建站
咨詢
售后
建站咨詢
新聞中心
概述:
企業(yè)互聯(lián)在使用ONPN和SSTP這一類的協(xié)議的話,一般需要使用證書,來加強隧道的安全。
創(chuàng)新互聯(lián)執(zhí)著的堅持網(wǎng)站建設(shè),微信小程序;我們不會轉(zhuǎn)行,已經(jīng)持續(xù)穩(wěn)定運營10多年。專業(yè)的技術(shù),豐富的成功經(jīng)驗和創(chuàng)作思維,提供一站式互聯(lián)網(wǎng)解決方案,以客戶的口碑塑造品牌,攜手廣大客戶,共同發(fā)展進步。
以前在5.x版本需要自己使用open ssl來去生成。只從6.X之后,Router OS組件逐漸完善,已經(jīng)可以自簽證書。
本章就是專門寫如何生成證書的。
1.從Router OS 升級到6.4X.X版本后,已經(jīng)可以完全圖形化去生成證書,并且并優(yōu)化了證書注冊流程。所以請務必升級您的路由器系統(tǒng),獲得更好安全支持和使用體驗。
2.在Router OS里面,使用的SCEP,中文名是簡單證書注冊協(xié)議。英文名是Simple Certificate Enrollment protocol。但是本文還是使用傳統(tǒng)的方式去簽名證書。
生成證書時候有兩種方式:
標準:使用分級方式,類似于我們的根證書+中間證書+客戶端證書。可以單獨吊銷客戶端證書。
快捷:只生成一個加密用的證書,吊銷的話,就會全部吊銷。
本教程方式使用標準方式實現(xiàn)。
生成證書:
打開winbox,打開HQ的路由器管理界面,
點擊System>Certificates
點擊+號,創(chuàng)建一個新證書申請,填寫以下信息,完成后點擊OK。
切換到key usage,只保留以下兩項:
添加一個新證書,名稱server(用途是做認證連接用)
在key usage里面,勾選這兩項
再添加一個證書,名為Client
在key usage里面勾選這一項:
最終我們得到以下三個證書:
簽名證書:
1.簽名根證書,并且這是crl-host服務器
選中CA證書,右鍵,選擇sign,對證書實施簽名。
輸入crl地址,然后直接點擊start,開始生成證書。
根據(jù)加密位數(shù),需要的時間不等,完成后如下。
完成后會多這四個選項
2.簽名中間證書,并且根證書位CA
右鍵Server證書,選中sign,配置如下圖,然后直接點擊start
雙擊Server證書,將Server證書設(shè)置為信任
此時證書顯示為KIT
3.簽名Client證書
這個證書比較簡單,右鍵sign一下就好,不需要做什么設(shè)定。
完成后三個證書如下:
導出證書
證書導出是為了其他的客戶端(如路由器,電腦,移動設(shè)備)能夠使用證書對數(shù)據(jù)進行加密。
Router OS導出證書現(xiàn)在也很簡單。
我們需要導出兩個文件,一個是CA,一個是Client
CA不需要密碼,Client需要設(shè)置密碼。
1.導出CA
右鍵需要導出的CA證書,選中Export
直接點擊導出即可
2.Client需要設(shè)置密碼
同樣右鍵導出,輸入密碼 然后導出即可
注意:證書有兩種,一種是PEM,一種是PCKS12
PEM用戶路由器訪問,PCKS12用于蘋果和windows電腦設(shè)備。
下載證書
證書下載
導出的證書一般存放在路由器的存儲里面。
點擊Files,就可以看到證書了。
里面有三個文件,一個是CA證書,一個Client證書和KEY。
我們需要將這三個文件拖放到桌面或者右鍵選擇Download即可。
最終下載結(jié)果:
下一節(jié)我們開始在分支公司的ROS路由導入證書。并且使用ONPN撥號連進來。
網(wǎng)站名稱:配置自簽名證書-RouterOS中級教程06
網(wǎng)站地址:http://ef60e0e.cn/article/gdjhdp.html
