WirelessInfo.be informatie over bedrade en draadloze netwerken
Mikrotik routerboards certificaten aanmaken

Mikrotik logo

Certificaat aanmaken met het Mikrotik Routerboard

Routerboard RouterOs Bios firmware
2011UiAS-2HnD-in 6.40rc8 3.33

We gaan ervan uit dat we twee routerboarden van certificaten gaan voorzien, een server en client router. Je kan de code kopieren en plakken in kladblok en bewerken. Kopieer en plak deze bewerkte code in "new terminal".

Opgelet! Maak dat de NTP-server is geconfigureerd! datum en uur moeten op beide routerboarden gelijk staan. Doe dit eerst en vooral, anders heb je last met de geldigheidsduur van het certificaat en moet je geheel de procedure herbeginnen. Vul meer dan 1 NTP-server in om bij uitval van NTP-server1 de tweede NTP-server het kan overnemen.

ntp-server configureren vooralleer certificaat aanmaken

De NTP-client instellingen zijn zeer gemakkelijk in te stellen, klik hier voor de uitgebreide handleiding.

De certificaten aanmaken

De Certificaatautoriteit aanmaken.
  • /certificate add name=ca-template common-name=voorbeeldCa key-usage=key-cert-sign,crl-sign

Ovpn-server certificaat aanmaken.
  • /certificate add name=server-template common-name=server

Opgelet! De groene namen achter de = kan je willekeurig veranderen maar al de groen gekleurde namen moeten gelijk zijn. Ook bij de client certificaten zal je rekening moeten houden dat de rode namen allemaal identiek zijn.

Client certificaat aanmaken, dit gebeurd ook op de server router.
  • /certificate add name=client-router2-template common-name=client-router2

Het ondertekenen van de certificaten

Ondertekenen van de certificaten.
  • /certificate sign ca-template ca-crl-host=192.168.88.1 name=voorbeeldCa

Pas het IP-adres aan volgens uw netwerk.

Ondertekenen van het server certificaat.
  • /certificate sign ca=voorbeeldCa server-template name=server

Ondertekenen van het client certificaat.
  • /certificate sign ca=voorbeeldCa client-router2-template name=client-router2

Er kunnen verschillende client certificaten worden aangemaakt naargelang de nodige verbindigen.

Stel CA en server certificaat in als vertrouwelijk.

Certificaat vertrouwelijk maken.
  • /certificate set voorbeeldCa trusted=yes
  • /certificate set server trusted=yes

Opgelet! De groen gekleurde namen die ik als voorbeeld genomen heb kan je willekeurig veranderen. Houd wel rekening dat al de groen gekleurde namen identiek moet zijn, anders werkt het niet. Ook bij de client certificaten zal je rekening moeten houden dat de rode namen allemaal moeten identiek zijn.

Certificaat vertrouwelijk maken

Als controle klik op het hoofdvenster op "system" vervolgens op "certificates". Als alles goed is gegaan zou je zoiets moeten zien zoals hierboven. Terug naar "new terminal".

Exporteer de Certificaatautoriteit.

Exporteer de Certificaatautoriteit
  • /certificate export-certificate voorbeeldCa

Exporteer de Certificaatautoriteit
  • /certificate export-certificate client-router2 export-passphrase=xxxxxxxx

Bij passphrase vul je een sterk paswoord in dat je moet onthouden, deze heb je nog nodig bij het importeren van de certificaten.

Kopieer en importeer de laatste twee Certificaten.

Exporteer de Certificaatautoriteit

Klik op het hoofdvenster van de server router op "files" en kopieer deze twee files naar de client router. Dit doe je door de files gewoon naar het file venster van de client router te slepen. Het gaat over deze twee files hier onderaan.

  1. cert_export_voorbeeldCa.crt
  2. cert_export_client-router2.crt

Mikrotik system certicicate

Klik in het hoofdvenster op "system" vervolegens op "certificates".

Bij only file blader naar cert_export_voorbeeldCa.crt

  1. Klik op "import".
  2. Bij "Only file" blader naar "cert_export_voorbeeldCa.crt".
  3. Bij "passphrase vul je het wachtwoord in dat je hebt ingegeven bij de export (xxxxxxxx).
  4. Klik op "import".

cert_export_client-router2.crt

  1. Klik op terug op"import".
  2. Bij "Only file" blader naar "cert_export_client-router2.crt". Bij "passphrase vul je het wachtwoord in.
  3. Klik op "import".

De Mikrotik certificaten zijn geimporteerd

De certificaten zijn geimporteerd en klaar voor gebruik.

Wat uitleg omtrent de certificaten

Wat de server router betreft blijven al de certificaten opstaan, ook die van de clients. Per client staat zijn eigen certificaat zoals hier in dit voorbeeld "cert_export_client-router2.crt" en op alle clients dit certificaat "cert_export_voorbeeldCa.crt".

Top