Различия

Здесь показаны различия между двумя версиями данной страницы.

--- mikrotik:ssl:ssl [2019-02-12 20:21]
GreyWolf [Let's Encrypt]
+++ mikrotik:ssl:ssl [2024-02-02 22:00] (текущий)
GreyWolf [Let's Encrypt RouterOS]
@@ Строка 1: / Строка 1: @@
 ====== MikroTik — SSL ======
-<WRAP round info 60%>
+Здесь описана работа с HTTPS/SSL сертификатами на устройствах MikroTik.
-Добавление сертификатов на устройства MikroTik
-</WRAP>
-FIXME
-  * Копируем получившиеся файлы на Mikrotik (FTP или как угодно)
+В приведённых примерах показана работа с сертификатами от [[letsencrypt:letsencrypt|Let's Encrypt]].
-  * Импортируем сертификаты:
+Для работы нужны следующие файлы:
+  - cert.pem
+  - chain.pem
+  - privkey.pem
-<code ini>
+====== Ручной режим ======
+  - Скопировать файлы на Mikrotik
+  - Импортировать сертификаты: <code ini>
 /certificate import file-name=cert.pem
 /certificate import file-name=chain.pem
 /certificate import file-name=privkey.pem
 </code>
+  - Проверить правильность импорта сетификатов:<code ini>/certificate print</code>
-  * Проверяем:
+  - Включить ''www-ssl'': <code ini>
-<code ini>
-/certificate print
-</code>
-  * Включаем HTTPS:
-<code ini>
 /ip service set www-ssl certificate=cert.pem
 /ip service set www-ssl disabled=no
 </code>
+  - Проверить ''www-ssl'' <code ini>/ip service print</code>
-  * Проверяем:
+  - {{anchor:hotspot}}Чтобы разрешить использовать сертификат в [[mikrotik:hotspot:hotspot|HotSpot]] нужно выполнить:<code ini>
-<code ini>
-/ip service print
-</code>
-====== HotSpot ======
-Включаем сертификат в [[mikrotik:hotspot:hotspot|HotSpot]]
-<code ini>
 /ip hotspot profile set hsprof1 login-by=https ssl-certificate=cert.pem
 </code>
+<WRAP round important 60%>
+Если в журнале устройства появляется ошибка "got CRL with bad signature, issued by DST root CA X3 ::: Digital signature Trust Co. ::: " необходимо добавить сертификат IdenTrust DST корневого CA X3, загруженный [[https://www.identrust.com/certificates/trustid/root-download-x3.html|по адресу]], в хранилище сертификатов маршрутизатора.
-====== Let's Encrypt ======
+</WRAP>
-FIXME
-[[letsencrypt:letsencrypt|Let's Encrypt]]
-{{:mikrotik:ssl:letsencrypt-routeros.sh|}}
+====== Let's Encrypt RouterOS ======
+Использование скрипта проекта [[github>gitpel/letsencrypt-routeros|Let's Encrypt RouterOS / Mikrotik]] для автоматизации процесса работы с сертификатами от [[letsencrypt:letsencrypt|Let's Encrypt]].
+===== letsencrypt-routeros.sh =====
-В скрипт [[https://github.com/mr-GreyWolf/letsencrypt-routeros/blob/patch-1/letsencrypt-routeros.sh|добавлено]] копирование цепочки сертификатов ''chain.pem'' и команды для установки сертификата www-ssl и указать в профиле HotSpot этот сертификат.
+Авторизация на устройстве производится ключом [[ssh:ssh#KEYS|SSH]]
-В данном примере имя ''HotSpot'' профиля ''hsprof1''
-<code bash letsencrypt-routeros.sh>
+Готовый скрипт {{letsencrypt-routeros.sh|}}, он отличается от оригинального следующим:
+  - Добавлено копирование цепочки сертификатов ''chain.pem'' ([[https://github.com/mr-GreyWolf/letsencrypt-routeros/blob/patch-1/letsencrypt-routeros.sh|Ссылка на заплатку]] )
+  - Добавлены команды для установки сертификата www-ssl и указание сертификата в профиле HotSpot. В данном примере имя ''HotSpot'' профиля ''hsprof1'' <code bash letsencrypt-routeros.sh>
 $routeros /ip service set www-ssl certificate=$DOMAIN.pem_0
@@ Строка 63: / Строка 53: @@
 </code>
+<hidden Пример выполнения скрипта>
+Пример выполнения ''./letsencrypt-routeros.sh''
+<code>
+                   uptime: 6w6d22h11m15s
+                  version: 6.44 (stable)
+               build-time: Feb/25/2019 14:11:04
+         factory-software: 6.36.1
+              free-memory: 202.0MiB
+             total-memory: 256.0MiB
+                      cpu: MIPS 1004Kc V2.15
+                cpu-count: 4
+            cpu-frequency: 880MHz
+                 cpu-load: 6%
+           free-hdd-space: 4848.0KiB
+          total-hdd-space: 16.3MiB
+  write-sect-since-reboot: 19348
+         write-sect-total: 41673
+               bad-blocks: 0%
+        architecture-name: mmips
+               board-name: hEX
+                 platform: MikroTik
-[[https://github.com/gitpel/letsencrypt-routeros|Let's Encrypt RouterOS / Mikrotik]]
+Connection to RouterOS Successful!
+     certificates-imported: 1
+     private-keys-imported: 0
+            files-imported: 1
+       decryption-failures: 0
+  keys-with-no-certificate: 0
+     certificates-imported: 0
+     private-keys-imported: 1
+            files-imported: 1
+       decryption-failures: 0
+  keys-with-no-certificate: 0
+     certificates-imported: 0
+     private-keys-imported: 0
+            files-imported: 0
+       decryption-failures: 0
+  keys-with-no-certificate: 0
+</code>
+</hidden>
+==== letsencrypt-routeros.settings ====
+Путь к файлам сертификата: ''/etc/letsencrypt/live/$DOMAIN/''
+<code ini letsencrypt-routeros.settings>
+ROUTEROS_USER=admin
+ROUTEROS_HOST=10.0.254.254
+ROUTEROS_SSH_PORT=22
+ROUTEROS_PRIVATE_KEY=/opt/letsencrypt-routeros/id_dsa
+DOMAIN=vpnserver.yourdomain.com
+</code>
 ====== Ссылки ======

Мозаика системного администрирования

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы