Instalace certifikátů
Před konfigurací IPsec musíte získat certifikát pro váš server.
Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.
Certifikáty pro RADIUS
Certifikáty od TCS a eduroam CA neobsahují požadované OID politiky, proto v nové generaci národního RADIUSu nejsou podporovány.
Servery nové generace národního RADIUSu používají certifikáty od eduPKI CA G 01, proto je třeba jí důvěřovat.
Certifikát od eduroam CA 2
Je třeba naimportovat certifikát ve formátu .P12
certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"
Certifikáty CA
eduroam CA 2
Naše autorita vydávající certifikáty pro RadSec/IPsec. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\eduroam_CA_2.crt"
eduPKI CA
Globální autorita vydávající certifikáty nejen pro eduroam. Shánějí se obtížně. Národní RADIUS používá certifikáty od této autority. Zde ke stažení ve formátu DER
Import certifikátu CA:
certutil -addstore -f "Root" "Cesta_k_souboru\edupki-root-ca-cert.crt"
Úložistě certifikátů
Zobrazení osobních certifikátů
certutil -store "My"
Zobrazení certifikátů certifikačních autorit
certutil -store "Root"
Smazání certifikátu
certutil -delstore "Úložiště" "CNname"
Pro úložiště používáme My nebo Root.
Jako alternativu k certutil můžete využít snap-in modulu konzoly MMC pro správu certifikátů systému certlm.msc.
Problémy s přidáváním certifikátu
Pokud narazíte na problém během přidávání certifikátu .p12 pro váš RADIUS, např. během instalace certifikátu při zadávání prázdného hesla pro certifikát, tak si můžete vytvořit nový vlastní soubor .p12:
Musíte být ve složce, kde máte uložené soubory radius.crt a radius.key (musí se takto jmenovat), pak pomocí příkazu:
certutil -sid 22 -mergepfx .\radius.crt .\novy_cert_radius.p12
-sid WELL_KNOWN_SID_TYPE -- Numeric SID 22 -- Local System 23 -- Network Service 24 -- Local Service