Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- private:zakaznici:kop:zakaznici:skola_planina:infrastruktura [2025/06/02 10:25] – [WIFI - ověření přes NPS] snemec
+++ private:zakaznici:kop:zakaznici:skola_planina:infrastruktura [2025/06/02 14:49] (aktuální) – [WIFI - ověření přes NPS] snemec
@@ Řádek 1: / Řádek 1: @@
+====== Škola  ======
+Na Planině 1393, Praha 4
+**Dokuwiki:** http://192.168.0.23/dokuwiki/\\
+===== Síť =====
+==== Lan škola ====
+**Net:** 192.168.0.0/24\\
+**Router:** 192.168.0.254:28291\\
+Server
+**Host:** 192.168.0.3\\
+**AD:** 192.168.0.4\\
+==== Lan technologie ====
+Kamery, WIFI
+**Net:** 192.168.77.0/24\\
+**CapsMan2:** 192.168.77.10\\
+===== WIFI - ověření přes NPS =====
+Kontrola obnovy certifikátu: **provedena 02.06.2025** - cerfikát s platností do **18.7.2025**\\
+Lze zkontrolovat v uložišti certifikátů pro počítač
+{{:private:zakaznici:kop:zakaznici:skola_planina:pasted:20250602-122454.png}}
+  * NPS a IIS server nainstalovaný na AD serveru\\
+  * Certifikát bajt.planina.cz přes LE pomocí programu win-acme\\
+  * V defaultním nastavení se generuje certifikát pro IIS server, v rámci počítače je tento certifikát uložen ve správci certifikátů pro lokální počítač ve složce ''Web Hosting -> Certificates''\\
+  * Certifikát je potřeba ze složky ''Web Hosting -> Certificates'' překopírovat do složky ''Personal -> Certificates'', to zajišťuje skript ''C:\Data\Scripts\copyCert.cmd'', který se spouští každý den v 21:50. Skript ve složce ''Personal -> Certificates'' smaže všechny certifikáty a nakopíruje tam aktuální certifikát ze složky ''Personal -> Certificates''
+  * Kontrola obnovy certifikátu je nastavena v Task Scheduler na 9.00 každý den.\\
+  * V souboru ''"C:\Program Files\win-acme\settings.json"'' je nastavena lhůta pro obovu(''"RenewalDays": 40'') na 40dnů
+  * Ve složce ''C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org'' se ukládají logy a vydané certifikáty
+  * Aby fungovala obnova certifikátů, musí být dostupná site http://bajt.planina.cz z internetu - na firewallu(Mikrotik) je NAT pravidlo, toto pravidlo je defaultně vypnuté, ale zapíná se pomocí Scheduleru každý den v 8:59 a vypíná se v 9:02
+{{:private:zakaznici:kop:zakaznici:skola_planina:pasted:20250602-164946.png}}
+<code lang=bat copyCert.cmd>
+%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe C:\Data\Scripts\copyCert.ps1
+</code>
+<code  lang=powershell copyCert.ps1>
+# Název certifikátu pro kopírování
+$certificateSubject = "CN=bajt.planina.cz"  # Nahraďte konkrétním názvem nebo substringem předmětu certifikátu
+# Načtení certifikátů z úložiště "Web Hosting"
+$webHostingStore = New-Object System.Security.Cryptography.X509Certificates.X509Store "WebHosting", "LocalMachine"
+$webHostingStore.Open("ReadOnly")
+# Vyhledání všech certifikátů odpovídajících zadanému CN a výběr nejnovějšího podle data expirace
+$certificates = $webHostingStore.Certificates | Where-Object { $_.Subject -like "*$certificateSubject*" }
+$latestCertificate = $certificates | Sort-Object NotAfter -Descending | Select-Object -First 1
+if ($latestCertificate -eq $null) {
+    Write-Host "Certifikát nebyl nalezen v úložišti 'Web Hosting'" -ForegroundColor Red
+    $webHostingStore.Close()
+    return
+}
+Write-Host "Nejnovější certifikát nalezen: $($latestCertificate.Subject) s datem expirace $($latestCertificate.NotAfter)" -ForegroundColor Green
+# Otevření cílového úložiště "Personal"
+$personalStore = New-Object System.Security.Cryptography.X509Certificates.X509Store "My", "LocalMachine"
+$personalStore.Open("ReadWrite")
+# Odstranění starších certifikátů s kratší dobou expirace (tj. všech, které nejsou totožné s nejnovějším)
+$existingCertificates = $personalStore.Certificates | Where-Object { $_.Subject -like "*$certificateSubject*" }
+foreach ($cert in $existingCertificates) {
+    if ($cert.Thumbprint -ne $latestCertificate.Thumbprint) {
+        try {
+            $personalStore.Remove($cert)
+            Write-Host "Odstraněn starší certifikát: $($cert.Subject) s datem expirace $($cert.NotAfter)" -ForegroundColor Yellow
+        } catch {
+            Write-Host "Chyba při odstraňování certifikátu: $($cert.Subject). $_" -ForegroundColor Red
+        }
+    }
+}
+# Přidání nejnovějšího certifikátu do úložiště "Personal", pokud tam ještě není
+$exists = $personalStore.Certificates | Where-Object { $_.Thumbprint -eq $latestCertificate.Thumbprint }
+if (-not $exists) {
+    try {
+        $personalStore.Add($latestCertificate)
+        Write-Host "Certifikát byl úspěšně zkopírován do úložiště 'Personal'" -ForegroundColor Green
+    } catch {
+        Write-Host "Došlo k chybě při kopírování certifikátu: $_" -ForegroundColor Red
+    }
+} else {
+    Write-Host "Certifikát již existuje v úložišti 'Personal'" -ForegroundColor Cyan
+}
+# Zavření úložišť
+$personalStore.Close()
+$webHostingStore.Close()
+</code>
+Na firewallu povolen přístup z sítě 77 na 192.168.0.4(AD kontroler).
+**Omezit jen na přístup mezi Capsman2 a AD**
+Při testování v Kralupech se mi občas stalo, že se nechtěl připojit NB s W10 na WiFi, pomohl restart NB. Možná by stačilo vypnout a zapnout WIFI modul na NB.\\