配置自簽名證書-RouterOS中級教程06

概述：

企業互聯在使用ONPN和SSTP這一類的協議的話，一般需要使用證書，來加強隧道的安全。

以前在5.x版本需要自己使用open ssl來去生成。只從6.X之后，Router OS組件逐漸完善，已經可以自簽證書。

本章就是專門寫如何生成證書的。

1.從Router OS 升級到6.4X.X版本后，已經可以完全圖形化去生成證書，并且并優化了證書注冊流程。所以請務必升級您的路由器系統，獲得更好安全支持和使用體驗。

2.在Router OS里面，使用的SCEP，中文名是簡單證書注冊協議。英文名是Simple Certificate Enrollment protocol。但是本文還是使用傳統的方式去簽名證書。

生成證書時候有兩種方式：

標準：使用分級方式，類似于我們的根證書+中間證書+客戶端證書。可以單獨吊銷客戶端證書。

快捷：只生成一個加密用的證書，吊銷的話，就會全部吊銷。

本教程方式使用標準方式實現。

生成證書：

打開winbox，打開HQ的路由器管理界面,

點擊System>Certificates

點擊+號，創建一個新證書申請，填寫以下信息，完成后點擊OK。

切換到key usage，只保留以下兩項：

添加一個新證書，名稱server（用途是做認證連接用）

在key usage里面，勾選這兩項

再添加一個證書，名為Client

在key usage里面勾選這一項：

最終我們得到以下三個證書：

簽名證書：

1.簽名根證書，并且這是crl-host服務器

選中CA證書，右鍵，選擇sign，對證書實施簽名。

輸入crl地址，然后直接點擊start，開始生成證書。

根據加密位數，需要的時間不等，完成后如下。

完成后會多這四個選項

2.簽名中間證書，并且根證書位CA

右鍵Server證書，選中sign，配置如下圖，然后直接點擊start

雙擊Server證書，將Server證書設置為信任

此時證書顯示為KIT

3.簽名Client證書

這個證書比較簡單，右鍵sign一下就好，不需要做什么設定。

完成后三個證書如下：

導出證書

證書導出是為了其他的客戶端（如路由器，電腦，移動設備）能夠使用證書對數據進行加密。

Router OS導出證書現在也很簡單。

我們需要導出兩個文件，一個是CA，一個是Client

CA不需要密碼，Client需要設置密碼。

1.導出CA

右鍵需要導出的CA證書，選中Export

直接點擊導出即可

2.Client需要設置密碼

同樣右鍵導出，輸入密碼 然后導出即可

注意：證書有兩種，一種是PEM，一種是PCKS12

PEM用戶路由器訪問，PCKS12用于蘋果和windows電腦設備。

下載證書

證書下載

導出的證書一般存放在路由器的存儲里面。

點擊Files，就可以看到證書了。

里面有三個文件，一個是CA證書，一個Client證書和KEY。

我們需要將這三個文件拖放到桌面或者右鍵選擇Download即可。

最終下載結果：

下一節我們開始在分支公司的ROS路由導入證書。并且使用ONPN撥號連進來。