Před konfigurací IPsec musíte získat certifikát pro váš server.
Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.
Je třeba naimportovat certifikát ve formátu .P12
certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"
Naše autorita vydávající certifikáty pro RadSec/IPsec. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\eduroam_CA_2.crt"
Globální autorita vydávající certifikáty nejen pro eduroam. Shánějí se obtížně. Národní RADIUS používá certifikáty od této autority. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\edupki-root-ca-cert.crt"
certutil -store "My"
certutil -store "Root"
certutil -delstore "Úložiště" "CNname"
Pro úložiště používáme My nebo Root.
Jako alternativu k certutil můžete využít snap-in modulu konzoly MMC pro správu certifikátů systému certlm.msc.
Pokud narazíte na problém během přidávání certifikátu .p12 pro váš RADIUS, např. během instalace certifikátu při zadávání prázdného hesla pro certifikát, tak si můžete vytvořit nový vlastní soubor .p12:
Musíte být ve složce, kde máte uložené soubory radius.crt a radius.key (musí se takto jmenovat), pak pomocí příkazu:
certutil -sid 22 -mergepfx .\radius.crt .\novy_cert_radius.p12
-sid WELL_KNOWN_SID_TYPE -- Numeric SID 22 -- Local System 23 -- Network Service 24 -- Local Service