Android – nastavení eduroam

Základní informace

Návod je určen pro Android verze 4.0 a novější. Verze 1.x a 2.x nejsou podporovány a nemusí fungovat (nekompatibilita kryptografických algoritmů).

Uživatelsky přívětivé nastavení podporované operačním systémem není bezpečné, neboť chybí kontrola autentizačního serveru (jeho jméno a certifikační autorita). V Androidu 4.3 a novějším pro nastavení použijte konfigurační aplikaci eduroamCAT.

Konfigurace pomocí aplikace eduroamCAT

  1. Je nutné mít nastaven zámek obrazovky – jinak aplikace nemůže stáhnout a nastavit certifikát.
  2. Aplikaci eduroamCAT získáte z Google Play.
  3. Při spuštění aplikace musíte být připojení k Internetu. V aplikaci zvolíte domovskou organizaci – Vysoká škola ekonomická v Praze (University of Economics, Prague). Aplikace si stáhne konfiguraci pro uživatele z VŠE z cat.eduroam.org včetně certifikátu.
  4. Poté v aplikaci zadáte uživatelské jméno(nezapomeňte na @vse.cz) a heslo do eduroam. Vytvoří se bezpečný profil pro připojení do eduroam či přepíše existující profil. Je vhodné být v dosahu sítě eduroam.

Uživatelské rozhraní aplikace je strašné, ale přístup k eduroam Vám zabezpečí. Android sám o sobě neumožňuje bezpečné nastavení připojení (nelze zadat jméno autentizačního serveru).
Po nastavení eduroam a ověření funkčnosti můžete aplikaci eduroamCAT odinstalovat.

Nastavení zámku obrazovky

Android podporuje více způsobů zamykání obrazovky. Pro instalaci certifikátu potřebujete vyšší úroveň zabezpečení:

  • přejetí prstem – nepostačuje,
  • gesto (znak) – pravděpodobně nestačí,
  • PIN – postačuje
  • heslo – postačuje,
  • otisk prstu – od verze 5.1, u některých výrobců i 5.0, postačuje,
  • náramek/hodinky/prsten – externí zařízení propojené přes bluetooth, nevíme,
  • obličej uživatele – nevíme,

První připojení bez zabezpečení

První připojení do eduroam je uživatelsky jednoduché. Bohužel chybí nastavení kontroly ceritifikátu a jména autentizačního serveru. Po připojení si buď stáhněte aplikaci eduroamCAT či si nainstalujte certifikát a dokončete konfiguraci ručně. Pro nezabezpečené připojení nemusí být zámek obrazovky, pro další zabezpečení již ano.

  1. V menu najděte položku Nastavení a klepněte na ni. Dále pokračujte klepnutím na položku Wi-Fi.
  2. Zobrazí se Vám seznam dostupných Wi-Fi sítí. Najděte síť eduroam a klepněte na ni.
  3. Zobrazí se Vám nastavení sítě, které vyplníte dle přiloženého obrázku (MetodaEAP:  PEAP, Ověření Phase 2: MSCHAPV2, Certifikát CA nevyplňovat, Anonymní identita: nevyplňovat, Identita: uživatelské_jméno@vse.cz, Heslo: heslo do eduroam). Pokračujte klepnutím na Připojit.
  4. Pokud jste vše vyplnili správně, zobrazí se Vám opět seznam dostupných sítí, kde u sítě eduroam bude zobrazen text Připojeno. Nyní můžete nastavení zavřít, Vaše zařízení je připojeno k síti eduroam.

Instalace certifikátu

Je nutné mít nastaven zámek obrazovky – jinak nelze nastavit certifikát.

Ve výchozím prohlížeči Vašeho zařízení stáhněte certifikát DigiCert Assured ID Root CA. Při instalaci certifikátu se zobrazí dotaz na název certifikátu, doplňte smysluplný název. Na případný dotaz na použití certifikátu zvolte Wi-Fi:

Pro instalaci certifikátu můžete zkusit i jiné cesty – poslat si ho mailem, nakopírovat z počítače, … Certifikát si můžete stáhnout i přímo ze stránek firmy DigiCert (formát DER, koncovka souboru .crt).

Úprava konfigurace eduroam

Ručně lze jen nastavit jen certifikační autoritu, nelze zadat jméno autentizačního serveru. Úpravu můžete provést i bez připojení k síti eduroam.

  1. V menu najděte položku Nastavení a klepněte na ni. Dále pokračujte položkou Wi-Fi. Měl by se Vám zobrazit seznam dostupných a známých sítí. Dlouze klepněte na eduroam, až se Vám zobrazí menu s volbou pro úpravu konfigurace:
  2. Najděte parametr Certifikát CA a z nabídky vyberte jméno zadané při instalaci certifikátu:
  3. Volitelně může zadat anonymní identitu: anonymous@vse.cz