概述
证书管理器用于:
- 收集路由器内的所有证书;
- 管理和创建自签名证书;
- 控制和设置权杖相关配置;
从RouterOS版本6开始l雷竞技,证书的有效性使用本地时区偏移显示。在以前的版本中,它是UTF。
一般的菜单
/证书
通用菜单包括证书管理、模板添加、证书颁发和SCEP客户端管理。
证书模板
执行证书颁发或证书请求命令后,会立即删除证书模板。
/certificate add name=CA-Template common-name=CAtemp key-usage=key-cert-sign,crl-sign add name=服务器common-name=服务器add name=客户端common-name=客户端
让我们打印证书:
[admin@4k11] /certificate> print detail K - private-key;L - crl;C -智能卡钥匙;A -权威;I -发布,R -撤销;E -过期的;T - trusted 0 name="CA-Template" key-type= "CAtemp" key-size=2048 subject-alt-name="" days-valid=365 key- name="Server" common-name=" Server" key-size=2048 subject-alt-name=" Server" days-valid=365 key-usage=digital-signature,key- encryption,data- encryption,key-cert-sign,crl-sign,tls-server,tls-client 2 name="Client" key-type=rsa common-name=" Client" key-size=2048 subject-alt-name="" days-valid=365键使用=数字签名、key-encipherment data-encipherment、key-cert-sign crl-sign, tls-server tls-client
如果CA证书被删除,则链中所有已颁发的证书也将被删除。
签名证书
证书需要签名。在下例中,我们将对证书进行签名,并为服务器证书添加CRL URL:
/certificate sign CA-Template sign客户端签名Server ca-crl-host=192.168.88.1 name=ServerCA
让我们检查一下证书是否已签名:
[admin@雷竞技网站MikroTik] /certificate> print Flags: K - private-key;L - crl;A -权威;T - trusted Columns: NAME, COMMON- NAME, FINGERPRINT # NAME COMMON FINGERPRINT 0 K AT CA-Template CAtemp 0c7aaa7607a4dde1bbf33deaae6be7bac9fe4064ba47d64e8a73dcefad6cfc38 1 K AT Client Client b3ff25ecb166ea41e15733a7493003f3ea66310c10390c33e98fe32364c3659f 2 KLAT ServerCA server 152b88c9d81f4b765a59e2302e01efd1fbf11ceeed6e4974e87787a5bb980
密钥签名过程的时间取决于特定证书的密钥大小。对于4k或更高的值,在功能较弱的基于cpu的设备上签署这个特定的证书可能需要相当长的时间。
出口证书
可以导出带有密钥和CA证书的客户端证书:
/certificate export-certificate CA-Template export-certificate ServerCA export-passphrase=yourpassphrase export-certificate Client export-passphrase=yourpassphrase . /
导出的证书可在/文件部分:
[admin@雷竞技网站MikroTik] >文件打印列:NAME, TYPE, SIZE, create - time # NAME TYPE SIZE create - time 0 skins目录jan/19/2019 00:00:04 1 flash目录jan/19/2019 01:00:00 2 flash/rw目录jan/19/2019 01:00:00 3 flash/rw/磁盘目录jan/19/2019 01:00:00 4 pub目录jan/19/2019 02:42:16 5 cert_export_CA-Template. 0crt .crt文件1119 jan/19/2019 04:15:21 6 cert_export_ServerCA. crt .crt文件1119 jan/19/2019 04:15:21crt .crt文件1229 jan/19/2019 04:15:42 7 cert_export_ServerCA. crt .crt .crt文件1229 jan/19/2019 04:15:42key .key文件1858 jan/19/2019 04:15:42 8 cert_export_Client. key .key文件crt .crt文件1164 jan/19/2019 04:15:55 9 cert_export_Client. crt .crt文件1164 jan/19/2019密钥。密钥文件1858 jan/19/2019 04:15:55
让我们加密证书
看我们的关于这个功能的视频.
l雷竞技RouterOS v7对“www-ssl”服务提供Let's Encrypt (letsencrypt)证书支持。使用'enable-ssl-certificate'命令启用Let's Encrypt证书服务,并自动更新证书。
. /certificate enable-ssl-certificate dns-name=my.domain.com
注意,DNS名称必须指向路由器,端口TCP/80必须从WAN可用。如果不指定dns-name,则默认为自动生成的dns-nameip云名称(即。http://example.sn.mynetname.net)
连
SCEP使用HTTP协议和base64编码的GET请求。大多数请求没有身份验证和密码,但是,如果需要,可以保护重要的请求(使用接收的公钥进行加密或签名)。
RouterOS中的SCEP客l雷竞技户端将:
- 从CA服务器或RA获取CA证书(如果使用);
- 用户应比较CA证书的指纹,或是否来自正确的服务器;
- 生成带有临时密钥的自签名证书;
- 向服务器发送证书请求;
- 如果服务器响应状态x,则客户端继续请求,直到服务器发送错误或批准。
SCEP服务器只支持颁发一个证书。l雷竞技RouterOS还支持renew和next-ca选项:
- renew—使用相同的CA自动更新旧证书的可能性。
- next-ca—可能将当前CA证书更改为新的CA证书。
客户端轮询服务器是否有任何更改,如果服务器通告下一个CA可用,那么客户端可能会请求下一个CA,或者等到CA快过期时再请求下一个CA。
默认情况l雷竞技下,RouterOS客户端将尝试使用POST、AES和SHA256,如果服务器通告了这些。如果不支持上述算法,则客户端将尝试使用3DES、DES和SHA1、MD5。
当SCEP证书的有效时间超过3/4时,需要进行更新。
概述
内容的工具