Туннель IPSec IKE2 между двумя микротиками с аутентификацией по сертификатам

Базовая функциональность RouterOS
Berlio
Сообщения: 8
Зарегистрирован: 12 мар 2020, 09:29

Туннель IPSec IKE2 между двумя микротиками с аутентификацией по сертификатам

Сообщение Berlio »

Добрый день!
Подскажите как правильно создать сертификаты для авторизации.
Много статей и везде все по разному.
https://wiki.mikrotik.com/wiki/Manual:C ... rtificates
http://mikrotik.vetriks.ru/wiki/Сертифи ... рутизатора

Микротик 1 внешний IP=2.2.2.2
Микротик 2 внешний IP=3.3.3.3

Микротик 1 соединен через IPSec IKE2 c Микротик 2

Микротик 1:
/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name= Mikrotik1-template common-name=Mikrotik1
/certificate
sign ca-template ca-crl-host=2.2.2.2 name=myCa
sign server-template ca=myCa name=server
sign Mikrotik1-template ca=myCa name= Mikrotik1

/certificate
set myCa trusted=yes
set server trusted=yes

auth-method=digital-signature
certificate= Mikrotik2.p12
remote-certificate= Mikrotik1





Микротик 2:
/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name= Mikrotik2-template common-name=Mikrotik2
/certificate
sign ca-template ca-crl-host=3.3.3.3 name=myCa
sign server-template ca=myCa name=server
sign Mikrotik2-template ca=myCa name= Mikrotik2

/certificate
set myCa trusted=yes
set server trusted=yes

/certificate export-certificate Mikrotik2 type=pkcs12 export-passphrase=123456789

auth-method=digital-signature
certificate= Mikrotik1.p12
remote-certificate= Mikrotik2


Сертификаты Микротик 1 экспортировал на Микротик 2 .
Сертификаты Микротик 2 экспортировал на Микротик 1 .


Интересует вопрос правильно ли созданы сертификаты?

Какие нужно указывать key-usage при создании сертификатов:
1. ca-template
2. server-template
3. Mikrotik1-template

При подписи сертификатов нужно ли заполнять поле ca-crl-host:
1. в сертификате центра авторизации
2. в серверном сертификате
3. в клиентском сертификате

Как в этом примере
/certificate
sign name=ca ca-crl-host=внешний IP_адрес number=ca
sign ca=ca server name=server ca-crl-host=внешний IP_адрес
sign ca=ca client1 name=client1 ca-crl-host=внешний IP_адрес




И что указывать в /ip ipsec identity в certificate и в remote-certificate ?
Вернуться к началу

Вернуться в «Общие вопросы»