Страница 1 из 1

VPN IPSec, SCEP Certificates enrollment

Добавлено: 19 апр 2012, 06:51
gimlir
Добрый день.

Прошу помощи техподдержки в настройке следующей схемы:

IPSec VPN по архитектуре Hub&Spoke - один Cisco IOS роутер в центре сети и много RB750 и оборудования других вендоров вокруг него, до каждого Spoke и в том числе RB750 поднимаем по одному IPSec соединению в tunnel mode с аутентификацией на основе сертификатов x509, все сертификаты выданы/подписаны одним и тем же CA, CA собственный/основной сертификат CA самоподписанный.

До попытки использования RB750 в качестве Spoke работали только устройства с поддержкой получения сертификатов по протоколу SCEP (Simple Certificate Enrollment Protocol). На каждом устройстве генерируется Private RSA key и на его основе Certificate Request. Далее устройство первым запросом к SCEP серверу получает три сертификата CA с разными типами Key Usage

первый с флагом CA и
X509v3 Key Usage:
Certificate Sign, CRL Sign
второй
X509v3 Key Usage:
Digital Signature
и наконец
X509v3 Key Usage:
Key Encipherment

вторым запросом SCEP устройство получает от того же CA собственный подписанный сертификат.

Вопрос: можно ли на RouterOS автоматизировать получение x509 сертификатов подобным образом? Может быть возможна установка дополнительного пакета, реализующего поддержку SCEP или существуют наработки из области скриптов, позволяющие автоматизировать процесс через SCEP?

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 19 апр 2012, 09:05
iSupport
Я бы рекомендовал поставить 6ю бета-прошивку

там много чего добавлено

если функции нету - на форум производителя напишите как feature request

http://forum.mikrotik.com/viewforum.php?f=1

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 19 апр 2012, 15:26
gimlir
Техподдержка ответила очень приятной вестью:

Hello,
We do not support SCEP in current versions. It is currently in development and most likely will be ready in v5.15.
Regards,
Maris


и потом:

Most likely it will be released next week.

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 19 апр 2012, 19:08
iSupport
5.15 бета уже бродит по интернету

но ожидать выхода похоже не долго =)

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 22 апр 2012, 17:48
EDX
5.15 уже вышла, уже обновился

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 23 апр 2012, 07:02
iSupport
а я обновился на 6х - теперь надо найти второй роутер чтоб 5.15 потестировать

Re: VPN IPSec, SCEP Certificates enrollment

Добавлено: 24 апр 2012, 14:20
EDX
дома поставил 6 бета2 а на остальных узлах пока 5.15 )