概述:
企业互联在使用ONPN和SSTP这一类的协议的话,一般需要使用证书,来加强隧道的安全。
以前在5.x版本需要自己使用open ssl来去生成。只从6.X之后,Router OS组件逐渐完善,已经可以自签证书。
本章就是专门写如何生成证书的。
1.从Router OS 升级到6.4X.X版本后,已经可以完全图形化去生成证书,并且并优化了证书注册流程。所以请务必升级您的路由器系统,获得更好安全支持和使用体验。
2.在Router OS里面,使用的SCEP,中文名是简单证书注册协议。英文名是Simple Certificate Enrollment protocol。但是本文还是使用传统的方式去签名证书。
生成证书时候有两种方式:
标准:使用分级方式,类似于我们的根证书+中间证书+客户端证书。可以单独吊销客户端证书。
快捷:只生成一个加密用的证书,吊销的话,就会全部吊销。
本教程方式使用标准方式实现。
生成证书:
打开winbox,打开HQ的路由器管理界面,
点击System>Certificates
点击+号,创建一个新证书申请,填写以下信息,完成后点击OK。
切换到key usage,只保留以下两项:
添加一个新证书,名称server(用途是做认证连接用)
在key usage里面,勾选这两项
再添加一个证书,名为Client
在key usage里面勾选这一项:
最终我们得到以下三个证书:
签名证书:
1.签名根证书,并且这是crl-host服务器
选中CA证书,右键,选择sign,对证书实施签名。
输入crl地址,然后直接点击start,开始生成证书。
根据加密位数,需要的时间不等,完成后如下。
完成后会多这四个选项
2.签名中间证书,并且根证书位CA
右键Server证书,选中sign,配置如下图,然后直接点击start
双击Server证书,将Server证书设置为信任
此时证书显示为KIT
3.签名Client证书
这个证书比较简单,右键sign一下就好,不需要做什么设定。
完成后三个证书如下:
导出证书
证书导出是为了其他的客户端(如路由器,电脑,移动设备)能够使用证书对数据进行加密。
Router OS导出证书现在也很简单。
我们需要导出两个文件,一个是CA,一个是Client
CA不需要密码,Client需要设置密码。
1.导出CA
右键需要导出的CA证书,选中Export
直接点击导出即可
2.Client需要设置密码
同样右键导出,输入密码 然后导出即可
注意:证书有两种,一种是PEM,一种是PCKS12
PEM用户路由器访问,PCKS12用于苹果和windows电脑设备。
下载证书
证书下载
导出的证书一般存放在路由器的存储里面。
点击Files,就可以看到证书了。
里面有三个文件,一个是CA证书,一个Client证书和KEY。
我们需要将这三个文件拖放到桌面或者右键选择Download即可。
最终下载结果:
下一节我们开始在分支公司的ROS路由导入证书。并且使用ONPN拨号连进来。
原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/219616.html