreich zu klicken, wird die EAP-Config heruntergeladen.
-<alert> Achtung bitte nicht gleich auf "Öffnen klicken". </alert>
-{{:de:eduroam:screenshot_20210806-105542.png?200|}}
-. Bitte Browser schließen und [[https://cat.eduroam.org/eduroamCAT-stable.apk|eduroamCAT App]] starten. Wenn die wichtigen Vorbereitungen durchgeführt worden sind, wird in der eduroamCAT App der Reiter Profile ausgewählt.
-{{:de:eduroam:screenshot_20210806-112424.png?200|}}
-. Nun ins Menü oben rechts auf die drei untereinander stehenden Punkte klicken.
-{{:de:eduroam:screenshot_20210806-113002.png?200|}}
-. "Konfigurationsdatei auswählen" auswählen und anschließend im Suchfeld oben eap eingeben.
-{{:de:eduroam:screenshot_20210806-103718.png?200|}}
-. Das heruntergeladene Profil (s. Datum) auswählen. Bevor das Profil gelesen wird, muss das Passwort für den Zugriff auf den  geheimen Zertifikatsschlüssel eingegeben werden. Das Passwort lautet: pkcs12 .
-{{:de:eduroam:screenshot_20210806-103554.png?200|}}
-. Auf "ok" klicken und dann (s. Abbildung) auf Installieren klicken.
-{{:de:eduroam:screenshot_20210806-103638.png?200|}}
-. Leider nochmal auf Installieren klicken.
-{{:de:eduroam:screenshot_20210806-103718.png?200|}}
-. Dieses Mal nicht auf installieren klicken denn dort steht doch **Profil installiert**, ist aber egal.
-{{:de:eduroam:screenshot_20210806-120325.png?200|}}
-<alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert>
 ==== Installation der eduroam Profile auf ANDROID, wenn alle Stricke reißen ====
@@ Zeile 319: / Zeile 302: @@
 Online-Zertifikatstatus: Zertifikatstatus anfordern
 Domain: easyroam.eduroam.de
-Nutzerzertifikat auswählen: Dateinamen, den man oben beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code>
+Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code>
-<alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm seiner Einrichtung.
+<alert>ACHTUNG: Die hier aufgeführten Beispiele sind als Illustration gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden! \\ \\ Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung.
-Beispiel: Wenn vorher der Realm anonymous@dfn.de eingegeben wurde muss nun vor dem @dfn.de ein easyroam-pca stehen mit Angabe der Seriennummer des Pseudozertifikats, also 12345678910@easyroam-pca.dfn.de. Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats.
+Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder vor uni-greifswald.de ein easyroam-pca stehen, mit Angabe der Seriennummer des Pseudozertifikats, z.B. 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. **Die Seriennummer und der Realm, also 12345678910@easyroam-pca.dfn.de und 12345678910@easyroam-pca.uni-greifswald.de sind in der Anleitung hier nur Beispiele, bitte nicht übernehmen!!!**
-Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich.
+Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich.
 Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen.
 Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert>
@@ Zeile 334: / Zeile 317: @@
 ==== Installation der easyroam Profile auf Linux Geräten ====
+=== Extrahieren der erforderlichen Zertifikate aus der easyroam PKCS12 Datei ===
 Die Nutzung von easyroam ist selbstverständlich auch auf Linux Derivaten möglich. Leider gibt es keine allgemein gültige Anleitung. Im folgenden wird beschrieben wie die einzelnen Komponenten, die bei einer manuellen Konfiguration von easyroam auf Linux Geräten benötigt werden, aus dem easyroam Portal gewonnen werden können:
@@ Zeile 345: / Zeile 328: @@
 . Den Profil Namen angeben und auf Zugang generieren klicken.<alert>Bitte beachten! Der Name des Profils ist nicht der Name der PKCS12 Datei. Der Name des Profils wird für die interne Verwaltung der easyroam Profile verwendet. Der Name der heruntergeladenen PKCS12 Datei wird gebildet aus dem Datum und der Uhrzeit der Erzeugung der PKCS12 Datei mit dem Suffix .p12.</alert>
-. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:
+. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{ :de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
-<alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert>
+<code>
-  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys | openssl x509 > easyroam_client_cert.pem</code>
+#!/bin/bash
-  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/'</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert>
+# This script extract all the necessary information from the easyroam PKCS12 File and put it under /etc/easyroam-certs
-  * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code>
-  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code>
-  * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert>
-. Es finden sich in der Tat Anleitungen im Netz, um EAP-TLS auf diversen Network Managern aus den angegebenen Komponenten zu konfigurieren. Exemplarisch wird anhand des CLI netctl auf Archlinux gezeigt wie EAP-TLS und damit easyroam/eduroam auf einem Linux Gerät konfiguriert werden kann. Folgendes wird vorausgesetzt:
+# Usage:   bash easyroam_extract.sh <YOUR-PKCS12-File>
+set -e
+# check if we are root
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_extract.sh." 1>&2
+    exit 100
+fi
+ConfDir="/etc/easyroam-certs"
+[ -d "$ConfDir" ] || mkdir -p "$ConfDir"
+# check input file
+if [ -z "$1" ]; then
+        echo ""
+        echo "Your pkcs12 file is missed as input parameter."
+        echo ""
+        exit 1
+else
+        InputFile="$1"
+fi
+# set openssl legacy options if necessary
+LegacyOption=
+OpenSSLversion=$(openssl version | awk '{print $2}' | sed -e 's/\..*$//')
+if [ "$OpenSSLversion" -eq "3" ]; then
+        LegacyOption="-legacy"
+fi
+# check pkcs12 file
+Pwd="pkcs12"
+if ! openssl pkcs12 -in "$InputFile" $LegacyOption -info -passin pass: -passout pass:"$Pwd" > /dev/null 2>&1; then
+        echo ""
+        echo "ERROR: The given input file does not seem to be a valid pkcs12 file."
+        echo ""
+        exit 1
+fi
+# extract key, cert, ca and identity
+openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem"
+openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem"
+openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1
+openssl x509 -noout -in "$ConfDir/easyroam_client_cert.pem" -subject | awk -F \, '{print $6}' | sed -e 's/.*=//' -e 's/\s*//' >  "$ConfDir/identity"
+echo "Done."
+</code>
+=== Verwendung der extrahierten easyroam Profile am Beispiel des Netzwerk Managers mit der Bezeichnung netctl ===
+ Folgendes wird vorausgesetzt:
+  * easyroam_extract.sh aufgerufen
   * netctl
   * wpa_supplicant
   * easyroam .p12 Pseudozertifikat
-Die in Schritt 5. generierten Dateien (easyroam_client_cert.pem, easyroam_client_key.pem, easyroam_root_ca.pem) unter /etc/netctl/cert ablegen und anschließend ein File mit dem Namen easyroam erzeugen, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'
+Die in Schritt 5. extrahierten Dateien die sich unter /etc/easyroam-certs befinden, werden anschließend in einem File mit dem Namen /etc/netctl/easyroam verwendet, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'
 Interface=wlan0
 Connection=wireless
@@ Zeile 367: / Zeile 402: @@
     'eap=TLS'
     'proto=WPA RSN'
-    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen, siehe oben. Auf keinen Fall die Pairwise-ID eingeben!!!!!
+    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # <---- Hier muss der CN (Common Name), also der Wert aus der Datei /etc/easyroam-certs/identity s. Beispiel links. Auf keinen Fall die Pairwise-ID eingeben!!!!!
-    'client_cert="/etc/netctl/cert/easyroam_client_cert.pem"'
+    'client_cert="/etc/easyroam-certs/easyroam_client_cert.pem"'
-    'private_key="/etc/netctl/cert/easyroam_client_key.pem"'
+    'private_key="/etc/easyroam-certs/easyroam_client_key.pem"'
     'altsubject_match="DNS:easyroam.eduroam.de"'
-    'private_key_passwd="FORYOUREYSEONLY"'
+    'private_key_passwd="pkcs12"'
-    'ca_cert="/etc/netctl/cert/easyroam_root_ca.pem"'
+    'ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem"'
-    'ca_cert2="/etc/netctl/cert/easyroam_root_ca.pem"'
+    'ca_cert2="/etc/easyroam-certs/easyroam_root_ca.pem"'
 ) </code>
 Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code>
+=== Verwendung der extrahierten easyroam Profile am Beispiel des Netzwerk Managers mit der Bezeichnung NetworkManager (nmcli) ===
+Nachdem die Schritte 1. bis 5. ausgeführt und die easyroam Zertifikate extrahiert wurden, wird folgendes Script aufgerufen, welches auf der Grundlage des {{ :de:eduroam:easyroam_nmcli.sh |Script}} der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
+<code>
+#!/bin/bash
+# Usage: bash   easyroam_nmcli.sh
+set -e
+# check if we are root
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_nmcli.sh." 1>&2
+    exit 100
+fi
+# check for easyroam-cert files
+[ -d /etc/easyroam-certs ] && ConfDir=/etc/easyroam-certs || { echo "Aborted, run easyroam_extract.sh first!"; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_client_cert.pem ] ||  { echo "Aborted, client_cert missing."; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_root_ca.pem ] ||  { echo "Aborted, root_ca missing."; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_client_key.pem ] ||  { echo "Aborted, client_key missing."; exit 1;  }
+[ -f /etc/easyroam-certs/identity ] && Identity=$(cat "$ConfDir/identity") ||  { echo "Aborted, identity missing"; exit 1;  }
+Pwd="pkcs12"
+# check for nmcli
+if ! type nmcli >/dev/null 2>&1; then
+        echo ""
+        echo "ERROR: nmcli not found!" >&2
+        echo "This wizard assumes that your network connections are NOT managed by NetworkManager." >&2
+        echo ""
+        exit 1
+fi
+# check for wifi device
+if ! nmcli -g TYPE,DEVICE device | grep wifi >/dev/null; then
+        echo ""
+        echo "ERROR: Unable to find any wifi device!" >&2
+        echo ""
+        exit 1
+fi
+# configure parameters
+WIntName=$(iw dev | awk '$1=="Interface"{print $2}')
+WOn="GENERAL.STATE:"
+WLANName="eduroam"
+ALT_SUBJECT="DNS:easyroam.eduroam.de"
+# TLS_1.3
+TLS_VERSION="0x100"
+# Remove existing connections
+nmcli connection show | \
+        awk '$1==c{ print $2 }' c="$WLANName" | \
+        xargs -rn1 nmcli connection delete uuid
+# switch wlan on
+nmcli dev show "$WIntName" | \
+      awk '$1==c{ print $2 }' c="$WOn" | \
+      xargs -rn1 nmcli radio wifi on
+# Create new connection
+nmcli connection add \
+        type wifi \
+        con-name "$WLANName" \
+        ssid "$WLANName" \
+        -- \
+        wifi-sec.key-mgmt wpa-eap \
+-1x.eap tls \
+-1x.altsubject-matches "$ALT_SUBJECT" \
+-1x.phase1-auth-flags "$TLS_VERSION" \
+-1x.identity "$Identity" \
+-1x.ca-cert "$ConfDir/easyroam_root_ca.pem" \
+-1x.client-cert "$ConfDir/easyroam_client_cert.pem" \
+-1x.private-key-password "$Pwd" \
+-1x.private-key "$ConfDir/easyroam_client_key.pem"
+ </code>
+<alert>Im File /etc/NetworkManager/NetworkManager.conf kann mit \\
+\\
+[device]\\
+wifi.scan-rand-mac-address=yes \\
+\\
+die Randomisierung der MAC-Adresse konfiguriert werden.</alert>
 ==== Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only) ====
@@ Zeile 386: / Zeile 519: @@
 Ethernetverbindung auf das Gerät gebracht.</alert>
-Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:
-<alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert>
+Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{:de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
-  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -nokeys | openssl x509 > easyroam_client_cert.pem</code>
+<code>
-  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/' > CN </code>
+#!/bin/bash
-  * Private Key:<alert>Bitte beachten, da der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12  -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code>
+# This script extract all the necessary information from the easyroam PKCS12 File and put it under /etc/easyroam-certs
-  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code>
-  * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -nodes</code>
+# Usage:   bash easyroam_extract.sh <YOUR-PKCS12-File>
-  * Anlegen eines Verzeichnis für die easyroam Zertifikatsumgebung:<code>sudo mkdir /etc/easyroam-certs
+set -e
-sudo mv easyroam_client_cert.pem CN easyroam_client_key.pem easyroam_root_ca.pem /etc/easyroam-certs/.
-    </code>
+# check if we are root
-  * Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_extract.sh." 1>&2
+    exit 100
+fi
+ConfDir="/etc/easyroam-certs"
+[ -d "$ConfDir" ] || mkdir -p "$ConfDir"
+# check input file
+if [ -z "$1" ]; then
+        echo ""
+        echo "Your pkcs12 file is missed as input parameter."
+        echo ""
+        exit 1
+else
+        InputFile="$1"
+fi
+# set openssl legacy options if necessary
+LegacyOption=
+OpenSSLversion=$(openssl version | awk '{print $2}' | sed -e 's/\..*$//')
+if [ "$OpenSSLversion" -eq "3" ]; then
+        LegacyOption="-legacy"
+fi
+# check pkcs12 file
+Pwd="pkcs12"
+if ! openssl pkcs12 -in "$InputFile" $LegacyOption -info -passin pass: -passout pass:"$Pwd" > /dev/null 2>&1; then
+        echo ""
+        echo "ERROR: The given input file does not seem to be a valid pkcs12 file."
+        echo ""
+        exit 1
+fi
+# extract key, cert, ca and identity
+openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem"
+openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem"
+openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1
+openssl x509 -noout -in "$ConfDir/easyroam_client_cert.pem" -subject | awk -F \, '{print $6}' | sed -e 's/.*=//' -e 's/\s*//' >  "$ConfDir/identity"
+echo "Done."
+</code>
+Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
 update_config=1
 country=DE
@@ Zeile 408: / Zeile 590: @@
    pairwise=CCMP
    group=CCMP
-   identity="12345678910111213abcd@easyroam-pca.dfn.de"  # <---- Hier einfach die CN Datei mit einem Editor vim oder vi einlesen
+   identity="12345678910111213abcd@realm_der_einrichtung.tld"   # <---- Hier muss der CN (Common Name), also der Wert aus der Datei /etc/easyroam-certs/identity s. Beispiel links. Auf keinen Fall die Pairwise-ID eingeben!!!!!
+   altsubject_match="DNS:easyroam.eduroam.de"
    ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem"
    client_cert="/etc/easyroam-certs/easyroam_client_cert.pem"
    private_key="/etc/easyroam-certs/easyroam_client_key.pem"
-   private_key_passwd="secretphrase"
+   private_key_passwd="pkcs12"
 }</code>
 <code>sudo reboot</code>
 <alert>Tip: Mit Copy/Paste können die hier angegebenen Zeilen kopiert werden und ebenfalls über sftp auf das Gerät gebracht werden.</alert>
-==== Installation der easyroam app auf Linux Geräten (Network Manager) ====
+==== Installation der easyroam app auf Linux Desktop Geräten (x86) mit Network Manager ====
+<alert>Die easyroam app konfiguriert ausschließlich den eduroam Zugang für das Anmeldeverfahren EAP-TLS auf den Geräten. Die easyroam app führt weder die Anmeldung in eduroam aus noch ist sie verantwortlich für die Etablierung der Verbindung zum eduroam Netz. Die easyroam app versteht sich als Hilfswerkzeug (nicht zwingend erforderlich), um die Installation der Pseudozertifikate, welche das Betriebssystem nutzt, damit sich die Geräte in eduroam anmelden können.</alert>
 Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
@@ Zeile 422: / Zeile 606: @@
 . Wenn alte eduroam oder easyroam Konfigurationen vorhanden sind, diese bitte löschen.
-. Die easyroam app herunterladen: [[https://www.easyroam.de/debapp/easyroam.deb]] und über das GUI mit einem "Doppelklick" auf die .deb-Datei die app installieren. Für die Installation werden Root-Rechte benötigt.
+. Die easyroam app herunterladen: [[https://snapcraft.io/easyroam]] .
 . easyroam app starten. In der Regel wird ein Browser automatisch geöffnet. <alert>Die easyroam app bitte nicht mit Root-Rechten starten, Sie erhalten dann eine Fehlermeldung und die easroam app bricht die Ausführung ab!</alert>
@@ Zeile 439: / Zeile 623: @@
 <alert> Bitte beachten: Das GUI auf Linux Systemen zeigt leider nicht alle easyroam Konfigurationsdetails an, welche aus Gründen der Sicherheit konfiguriert werden mussten. Eine manuelle Änderung im Nachgang der Installation der easyroam Profile, "zerschießt" unweigerlich die easyroam Konfiguration auf dem Linux System.</alert>
-==== Erfahrungsberichte zur easyroam app auf ANDROID Geräten ====
+==== Erfahrungsberichte zur easyroam App auf diversen Geräten ====
+=== ANDROID-Geräte ===
+Ein paar Nutzende der easyroam App auf Android-Geräten, wie z. B. von Samsung oder Huawei, haben berichtet, dass ihre easyroam Profile nach einiger Zeit verschwinden, obwohl die Zertifikate noch gültig sind. Um die Profile wieder in die WLAN-Einstellungen des Geräts zu bekommen, muss die easyroam App geöffnet und das Profil über den Reinstallieren-Button erneut installiert werden.
+Das Löschen von Nutzerdaten ist normalerweise nicht üblich auf Android-Geräten. Es scheint, dass einige Distributoren Daten, die Nutzende über Apps auf ihre Geräte bringen, nicht als vertrauenswürdig betrachten.
+Unser Team hat festgestellt, dass es einen Zusammenhang zwischen dem Löschen der Profile und der Zeit gibt. Wenn Nutzer länger als eine Woche nicht mit dem eduroam WLAN verbunden sind, wird das Profil aus der Konfiguration entfernt. \\
+=== iOS-Geräte ===
+Bei der Übertragung von Daten von einem älteren auf ein neueres iOS-Gerät kam es zu sogenannten „Zombie-Einträgen“ in den WLAN-Einstellungen. Infolgedessen trat die Fehlermeldung „Verbindung mit eduroam fehlgeschlagen“ in der easyroam App auf. Eine Reinstallation oder Neuinstallation der Profile war nicht möglich. Es liegt offensichtlich ein Betriebssystemfehler vor.
+Tritt dieses Problem auf, ist zunächst eine manuelle Installation des easyroam Profils über die mobileConfig-Datei durchzuführen. Anschließend wird das manuell installierte Profil wieder gelöscht. Durch das Entfernen des manuell installierten Profils wird der „Zombie-Eintrag“ entfernt. Danach funktioniert auch die easyroam App wieder und das alte Profil mit dem noch gültigen Zertifikat kann erneut installiert werden.
-Bisher liegen uns keine Erfahrungsberichte vor.
+Grundsätzlich müssen auf iOS-Geräten, auf denen manuell easyroam Profile über die mobileConfig-Datei installiert werden, diese wieder entfernt werden, damit die easyroam App korrekt funktionieren kann. Es ist dokumentiert, dass manuelle Konfigurationen Vorrang vor den durch Apps installierten Daten auf iOS-Geräten haben.
 <alert>  Support Address: ([[easyroam@dfn.de|easyroam@dfn.de]]) </alert>