Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:ipsec:windows2016s [2019/01/07 11:27] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 16:19] jan.tomasek@cesnet.cz CESNET CA 4 => CESNET Root verime koreni |
||
---|---|---|---|
Řádek 5: | Řádek 5: | ||
Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. | Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. | ||
- | Nainstalujte certifikáty CESNET Root a CESNET CA 3 a certifikát serveru podle [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/windows2003s#instalace_certifikatu|návodu pro Win 2003]]. | + | Nainstalujte certifikáty CESNET Root a CESNET CA 4 a certifikát serveru podle [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/windows2003s#instalace_certifikatu|návodu pro Win 2003]]. |
===== Konfigurace ===== | ===== Konfigurace ===== | ||
Řádek 11: | Řádek 11: | ||
Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů: | Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů: | ||
<WRAP prewrap><code> | <WRAP prewrap><code> | ||
- | C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 3 catype:Intermediate" | + | C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate" |
Ok. | Ok. | ||
Řádek 36: | Řádek 36: | ||
Auth1CertType: Root | Auth1CertType: Root | ||
Auth1HealthCert: No | Auth1HealthCert: No | ||
- | Auth1CAName: DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 3 | + | Auth1CAName: DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root |
Auth1CertMapping: No | Auth1CertMapping: No | ||
Auth1ExcludeCAName: No | Auth1ExcludeCAName: No | ||
Řádek 83: | Řádek 83: | ||
===== Ladění ===== | ===== Ladění ===== | ||
- | Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování:\\ | + | Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování: |
- | * ''Audit IPSec Extended Mode''\\ | + | * ''Audit IPSec Extended Mode'' |
- | * ''Audit IPSec Main Mode''\\ | + | * ''Audit IPSec Main Mode'' |
- | * ''Audit IPSec Quick Mode''\\ | + | * ''Audit IPSec Quick Mode'' |
viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}. | viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}. | ||