概述：

企業(yè)互聯(lián)在使用ONPN和SSTP這一類的協(xié)議的話，一般需要使用證書，來加強(qiáng)隧道的安全。

以前在5.x版本需要自己使用open ssl來去生成。只從6.X之后，Router OS組件逐漸完善，已經(jīng)可以自簽證書。

本章就是專門寫如何生成證書的。

1.從Router OS 升級(jí)到6.4X.X版本后，已經(jīng)可以完全圖形化去生成證書，并且并優(yōu)化了證書注冊(cè)流程。所以請(qǐng)務(wù)必升級(jí)您的路由器系統(tǒng)，獲得更好安全支持和使用體驗(yàn)。

2.在Router OS里面，已經(jīng)可以使用的SCEP，中文名是簡單證書注冊(cè)協(xié)議。英文名是Simple Certificate Enrollment protocol。但是本文還是使用傳統(tǒng)的方式去簽名證書。

生成證書時(shí)候有兩種方式：

標(biāo)準(zhǔn)：使用分級(jí)方式，類似于我們的根證書+中間證書+客戶端證書。可以單獨(dú)吊銷客戶端證書。

快捷：只生成一個(gè)加密用的證書，吊銷的話，就會(huì)全部吊銷。

本教程方式使用標(biāo)準(zhǔn)方式實(shí)現(xiàn)。

生成證書：

打開winbox，打開HQ的路由器管理界面,

點(diǎn)擊System>Certificates

1.生成根證書

點(diǎn)擊+號(hào)，創(chuàng)建一個(gè)新證書申請(qǐng)，填寫以下信息，完成后點(diǎn)擊OK。

切換到key usage，只保留以下兩項(xiàng)：

2.生成中間證書

添加一個(gè)新證書，名稱server（用途是做認(rèn)證連接用）

在key usage里面，勾選這兩項(xiàng)

3.生成客戶端證書

再添加一個(gè)證書，名為Client

在key usage里面勾選這一項(xiàng)：

最終我們得到以下三個(gè)證書：

簽名證書：

1.簽名根證書，并且這是crl-host服務(wù)器

選中CA證書，右鍵，選擇sign，對(duì)證書實(shí)施簽名。

輸入crl地址，然后直接點(diǎn)擊start，開始生成證書。

根據(jù)加密位數(shù)，需要的時(shí)間不等，完成后如下。

完成后會(huì)多這四個(gè)選項(xiàng)

2.簽名中間證書，并且根證書位CA

右鍵Server證書，選中sign，配置如下圖，然后直接點(diǎn)擊start

雙擊Server證書，將Server證書設(shè)置為信任

此時(shí)證書顯示為KIT

3.簽名Client證書

這個(gè)證書比較簡單，右鍵sign一下就好，不需要做什么設(shè)定。

完成后三個(gè)證書如下：

導(dǎo)出證書

證書導(dǎo)出是為了其他的客戶端（如路由器，電腦，移動(dòng)設(shè)備）能夠使用證書對(duì)數(shù)據(jù)進(jìn)行加密。

Router OS導(dǎo)出證書現(xiàn)在也很簡單。

我們需要導(dǎo)出兩個(gè)文件，一個(gè)是CA，一個(gè)是Client和key

CA不需要密碼，Client需要設(shè)置密碼。

1.導(dǎo)出CA

右鍵需要導(dǎo)出的CA證書，選中Export

直接點(diǎn)擊導(dǎo)出即可

2.Client需要設(shè)置密碼

同樣右鍵導(dǎo)出，輸入密碼 然后導(dǎo)出即可

注意：證書有兩種，一種是PEM，一種是PCKS12

PEM用戶路由器訪問，PCKS12用于蘋果和windows電腦設(shè)備。

下載證書

證書下載

導(dǎo)出的證書一般存放在路由器的存儲(chǔ)里面。

點(diǎn)擊Files，就可以看到證書了。

里面有三個(gè)文件，一個(gè)是CA證書，一個(gè)Client證書和KEY。

我們需要將這三個(gè)文件拖放到桌面或者右鍵選擇Download即可。

最終下載結(jié)果：

下一節(jié)我們開始在分支公司的ROS路由導(dǎo)入證書。并且使用ONPN撥號(hào)連進(jìn)來。

總結(jié)

以上是生活随笔為你收集整理的routeros v6.43.2_配置自签名证书-RouterOS中级教程6的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。