概述:
企業互聯在使用ONPN和SSTP這一類的協議的話,一般需要使用證書,來加強隧道的安全。
以前在5.x版本需要自己使用open ssl來去生成。只從6.X之後,Router OS組件逐漸完善,已經可以自簽證書。
本章就是專門寫如何生成證書的。
1.從Router OS 升級到6.4X.X版本後,已經可以完全圖形化去生成證書,並且並優化了證書註冊流程。所以請務必升級您的路由器系統,獲得更好安全支持和使用體驗。
2.在Router OS裏面,使用的SCEP,中文名是簡單證書註冊協議。英文名是Simple Certificate Enrollment protocol。但是本文還是使用傳統的方式去簽名證書。
生成證書時候有兩種方式:
標準:使用分級方式,類似於我們的根證書+中間證書+客戶端證書。可以單獨吊銷客戶端證書。
快捷:只生成一個加密用的證書,吊銷的話,就會全部吊銷。
本教程方式使用標準方式實現。
生成證書:
打開winbox,打開HQ的路由器管理界面,
點擊System>Certificates
1.生成根證書
點擊+號,創建一個新證書申請,填寫以下信息,完成後點擊OK。
切換到key usage,只保留以下兩項:
2.生成中間證書
添加一個新證書,名稱server(用途是做認證連接用)
在key usage裏面,勾選這兩項
3.生成客戶端證書
再添加一個證書,名爲Client
在key usage裏面勾選這一項:
最終我們得到以下三個證書:
簽名證書:
1.簽名根證書,並且這是crl-host服務器
選中CA證書,右鍵,選擇sign,對證書實施簽名。
輸入crl地址,然後直接點擊start,開始生成證書。
根據加密位數,需要的時間不等,完成後如下。
完成後會多這四個選項
2.簽名中間證書,並且根證書位CA
右鍵Server證書,選中sign,配置如下圖,然後直接點擊start
雙擊Server證書,將Server證書設置爲信任
此時證書顯示爲KIT
3.簽名Client證書
這個證書比較簡單,右鍵sign一下就好,不需要做什麼設定。
完成後三個證書如下:
導出證書
證書導出是爲了其他的客戶端(如路由器,電腦,移動設備)能夠使用證書對數據進行加密。
Router OS導出證書現在也很簡單。
我們需要導出兩個文件,一個是CA,一個是Client
CA不需要密碼,Client需要設置密碼。
1.導出CA
右鍵需要導出的CA證書,選中Export
直接點擊導出即可
2.Client需要設置密碼
同樣右鍵導出,輸入密碼 然後導出即可
注意:證書有兩種,一種是PEM,一種是PCKS12
PEM用戶路由器訪問,PCKS12用於蘋果和windows電腦設備。
下載證書
證書下載
導出的證書一般存放在路由器的存儲裏面。
點擊Files,就可以看到證書了。
裏面有三個文件,一個是CA證書,一個Client證書和KEY。
我們需要將這三個文件拖放到桌面或者右鍵選擇Download即可。
最終下載結果:
下一節我們開始在分支公司的ROS路由導入證書。並且使用ONPN撥號連進來。