نحوه نصب و ساختن csr در روتر برد ميكروتيك mikrotik- گواهينامه SSL

نحوه نصب و ساختن csr در روتر برد ميكروتيك mikrotik- گواهينامه SSL

روتر برد نسخه 6 ميكروتيك بشما اجازه ساخت ذخيره و مديريت گواهينامه SSL را در قسمت ذخيره گواهينامه ها مي دهد . در زير توضيحاتي براي نصب ارائه مي نماييم

نحوه ساختن يك تمپليت براي گواهينامه ssl

/certificate
add name=ca-template common-name=myCa key-uغير مجاز مي باشدe=key-cert-sign,crl-sign
add name=server-template common-name=server
add name=client1-template common-name=client1
add name=client2-template common-name=client2

نحوه امضا كردن گواهينامه ssl و اضافه كردن URl براي CRL . ما از IP سرور بعنوان URl براي CRL استفاده مي كنيم

 

/certificate 
sign ca-template ca-crl-host=10.5.101.16 name=myCa
sign server-template ca=myCa name=server
sign client1-template ca=myCa name=client1
sign client2-template ca=myCa name=client2

اگر گواهينامه داراي فلگ T نباشد اول بايد آنرا Trusted كنيد

 

/certificate
set myCa trusted=yes
set server trusted=yes

indwex

همچنين مي بايست 'گواهينامه ssl كاربران را خروجي بگيريد بهمراه كليد اختصاصي و CAگواهينامه .

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx
/certificate export-certificate client2 export-passphrase=xxxxxxxx

حالا اين فايل خروجي گرفته شده مي توانيد بروي ماشين وارد شود اگر همه چيز درست كار كند خروجي بصورت زير خواهد بود

[admin@pe0] /certificate> print 
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, 
A - authority, I - issued, R - revoked, E - expired, T - trusted 
 #         NAME               COMMON-NAME               FINGERPRINT              
 0 K L A T myCa               myCa                      7fa636e6576495fe78f1a4...
 1 K   I T server             server                    cf0650a291bf4685f2fbd3...
 2 K   I   client1            client1                   26233de30e89b203b946ab...
 3 K   I   client2            client2                   cf172b62201befaf8d8966...

موارد بالا براي توضيحات كلي بود براي اينكه گواهينامه ssl را نصب كنيد از شيوه وارد كردن يا Import مي توانيد استفاده كنيد براي اين مورد از دستور /certificate استفاده كنيد بصورت زير

[admin@test_host] /certificate> import file-name=server.crt
passphrase: 
     certificates-imported: 1
     private-keys-imported: 0
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0
[admin@test_host] /certificate> import file-name=server.key 
passphrase: 
     certificates-imported: 0
     private-keys-imported: 1
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0

در دو دستور بالا در اولين خط فايل گواهينامه ssl وارد شده و در خط بعدي نيز كليد اختصاصي وارد شده است

اگر همه چيز بدرستي وارد شده باشد گواهينامه با فلگ KR نمايش داده مي شود

[admin@test_host] /certificate> print 
Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa 
 0 KR name="cert1" subject=C=LV,ST=RI,L=Riga,O=MT,CN=server,emailAddress=xxx@mt.lv 
      issuer=C=LV,ST=RI,L=Riga,O=MT,CN=MT CA,emailAddress=xxx@mt.lv serial-number="01"
      email=xxx@mt.lv invalid-before=jun/25/2008 07:24:33 
      invalid-after=jun/23/2018 07:24:33 ca=yes 

اگر مي خواهيد براي كاربران از گواهينامه ssl براي كاربران در SSTP و Oاين نام مجاز نمي باشد استفاده كنيد مي بايست CA باندل نيز اضافه شود

منبع :https://sarvssl.com/%d9%86%d8%ad%d9%88%d9%87-%d9%86%d8%b5%d8%a8-%d9%88-%d8%b3%d8%a7%d8%ae%d8%aa%d9%86-csr-%d8%af%d8%b1-%d8%b1%d9%88%d8%aa%d8%b1-%d8%a8%d8%b1%d8%af-%d9%85%db%8c%da%a9%d8%b1%d9%88%d8%aa%db%8c%da%a9-mikrotik/