====== Instalace certifikátů ======

Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]] nebo [[https://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]]. \\

Dále budete pro IPsec potřebovat certifikáty certifikačních autorit.

===== Certifikáty pro RADIUS =====

==== eduroam CA 2 ====

Je třeba naimportovat certifikát ve formátu ''.P12''

<WRAP prewrap><code>$ certutil -f -importpfx "My" "Cesta_k_souboru\radius.p12"</code></WRAP>


==== TCS ====

Je třeba naimportovat certifikát ve formátu ''.P12''. \\
\\
Konverze z ''.CER''/''.CRT'' do ''.P12''.

<WRAP prewrap><code>$ certutil -mergepfx certifikat.crt certifikat.p12</code></WRAP>
<WRAP center round important 60%>
Ve složce, kde máte uložený ''certifikat.crt'' nebo ''certifikat.cer'' musí být uložen i klíč se stejným názvem a formátem ''.KEY''. V tomto případě ''certifikat.key''.
</WRAP>

Poté můžeme naimportovat certifikát ve formátu ''.P12''

<WRAP prewrap><code>$ certutil -f -importpfx "My" "Cesta_k_souboru\certifikat.p12"</code></WRAP>

\\
-----
\\

===== Certifikáty CA =====

==== eduroam CA 2 ====

Konverze z ''.PEM'' do ''.DER''

<WRAP prewrap><code>$ certutil -decode certifikat.pem certifikat.der</code></WRAP>

Poté můžeme naimportovat certifikát ve formátu ''.DER''

<WRAP prewrap><code>$ certutil -addstore -f "Root" "Cesta_k_souboru\eduroamCA2.der"</code></WRAP>

[[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]]

==== CESNET Root ====

<WRAP prewrap><code>$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_Root.crt"</code></WRAP>

[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_root|CESNET Root]]

==== CESNET CA 4 ====

  * používá národní RADIUS

<WRAP prewrap><code>$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_4.crt"</code></WRAP>

[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]]


==== CESNET CA 3 ====

  * používal národní RADIUS do 11/2019

<WRAP prewrap><code>$ certutil -addstore -f "Root" "Cesta_k_souboru\CESNET_CA_3.crt"</code></WRAP>

[[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_3|CESNET CA3]]


\\

===== Úložistě certifikátů =====

==== Zobrazení osobních certifikátů ====

<WRAP prewrap><code>$ certutil -store "My"</code></WRAP>

==== Zobrazení certifikátů certifikačních autorit ====

<WRAP prewrap><code>$ certutil -store "Root"</code></WRAP>

==== Smazání certifikátu ====

<WRAP prewrap><code>$ certutil -delstore "Úložiště" "CNname"</code></WRAP>

Pro úložiště používáme ''My'' nebo ''Root''.

\\

-----

Zpět na [[cs:spravce:pripojovani:radius:nps]]