====== Instalace certifikátů ======
Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]] nebo [[https://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]]. \\
Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.
===== Certifikáty pro RADIUS =====
==== eduroam CA 2 ====
Je třeba naimportovat certifikát ve formátu ''.P12''
$ certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"
==== TCS ====
Je třeba naimportovat certifikát ve formátu ''.P12''. \\
\\
Konverze z ''.CER''/''.CRT'' do ''.P12''.
$ certutil -mergepfx certifikat.crt certifikat.p12
Ve složce, kde máte uložený ''certifikat.crt'' nebo ''certifikat.cer'' musí být uložen i klíč se stejným názvem a formátem ''.KEY''. V tomto případě ''certifikat.key''.
Poté můžeme naimportovat certifikát ve formátu ''.P12''
$ certutil -f -importpfx "My" "Cesta_k_souboru\certifikat.p12"
\\
-----
\\
===== Certifikáty CA =====
==== eduroam CA 2 ====
Konverze z ''.PEM'' do ''.DER''
$ certutil -decode certifikat.pem certifikat.der
Poté můžeme naimportovat certifikát ve formátu ''.DER''
$ certutil -addstore -f "Root" "Cesta_k_souboru\eduroamCA2.der"
[[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]]
==== CESNET Root ====
$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_Root.crt"
[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_root|CESNET Root]]
==== CESNET CA 4 ====
* používá národní RADIUS
$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_4.crt"
[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]]
==== CESNET CA 3 ====
* používal národní RADIUS do 11/2019
$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_3.crt"
[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_3|CESNET CA3]]
\\
===== Úložistě certifikátů =====
==== Zobrazení osobních certifikátů ====
$ certutil -store "My"
==== Zobrazení certifikátů certifikačních autorit ====
$ certutil -store "Root"
==== Smazání certifikátu ====
$ certutil -delstore "Úložiště" "CNname"
Pro úložiště používáme ''My'' nebo ''Root''.
\\
-----
Zpět na [[cs:spravce:pripojovani:radius:nps]]