نحوه نصب و ساختن csr در روتر برد میکروتیک mikrotik- گواهینامه SSL

نحوه نصب و ساختن csr در روتر برد میکروتیک mikrotik- گواهینامه SSL

روتر برد نسخه 6 میکروتیک بشما اجازه ساخت ذخیره و مدیریت گواهینامه SSL را در قسمت ذخیره گواهینامه ها می دهد . در زیر توضیحاتی برای نصب ارائه می نماییم

نحوه ساختن یک تمپلیت برای گواهینامه ssl

/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name=client1-template common-name=client1
add name=client2-template common-name=client2

نحوه امضا کردن گواهینامه ssl و اضافه کردن URl برای CRL . ما از IP سرور بعنوان URl برای CRL استفاده می کنیم

/certificate 
sign ca-template ca-crl-host=10.5.101.16 name=myCa
sign server-template ca=myCa name=server
sign client1-template ca=myCa name=client1
sign client2-template ca=myCa name=client2

اگر گواهینامه دارای فلگ T نباشد اول باید آنرا Trusted کنید

/certificate
set myCa trusted=yes
set server trusted=yes

indwex

همچنین می بایست 'گواهینامه ssl کاربران را خروجی بگیرید بهمراه کلید اختصاصی و CAگواهینامه .

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx
/certificate export-certificate client2 export-passphrase=xxxxxxxx

حالا این فایل خروجی گرفته شده می توانید بروی ماشین وارد شود اگر همه چیز درست کار کند خروجی بصورت زیر خواهد بود

[admin@pe0] /certificate> print 
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, 
A - authority, I - issued, R - revoked, E - expired, T - trusted 
 #         NAME               COMMON-NAME               FINGERPRINT              
 0 K L A T myCa               myCa                      7fa636e6576495fe78f1a4...
 1 K   I T server             server                    cf0650a291bf4685f2fbd3...
 2 K   I   client1            client1                   26233de30e89b203b946ab...
 3 K   I   client2            client2                   cf172b62201befaf8d8966...

موارد بالا برای توضیحات کلی بود برای اینکه گواهینامه ssl را نصب کنید از شیوه وارد کردن یا Import می توانید استفاده کنید برای این مورد از دستور /certificate استفاده کنید بصورت زیر

[admin@test_host] /certificate> import file-name=server.crt
passphrase: 
     certificates-imported: 1
     private-keys-imported: 0
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0
[admin@test_host] /certificate> import file-name=server.key 
passphrase: 
     certificates-imported: 0
     private-keys-imported: 1
            files-imported: 1
       decryption-failures: 0
  keys-with-no-certificate: 0

در دو دستور بالا در اولین خط فایل گواهینامه ssl وارد شده و در خط بعدی نیز کلید اختصاصی وارد شده است

اگر همه چیز بدرستی وارد شده باشد گواهینامه با فلگ KR نمایش داده می شود

[admin@test_host] /certificate> print 
Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa 
 0 KR name="cert1" subject=C=LV,ST=RI,L=Riga,O=MT,CN=server,emailAddress=xxx@mt.lv 
      issuer=C=LV,ST=RI,L=Riga,O=MT,CN=MT CA,emailAddress=xxx@mt.lv serial-number="01"
      email=xxx@mt.lv invalid-before=jun/25/2008 07:24:33 
      invalid-after=jun/23/2018 07:24:33 ca=yes 

اگر می خواهید برای کاربران از گواهینامه ssl برای کاربران در SSTP و OVPN استفاده کنید می بایست CA باندل نیز اضافه شود

منبع :https://sarvssl.com/%d9%86%d8%ad%d9%88%d9%87-%d9%86%d8%b5%d8%a8-%d9%88-%d8%b3%d8%a7%d8%ae%d8%aa%d9%86-csr-%d8%af%d8%b1-%d8%b1%d9%88%d8%aa%d8%b1-%d8%a8%d8%b1%d8%af-%d9%85%db%8c%da%a9%d8%b1%d9%88%d8%aa%db%8c%da%a9-mikrotik/