概述

证书管理器用于:

  • 收集路由器内部的所有证书;
  • 管理和创建自签名证书;
  • 控制和设置电源相关配置;

从RouterOS versl雷竞技ion 6开始,证书的有效性使用本地时区偏移量显示。在以前的版本中,它是UTF。

一般的菜单

/证书


常规菜单主要用于证书管理、添加模板、颁发证书和管理SCEP客户端。

证书模板

执行Certificate issue或Certificate request命令后,会立即删除证书模板:

/certificate add name=CA-Template common-name=CAtemp key-usage=key-cert-sign,crl-sign add name=Server common-name= Server add name=Client common-name= Client

让我们打印证书:

[admin@4k11] /certificate> print detail标志:K -私钥;L - crl;C -智能卡-钥匙;A—权威;I -签发,R -撤销;E -过期;T - trusted 0 name="CA-Template" key-type=rsa common-name="CAtemp" key-size=2048 subject-alt-name=" days-valid=365 key-usage=key-cert- name="Server" key-size=2048 subject-alt-name=" days-valid=365 key-usage=digital-signature,key- encryption,data- encryption,key-cert-sign,crl-sign,tls-server,tls-client 2 name="Client" key-type=rsa common-name=" Client" key-size=2048 subject-alt-name=" days-valid=365键使用=数字签名、key-encipherment data-encipherment、key-cert-sign crl-sign, tls-server tls-client

如果CA证书被删除,那么链中所有已颁发的证书也会被删除。

签名证书

证书需要签名。下面以对证书进行签名,并添加服务器证书的CRL URL为例:

/证书签名ca-模板签名客户端签名服务器ca-crl-host=192.168.88.1 name=ServerCA

让我们检查一下证书是否签名:

[admin@雷竞技网站MikroTik] /certificate> print Flags: K - private-key;L - crl;A—权威;T - trusted列:NAME, COMMON- NAME, FINGERPRINT # NAME COMMON FINGERPRINT 0 K AT CA-Template CAtemp 0c7aaa7607a4dde1bbf33deaae6be7bac9fe4064ba47d64e8a73dcefad6cfc38 1 K AT Client客户端b3ff25ecb166ea41e15733a7493003f3ea66310c10390c33e98fe32364c3659f 2 KLAT ServerCA服务器152b88c9d81f4b765a59e2302e01efd1f11ceeed6e59f4974e87787a5bb980

密钥签名过程的时间取决于特定证书的密钥大小。如果值为4k或更高,则在功能较弱的基于cpu的设备上签名此特定证书可能需要花费大量时间。

出口证书

可以导出带有密钥和CA证书的客户端证书:

/certificate export-certificate CA-Template export-certificate ServerCA export-passphrase=yourpassphrase export-certificate Client export-passphrase=yourpassphrase

导出的证书可在/文件部分:

[admin@雷竞技网站MikroTik] > file print Columns: NAME, TYPE, SIZE, CREATION-TIME # NAME TYPE SIZE CREATION-TIME 0 skins目录jan/19/2019 00:00:04 1 flash目录jan/19/2019 01:00:00 2 flash/rw目录jan/19/2019 01:00:00 3 flash/rw/磁盘目录jan/19/2019 01:00:00 4 pub目录jan/19/2019 02:42:16 5 cert_export_CA-Template. conf . confcrt .crt文件1119 jan/19/2019 04:15:21 6 cert_export_ServerCA. crtcrt .crt文件1229 jan/19/2019 04:15:42 7 cert_export_ServerCA. crtkey .key file 1858 jan/19/2019 04:15:42 8 cert_export_Client. keycrt .crt文件1164 jan/19/2019 04:15:55 9 cert_export_Client. crtKey .key文件1858 jan/19/2019 04:15:55

让我们加密证书

看我们的关于该功能的视频

l雷竞技RouterOS v7支持“www-ssl”服务的Let's Encrypt (letsencrypt)证书支持。使用“enable-ssl-certificate”命令启用自动证书更新的加密证书服务:

/certificate enable-ssl-certificate dns-name=my.domain.com

注意,DNS名称必须指向路由器,端口TCP/80必须从WAN可用。如果不指定dns-name,则默认为自动生成的dns-nameip云名称(即。http://example.sn.mynetname.net


SCEP使用HTTP协议和base64编码的GET请求。大多数请求没有身份验证和加密,但是,如果有必要,可以对重要的请求进行保护(使用接收到的公钥进行加密或签名)。

RouterOS中的SCEP客l雷竞技户端将:

  • 从CA服务器或RA(如果使用)获取CA证书;
  • 用户应该比较CA证书的指纹,或者它是否来自正确的服务器;
  • 生成带有临时密钥的自签名证书;
  • 向服务器发送证书请求;
  • 如果服务器响应状态x,则客户端继续请求,直到服务器发送错误或批准。

SCEP服务器只支持颁发一个证书。l雷竞技RouterOS还支持renew和next-ca选项:

  • renew——使用同一个CA自动更新旧证书的可能性。
  • next-ca -将当前CA证书更改为新CA证书的可能性。

客户端轮询服务器是否有任何更改,如果服务器通告下一个CA可用,则客户端可以请求下一个CA,或者等到CA几乎到期后再请求下一个CA。

如果服务l雷竞技器发布了这些信息,则RouterOS客户端默认会尝试使用POST、AES和SHA256。如果不支持上述算法,则客户端将尝试使用3DES、DES和SHA1、MD5。

SCEP证书在超过有效期的四分之三后续期。