Сертификаты:Создание сертификатов средствами маршрутизатора

Материал из MikroTik WiKi rus
Перейти к: навигация, поиск

Введение

Описанное здесь решение проверялось для технологий: SSTP, OpenVPN и IPsec.

Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.

Настройка

Icon-warn.png

Предупреждение: Ввиду специфики работы RouterOS (актуально, как минимум для RouterOS 6.39.2).


Подготовить шаблоны сертификатов:

Icon-warn.png

Предупреждение: Если сертификаты будут использоваться для SSTP, то в качестве параметра “common-name” сертификата сервера обязательно должен быть указан либо его IP-адрес, либо привязанное к его адресу доменное имя. При этом подключение от Windows-клиента пройдет только от того, что указано в параметре “common-name”. Т. е. если в параметре указано доменное имя, а при подключении указывается адрес, то подключение не произойдет.


/certificate
add name=ca country=RU state="Moscow Region" locality=Moscow organization=N/A unit=N/A common-name=ca key-size=2048 days-valid=4000 key-usage=key-cert-sign,crl-sign
add name=server common-name=10.1.100.1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A
add name=client1 common-name=client1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A
add name=client2 common-name=client2 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A


В свойствах сертификатов server, client1 и client2 на вкладке “Key Usage” снять все галки:

Снятие всех опций на вкладке "Key Usage" в настройках сертификата на маршрутизаторе МикроТик


Подписать сертификат центра авторизации. Из контекстного меню сертификата "ca" выбрать "sign". В качестве опции "CA CRL Host" указать адрес VPN-сервера:

Подписание сертификата центра авторизации на маршрутизаторе МикроТик


Icon-warn.png

Предупреждение: В RouterOS до 6.37.4 сертификат центра авторизации надо подписывать только через графический интерфейс, т. к. только в этом случае, статус сертификата становился KAT. Если подписывать через консоль, то статус становился KLAT. В итоге вся последующая работа с сертификатами становилась нерабочей.


Или через консоль:
/certificate
sign name=ca ca-crl-host=10.1.100.1 number=ca



Подписать сертификаты сервера и клиентов:

/certificate
sign ca=ca server name=server ca-crl-host=10.1.100.1
sign ca=ca client1 name=client1 ca-crl-host=10.1.100.1
sign ca=ca client2 name=client2 ca-crl-host=10.1.100.1


Подписать можно так же и через графический интерфейс:

Подписание сертификатов сервера и клиентов на маршрутизаторе МикроТик

Проверка

Проверка заключается в проверке флагов сертификатов. Выдача должна выглядеть следующим образом: сертификат удостоверяющего центра должен иметь ключи: KLAT, остальные сертификаты: KI.

Icon-warn.png

Предупреждение: На скриншоте изображено KAT, но должно быть KLAT


Проверка флагов сертификатов на маршрутизаторе МикроТик

Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.