DokuWiki

Uživatelské nástroje

Nástroje pro tento web

Historie:
private:zakaznici:kop:zakaznici:skola_planina:infrastruktura

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
private:zakaznici:kop:zakaznici:skola_planina:infrastruktura [2025/02/25 09:42] – [WIFI - ověření přes NPS] snemecprivate:zakaznici:kop:zakaznici:skola_planina:infrastruktura [2025/06/02 14:49] (aktuální) – [WIFI - ověření přes NPS] snemec
Řádek 1: Řádek 1:
 +====== Škola  ======
 +
 +Na Planině 1393, Praha 4
 +
 +**Dokuwiki:** http://192.168.0.23/dokuwiki/\\
 +
 +===== Síť =====
 +
 +==== Lan škola ====
 +
 +**Net:** 192.168.0.0/24\\
 +**Router:** 192.168.0.254:28291\\
 +
 +Server
 +
 +**Host:** 192.168.0.3\\
 +**AD:** 192.168.0.4\\
 +==== Lan technologie ====
 +
 +Kamery, WIFI
 +
 +**Net:** 192.168.77.0/24\\
 +**CapsMan2:** 192.168.77.10\\
 +
 +
 +===== WIFI - ověření přes NPS =====
 +
 +Kontrola obnovy certifikátu: **provedena 02.06.2025** - cerfikát s platností do **18.7.2025**\\
 +Lze zkontrolovat v uložišti certifikátů pro počítač
 +{{:private:zakaznici:kop:zakaznici:skola_planina:pasted:20250602-122454.png}}
 +
 +
 +
 +  * NPS a IIS server nainstalovaný na AD serveru\\
 +  * Certifikát bajt.planina.cz přes LE pomocí programu win-acme\\
 +  * V defaultním nastavení se generuje certifikát pro IIS server, v rámci počítače je tento certifikát uložen ve správci certifikátů pro lokální počítač ve složce ''Web Hosting -> Certificates''\\
 +  * Certifikát je potřeba ze složky ''Web Hosting -> Certificates'' překopírovat do složky ''Personal -> Certificates'', to zajišťuje skript ''C:\Data\Scripts\copyCert.cmd'', který se spouští každý den v 21:50. Skript ve složce ''Personal -> Certificates'' smaže všechny certifikáty a nakopíruje tam aktuální certifikát ze složky ''Personal -> Certificates''
 +  * Kontrola obnovy certifikátu je nastavena v Task Scheduler na 9.00 každý den.\\
 +  * V souboru ''"C:\Program Files\win-acme\settings.json"'' je nastavena lhůta pro obovu(''"RenewalDays": 40'') na 40dnů
 +  * Ve složce ''C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org'' se ukládají logy a vydané certifikáty
 +  * Aby fungovala obnova certifikátů, musí být dostupná site http://bajt.planina.cz z internetu - na firewallu(Mikrotik) je NAT pravidlo, toto pravidlo je defaultně vypnuté, ale zapíná se pomocí Scheduleru každý den v 8:59 a vypíná se v 9:02
 +
 +{{:private:zakaznici:kop:zakaznici:skola_planina:pasted:20250602-164946.png}}
 +
 +<code lang=bat copyCert.cmd>
 +%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe C:\Data\Scripts\copyCert.ps1
 +</code>
 +
 +<code  lang=powershell copyCert.ps1>
 +# Název certifikátu pro kopírování 
 +$certificateSubject = "CN=bajt.planina.cz"  # Nahraďte konkrétním názvem nebo substringem předmětu certifikátu
 +
 +# Načtení certifikátů z úložiště "Web Hosting"
 +$webHostingStore = New-Object System.Security.Cryptography.X509Certificates.X509Store "WebHosting", "LocalMachine"
 +$webHostingStore.Open("ReadOnly")
 +
 +# Vyhledání všech certifikátů odpovídajících zadanému CN a výběr nejnovějšího podle data expirace
 +$certificates = $webHostingStore.Certificates | Where-Object { $_.Subject -like "*$certificateSubject*" }
 +$latestCertificate = $certificates | Sort-Object NotAfter -Descending | Select-Object -First 1
 +
 +if ($latestCertificate -eq $null) {
 +    Write-Host "Certifikát nebyl nalezen v úložišti 'Web Hosting'" -ForegroundColor Red
 +    $webHostingStore.Close()
 +    return
 +}
 +
 +Write-Host "Nejnovější certifikát nalezen: $($latestCertificate.Subject) s datem expirace $($latestCertificate.NotAfter)" -ForegroundColor Green
 +
 +# Otevření cílového úložiště "Personal"
 +$personalStore = New-Object System.Security.Cryptography.X509Certificates.X509Store "My", "LocalMachine"
 +$personalStore.Open("ReadWrite")
 +
 +# Odstranění starších certifikátů s kratší dobou expirace (tj. všech, které nejsou totožné s nejnovějším)
 +$existingCertificates = $personalStore.Certificates | Where-Object { $_.Subject -like "*$certificateSubject*" }
 +foreach ($cert in $existingCertificates) {
 +    if ($cert.Thumbprint -ne $latestCertificate.Thumbprint) {
 +        try {
 +            $personalStore.Remove($cert)
 +            Write-Host "Odstraněn starší certifikát: $($cert.Subject) s datem expirace $($cert.NotAfter)" -ForegroundColor Yellow
 +        } catch {
 +            Write-Host "Chyba při odstraňování certifikátu: $($cert.Subject). $_" -ForegroundColor Red
 +        }
 +    }
 +}
 +
 +# Přidání nejnovějšího certifikátu do úložiště "Personal", pokud tam ještě není
 +$exists = $personalStore.Certificates | Where-Object { $_.Thumbprint -eq $latestCertificate.Thumbprint }
 +if (-not $exists) {
 +    try {
 +        $personalStore.Add($latestCertificate)
 +        Write-Host "Certifikát byl úspěšně zkopírován do úložiště 'Personal'" -ForegroundColor Green
 +    } catch {
 +        Write-Host "Došlo k chybě při kopírování certifikátu: $_" -ForegroundColor Red
 +    }
 +} else {
 +    Write-Host "Certifikát již existuje v úložišti 'Personal'" -ForegroundColor Cyan
 +}
 +
 +# Zavření úložišť
 +$personalStore.Close()
 +$webHostingStore.Close()
 +</code>
 +
 +
 +Na firewallu povolen přístup z sítě 77 na 192.168.0.4(AD kontroler).
 +**Omezit jen na přístup mezi Capsman2 a AD**
 +
 +Při testování v Kralupech se mi občas stalo, že se nechtěl připojit NB s W10 na WiFi, pomohl restart NB. Možná by stačilo vypnout a zapnout WIFI modul na NB.\\
 +
 +
  
DokuWiki Appliance - Powered by TurnKey Linux