Před konfigurací IPsec musíte získat certifikát pro váš server.
Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.
Je třeba naimportovat certifikát ve formátu .P12
certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"
Naše autorita vydávající certifikáty pro RadSec/IPsec. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\eduroam_CA_2.crt"
Globální autorita vydávající certifikáty nejen pro eduroam. Shánějí se obtížně. Národní RADIUS používá certifikáty od této autority. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\edupki-root-ca-cert.crt"
certutil -store "My"
certutil -store "Root"
certutil -delstore "Úložiště" "CNname"
Pro úložiště používáme My
nebo Root
.
Jako alternativu k certutil
můžete využít snap-in modulu konzoly MMC pro správu certifikátů systému certlm.msc
.
Pokud narazíte na problém během přidávání certifikátu .p12
pro váš RADIUS, např. během instalace certifikátu při zadávání prázdného hesla pro certifikát, tak si můžete vytvořit nový vlastní soubor .p12
:
Musíte být ve složce, kde máte uložené soubory radius.crt
a radius.key
(musí se takto jmenovat), pak pomocí příkazu:
certutil -sid 22 -mergepfx .\radius.crt .\novy_cert_radius.p12
-sid WELL_KNOWN_SID_TYPE -- Numeric SID 22 -- Local System 23 -- Network Service 24 -- Local Service
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz