software:mikrotik:mikrotik-generate-certificate

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

software:mikrotik:mikrotik-generate-certificate [2020/11/08 21:34] – создано - внешнее изменение 127.0.0.1software:mikrotik:mikrotik-generate-certificate [2024/08/08 20:33] (текущий) fireball
Строка 13: Строка 13:
  
 ===== Создание сертификатов ===== ===== Создание сертификатов =====
 +
 +Прежде чем начать любые работы с сертификатами стоит убедиться что на Mikrotik'е настроен клиент NTP, в противном случае при достаточном расхождении часов шифрование работать не будет.
 +
 +Настройка описана здесь: [[software:mikrotik:mikrotik-ntp-client|Mikrotik: настройка времени]]
  
 ==== Создание корневого сертификата (CA - Certification Authority) ==== ==== Создание корневого сертификата (CA - Certification Authority) ====
Строка 27: Строка 31:
       * Organization: MyCompany (наименование компании)       * Organization: MyCompany (наименование компании)
       * Unit: IT (подразделение)       * Unit: IT (подразделение)
-      * Common Name: Необходимо указать белый IP или полное доменное имя +      * Common Name: Необходимо указать белый IP или полное доменное имя (например 100.100.100.100) 
-      * Subject Alt.Name: Желательно указать DNS-имя и/или белый IP. Можно указывать сразу несколько опций+      * Subject Alt.Name: Желательно указать DNS-имя и/или белый IP (например 100.100.100.100). Можно указывать сразу несколько опций.
       * Key Size: 2048 (или 4096 если вы параноик)       * Key Size: 2048 (или 4096 если вы параноик)
       * Days Valid: 3650 (10 лет или дефолтные 365 на 1 год)       * Days Valid: 3650 (10 лет или дефолтные 365 на 1 год)
Строка 38: Строка 42:
     * Certificate: Выбираем свой сертификат (если он выбран)     * Certificate: Выбираем свой сертификат (если он выбран)
     * CA: ничего не указываем (т.к. у нас его еще нет)     * CA: ничего не указываем (т.к. у нас его еще нет)
-    * CA CRL Host: (Желательно, но не обязательно) Указываем белый IP или FQDN имя роутера для списка отозванных сертификатов)+    * CA CRL Host: (Желательно, но не обязательно) Указываем белый IP или FQDN имя роутера для списка отозванных сертификатов, например 100.100.100.100
     * Нажимаем Start     * Нажимаем Start
     * Ждем окончания процесса подписания, закрываем все окна     * Ждем окончания процесса подписания, закрываем все окна
Строка 72: Строка 76:
   * Проверяем галку "Trust", закрываем все окна   * Проверяем галку "Trust", закрываем все окна
   * В результате этих действий должен появиться сертификат с нашим именем и он должен иметь флаги KIT   * В результате этих действий должен появиться сертификат с нашим именем и он должен иметь флаги KIT
 +
 +==== То же самое командами ====
 +
 +В консоле:
 +<code>
 +/certificate
 +add name=CA common-name=100.100.100.100 country=RU state=24 locality=Krasnoyarsk organization=Company days-valid=3650 key-usage=key-cert-sign,crl-sign
 +add name=server common-name=server country=RU state=24 locality=Krasnoyarsk organization=Company days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
 +sign CA ca-crl-host=100.100.100.100 name=CA
 +sign server ca=CA name=server
 +</code>
  
 ==== Создание сертификата клиента ==== ==== Создание сертификата клиента ====
  • software/mikrotik/mikrotik-generate-certificate.1604860451.txt.gz
  • Последнее изменение: 2020/11/08 21:34
  • 127.0.0.1