Kelola Sertifikat Pada Router Mikrotik dengan WinBox

Terbit

Mengelola Sertifikat di Mikrotik Router dengan Winbox

Sertifikat pada RouterOS Mikrotik dapat dikelola melalui antarmuka web atau perangkat lunak Winbox. Di bawah ini adalah pedoman dasar untuk mengonfigurasi CA untuk Anda mulai.
Konfigurasi CA

Pertama, buat sertifikat yang akan digunakan untuk penandatanganan CA (Otoritas Sertifikat), lalu tanda tangani sendiri:

System -> Certificates -> Add New ->
Name = myCA
Country = …
State = …
Organization = …
CN = mydomain.net

Nilai-nilai ini akan menjadi template untuk semua sertifikat lain yang ditandatangani di CA ini. Gunakan domain nyata di CN jika CA ini akan menerbitkan sertifikat di mana perangkat Anda akan mengakses layanan Anda melalui nama domain publik, mis. portal.mydomain.net.

Jika sertifikat *Only* digunakan untuk otentikasi VPN, nama domain tidak harus asli atau terdaftar, tetapi harus konsisten di seluruh sertifikat.

Setelah menyimpan, klik sertifikat baru, dan klik “Masuk”.
Buat Sertifikat Server

Tambahkan sertifikat “Server” yang akan digunakan untuk tugas-tugas di Router (opsional, Anda cukup menggunakan sertifikat CA):

System -> Certificate -> Add New …
Name = router
CN = router.mydomain.net

Sekarang tanda tangani dengan myCA:

System -> Certificates -> click on certificate -> Sign
Certificate = router
CA = myCA
-> Start

Sertifikat disetujui dan segera ditandatangani.
Sertifikat ini sekarang dapat digunakan untuk layanan di router.
Sertifikat Klien

Buat sertifikat klien seperti yang diperlukan untuk VPN, dll:

System -> Certificates -> Add New
– gunakan nilai yang sama dengan myCA, kecuali CN: CN = client1.mydomain.net

Tanda tangani setiap sertifikat menggunakan myCA:
System -> Certificates -> click certificate -> Sign
Certificate = …
CA = myCA
(CRL Host biarkan kosong)

System -> Certificate -> click certificate -> Export
Ekspor sertifikat dalam format yang diperlukan dengan frasa sandi opsional (keamanan yang lebih baik).

Sertifikat yang diekspor tersedia untuk diunduh dari menu File.
Setelah mengkonfigurasi dan menguji klien, sertifikat klien harus dihapus di bawah File dan Sertifikat untuk mencegah mereka digunakan dalam kasus router yang disusupi.

 

Server SCEP (opsional)

Simple Certificate Enrollment Protocol (SCEP) dapat digunakan untuk mengotomatiskan manajemen sertifikat ke tingkat tertentu (pembaruan dan CRL – Daftar Pencabutan Sertifikat).

System -> Certificates -> SCEP Servers -> Add New
CA Certificate = myCA
Path = /scep/myCA
“OK”

System -> Certificates -> Add New -> … -> Sign via SCEP
Certificate = clientX
SCEP URL = http://192.168.1.1/scep/myCA
“Sign via SCEP”

System -> Certificates -> Requests -> click certificate -> “Grant”
(akan muncul 2 sertifikat, satu dengan FQDN dan lainnya dengan URL SCEP untuk perpanjangan).

* Catatan: URL SCEP harus selalu dapat diakses, yaitu bukan DHCP, karena klien SCEP secara teratur akan mengakses CA untuk memverifikasi sertifikat.

Jika URL menjadi tidak dapat diakses ini akan mencatat pesan seperti: “scep client failure: requesting-ca-capabilities-failed”.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

1 + 14 =