routeros v6.43.2_配置自签名证书-RouterOS中级教程6

概述：

企业互联在使用ONPN和SSTP这一类的协议的话，一般需要使用证书，来加强隧道的安全。

以前在5.x版本需要自己使用open ssl来去生成。只从6.X之后，Router OS组件逐渐完善，已经可以自签证书。

本章就是专门写如何生成证书的。

1.从Router OS 升级到6.4X.X版本后，已经可以完全图形化去生成证书，并且并优化了证书注册流程。所以请务必升级您的路由器系统，获得更好安全支持和使用体验。

2.在Router OS里面，已经可以使用的SCEP，中文名是简单证书注册协议。英文名是Simple Certificate Enrollment protocol。但是本文还是使用传统的方式去签名证书。

生成证书时候有两种方式：

标准：使用分级方式，类似于我们的根证书+中间证书+客户端证书。可以单独吊销客户端证书。

快捷：只生成一个加密用的证书，吊销的话，就会全部吊销。

本教程方式使用标准方式实现。

生成证书：

打开winbox，打开HQ的路由器管理界面,

点击System>Certificates

1.生成根证书

点击+号，创建一个新证书申请，填写以下信息，完成后点击OK。

切换到key usage，只保留以下两项：

2.生成中间证书

添加一个新证书，名称server（用途是做认证连接用）

在key usage里面，勾选这两项

3.生成客户端证书

再添加一个证书，名为Client

在key usage里面勾选这一项：

最终我们得到以下三个证书：

签名证书：

1.签名根证书，并且这是crl-host服务器

选中CA证书，右键，选择sign，对证书实施签名。

输入crl地址，然后直接点击start，开始生成证书。

根据加密位数，需要的时间不等，完成后如下。

完成后会多这四个选项

2.签名中间证书，并且根证书位CA

右键Server证书，选中sign，配置如下图，然后直接点击start

双击Server证书，将Server证书设置为信任

此时证书显示为KIT

3.签名Client证书

这个证书比较简单，右键sign一下就好，不需要做什么设定。

完成后三个证书如下：

导出证书

证书导出是为了其他的客户端（如路由器，电脑，移动设备）能够使用证书对数据进行加密。

Router OS导出证书现在也很简单。

我们需要导出两个文件，一个是CA，一个是Client和key

CA不需要密码，Client需要设置密码。

1.导出CA

右键需要导出的CA证书，选中Export

直接点击导出即可

2.Client需要设置密码

同样右键导出，输入密码然后导出即可

注意：证书有两种，一种是PEM，一种是PCKS12

PEM用户路由器访问，PCKS12用于苹果和windows电脑设备。

下载证书

证书下载

导出的证书一般存放在路由器的存储里面。

点击Files，就可以看到证书了。

里面有三个文件，一个是CA证书，一个Client证书和KEY。

我们需要将这三个文件拖放到桌面或者右键选择Download即可。

最终下载结果：

下一节我们开始在分支公司的ROS路由导入证书。并且使用ONPN拨号连进来。