cs:spravce:pripojovani:radius:nps:certificates

Instalace certifikátů

Před konfigurací IPsec musíte získat certifikát pro váš server.

Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.

Certifikáty pro RADIUS

Nová generace národního RADIUSu uznává pro RadSec/IPsec spojení pouze certifikáty vydané autoritami eduroam CA 2 a eduPKI CA G 01!

Certifikáty od TCS a eduroam CA neobsahují požadované OID politiky, proto v nové generaci národního RADIUSu nejsou podporovány.

Servery nové generace národního RADIUSu používají certifikáty od eduPKI CA G 01, proto je třeba jí důvěřovat.

Certifikát od eduroam CA 2

Je třeba naimportovat certifikát ve formátu .P12

certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"




Certifikáty CA

eduroam CA 2

Naše autorita vydávající certifikáty pro RadSec/IPsec. Zde ke stažení ve formátu DER

Import certifikátu CA:

certutil -addstore -f "Root" "Cesta_k_souboru\eduroam_CA_2.crt"

eduroam CA 2

eduPKI CA

Globální autorita vydávající certifikáty nejen pro eduroam. Shánějí se obtížně. Národní RADIUS používá certifikáty od této autority. Zde ke stažení ve formátu DER

Import certifikátu CA:

certutil -addstore -f "Root" "Cesta_k_souboru\edupki-root-ca-cert.crt"


Úložistě certifikátů

Zobrazení osobních certifikátů

certutil -store "My"

Zobrazení certifikátů certifikačních autorit

certutil -store "Root"

Smazání certifikátu

certutil -delstore "Úložiště" "CNname"

Pro úložiště používáme My nebo Root.

Jako alternativu k certutil můžete využít snap-in modulu konzoly MMC pro správu certifikátů systému certlm.msc.


Problémy s přidáváním certifikátu

Pokud narazíte na problém během přidávání certifikátu .p12 pro váš RADIUS, např. během instalace certifikátu při zadávání prázdného hesla pro certifikát, tak si můžete vytvořit nový vlastní soubor .p12:

Musíte být ve složce, kde máte uložené soubory radius.crt a radius.key (musí se takto jmenovat), pak pomocí příkazu:

certutil -sid 22 -mergepfx .\radius.crt .\novy_cert_radius.p12
-sid WELL_KNOWN_SID_TYPE -- Numeric SID
22 -- Local System
23 -- Network Service
24 -- Local Service

Zpět na Microsoft Network Policy Server pro eduroam

Poslední úprava:: 2024/10/08 18:28