====== Instalace certifikátů ======

Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server. \\

Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.

===== Certifikáty pro RADIUS =====

{{page>[:cs:spravce: pripojovani: frag_certifikat]}}

==== Certifikát od eduroam CA 2 ====

Je třeba naimportovat certifikát ve formátu ''.P12''

<code powershell >
certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"
</code>


\\
-----
\\

===== Certifikáty CA =====

==== eduroam CA 2 ====

Naše autorita vydávající certifikáty pro RadSec/IPsec. [[https://crt.cesnet-ca.cz/eduroam_CA_2.crt|Zde ke stažení ve formátu DER]]

Import certifikátu CA:

<code powershell>
certutil -addstore -f "Root" "Cesta_k_souboru\eduroam_CA_2.crt"
</code>

[[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]]

==== eduPKI CA  ====

Globální autorita vydávající certifikáty nejen pro eduroam. Shánějí se obtížně. Národní RADIUS používá certifikáty od této autority. [[https://www.edupki.org/fileadmin/Documents/edupki-root-ca-cert.crt|Zde ke stažení ve formátu DER]]

Import certifikátu CA:

<code powershell >
certutil -addstore -f "Root" "Cesta_k_souboru\edupki-root-ca-cert.crt"
</code>

\\

===== Úložistě certifikátů =====

==== Zobrazení osobních certifikátů ====

<code powershell >
certutil -store "My"
</code>

==== Zobrazení certifikátů certifikačních autorit ====

<code powershell >
certutil -store "Root"
</code>

==== Smazání certifikátu ====

<code powershell >
certutil -delstore "Úložiště" "CNname"
</code>

Pro úložiště používáme ''My'' nebo ''Root''.

Jako alternativu k ''certutil'' můžete využít snap-in modulu konzoly MMC pro správu certifikátů systému ''certlm.msc''.

\\

==== Problémy s přidáváním certifikátu ====

Pokud narazíte na problém během přidávání certifikátu ''.p12'' pro váš RADIUS, např. během instalace certifikátu při zadávání **prázdného hesla** pro certifikát, tak si můžete vytvořit nový vlastní soubor ''.p12'':

Musíte být ve složce, kde máte uložené soubory ''radius.crt'' a ''radius.key'' (musí se takto jmenovat), pak pomocí příkazu:

<code powershell >
certutil -sid 22 -mergepfx .\radius.crt .\novy_cert_radius.p12
</code>

<code powershell >
-sid WELL_KNOWN_SID_TYPE -- Numeric SID
22 -- Local System
23 -- Network Service
24 -- Local Service
</code>
-----

Zpět na [[cs:spravce:pripojovani:radius:nps]]