RouterOS的webfig頁面通常都是基於http協議的,用戶通過webfig進行登錄的時候,登錄密碼在網絡上明文傳輸,存在這被竊聽的風險。爲了解決上述問題可以改用https協議承載webfig服務,但https協議需要ssl證書,因此需要先生成ssl證書。
生成ssl證書的過程:
1. 創建跟證書密鑰文件:root.key,這一步需要輸入密碼
openssl genrsa -des3 -out root.key
2. 創建根證書的申請文件:root.csr
openssl req -new -key root.key -out root.csr
3. 創建根證書:root.crt
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
其中-days選項爲根證書有效期
4. 創建服務器證書密鑰:server.key
openssl genrsa -out server.key 2048
去除key文件的口令:openssl rsa -in server.key -out server.key
5. 創建服務器證書申請文件:server.csr
openssl req -new -key server.key -out server.csr
6. 創建服務證書:server.crt
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
注意,-days爲證書有效期
至此,證書創建完畢,可以將server.key與server.crt上傳之RouterOS,然後在system-->certificates-->certificates-->import中導入上述兩個文件。
最後,在ip-->services中配置www-ssl服務,選擇server.crt作爲證書即可。