Добрый день!
Подскажите как правильно создать сертификаты для авторизации.
Много статей и везде все по разному.
https://wiki.mikrotik.com/wiki/Manual:C ... rtificates
http://mikrotik.vetriks.ru/wiki/Сертифи ... рутизатора
Микротик 1 внешний IP=2.2.2.2
Микротик 2 внешний IP=3.3.3.3
Микротик 1 соединен через IPSec IKE2 c Микротик 2
Микротик 1:
/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name= Mikrotik1-template common-name=Mikrotik1
/certificate
sign ca-template ca-crl-host=2.2.2.2 name=myCa
sign server-template ca=myCa name=server
sign Mikrotik1-template ca=myCa name= Mikrotik1
/certificate
set myCa trusted=yes
set server trusted=yes
auth-method=digital-signature
certificate= Mikrotik2.p12
remote-certificate= Mikrotik1
Микротик 2:
/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name= Mikrotik2-template common-name=Mikrotik2
/certificate
sign ca-template ca-crl-host=3.3.3.3 name=myCa
sign server-template ca=myCa name=server
sign Mikrotik2-template ca=myCa name= Mikrotik2
/certificate
set myCa trusted=yes
set server trusted=yes
/certificate export-certificate Mikrotik2 type=pkcs12 export-passphrase=123456789
auth-method=digital-signature
certificate= Mikrotik1.p12
remote-certificate= Mikrotik2
Сертификаты Микротик 1 экспортировал на Микротик 2 .
Сертификаты Микротик 2 экспортировал на Микротик 1 .
Интересует вопрос правильно ли созданы сертификаты?
Какие нужно указывать key-usage при создании сертификатов:
1. ca-template
2. server-template
3. Mikrotik1-template
При подписи сертификатов нужно ли заполнять поле ca-crl-host:
1. в сертификате центра авторизации
2. в серверном сертификате
3. в клиентском сертификате
Как в этом примере
/certificate
sign name=ca ca-crl-host=внешний IP_адрес number=ca
sign ca=ca server name=server ca-crl-host=внешний IP_адрес
sign ca=ca client1 name=client1 ca-crl-host=внешний IP_адрес
И что указывать в /ip ipsec identity в certificate и в remote-certificate ?
Туннель IPSec IKE2 между двумя микротиками с аутентификацией по сертификатам
-
- Сообщения: 8
- Зарегистрирован: 12 мар 2020, 09:29