高防服务器

配置自签名证书-RouterOS中级教程06


配置自签名证书-RouterOS中级教程06

发布时间:2020-07-17 03:06:07 来源:网络 阅读:594 作者:sporenet 栏目:安全技术

概述:

企业互联在使用ONPN和SSTP这一类的协议的话,一般需要使用证书,来加强隧道的安全。

以前在5.x版本需要自己使用open ssl来去生成。只从6.X之后,Router OS组件逐渐完善,已经可以自签证书。

本章就是专门写如何生成证书的。

1.从Router OS 升级到6.4X.X版本后,已经可以完全图形化去生成证书,并且并优化了证书注册流程。所以请务必升级您的路由器系统,获得更好安全支持和使用体验。

2.在Router OS里面,使用的SCEP,中文名是简单证书注册协议。英文名是Simple Certificate Enrollment protocol。但是本文还是使用传统的方式去签名证书。

生成证书时候有两种方式:

标准:使用分级方式,类似于我们的根证书+中间证书+客户端证书。可以单独吊销客户端证书。

快捷:只生成一个加密用的证书,吊销的话,就会全部吊销。

本教程方式使用标准方式实现。

生成证书:

打开winbox,打开HQ的路由器管理界面,

点击System>Certificates

1.生成根证书

点击+号,创建一个新证书申请,填写以下信息,完成后点击OK。

切换到key usage,只保留以下两项:

2.生成中间证书

添加一个新证书,名称server(用途是做认证连接用)

在key usage里面,勾选这两项

3.生成客户端证书

再添加一个证书,名为Client

在key usage里面勾选这一项:

最终我们得到以下三个证书:

签名证书:

1.签名根证书,并且这是crl-host服务器

选中CA证书,右键,选择sign,对证书实施签名。

输入crl地址,然后直接点击start,开始生成证书。

根据加密位数,需要的时间不等,完成后如下。

完成后会多这四个选项

2.签名中间证书,并且根证书位CA

右键Server证书,选中sign,配置如下图,然后直接点击start

双击Server证书,将Server证书设置为信任

此时证书显示为KIT

3.签名Client证书

这个证书比较简单,右键sign一下就好,不需要做什么设定。

完成后三个证书如下:

导出证书

证书导出是为了其他的客户端(如路由器,电脑,移动设备)能够使用证书对数据进行加密。

Router OS导出证书现在也很简单。

我们需要导出两个文件,一个是CA,一个是Client

CA不需要密码,Client需要设置密码。

1.导出CA

右键需要导出的CA证书,选中Export

直接点击导出即可

2.Client需要设置密码

同样右键导出,输入密码 然后导出即可

注意:证书有两种,一种是PEM,一种是PCKS12

PEM用户路由器访问,PCKS12用于苹果和windows电脑设备。

下载证书

证书下载

导出的证书一般存放在路由器的存储里面。

点击Files,就可以看到证书了。

里面有三个文件,一个是CA证书,一个Client证书和KEY。

我们需要将这三个文件拖放到桌面或者右键选择Download即可。

最终下载结果:

下一节我们开始在分支公司的ROS路由导入证书。并且使用ONPN拨号连进来。

[微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

[图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
[