Вопрос по самоподписанным CA сертификатам

Обсуждение ПО и его настройки
Ответить
slaver
Сообщения: 25
Зарегистрирован: 14 мар 2013, 12:39

24 фев 2014, 19:27

Добрый день. Подскажите пожалуйста, как обстоят дела с импортированием или созданием сертификатов CA в RouterOS 6.10? Возникла необходимость настроить wifi c TLS. Если генерирую и подписываю сертификаты на линукс-машине, а потом импортирую в микротик и wifi-клиенту, то всё работает. Но есть необходимость в создании и подписывании сертификатов непосредственно на микротик для того, чтобы можно было их отзывать при необходимости. Но в 6.10 теперь отсутствует команда на создание сертификата СА, а при импорте сертификата СА с линукс-машины микротик не принимает его как СА (а установить са=yes нельзя, readonly). Документация, судя по всему, отстутствует как класс? В связи с этим вопрос: как реализован (если, конечно, он реализован) функционал CRL на микротике? Отзывать импортированные в него сертификаты не удаётся, есть ли какая-то возможность пользоваться внешним CRL - тоже непонятно. Экспорт сертификатов, созданных в микротике? Как? Экспортируется только файл .crt, а нужен ещё и ключ .key. В общем буду благодарен за любую информацию.

P.S.: Методом научного попытался в winbox создать СА и пару подписанных им сертификатов. Вот такой бред получился:

[admin@home-router] > certificate print detail
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted
0 K L A name="ca" country="RU" state="SPB" locality="Saint-Petersburg" organization="Home" common-name="CA" key-size=2048 subject-alt-name=email:test@mail.ru days-valid=3650 trusted=no
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign ca-crl-host="192.168.88.1" serial-number="12"
fingerprint="01333594a4ddc3d55d43866412f22067e7d9a757" invalid-before=feb/24/2014 20:37:25 invalid-after=feb/22/2024 20:37:25

1 K I name="home-router" country="RU" state="SPB" locality="Saint-Petersburg" organization="Home" common-name="home-router" key-size=2048 subject-alt-name=email:test@mail.ru days-valid=3650
trusted=no key-usage=digital-signature ca=ca serial-number="1" fingerprint="1d5814f6e3ef680692711d54d12d3bef49c1822e" invalid-before=feb/24/2014 20:40:14
invalid-after=feb/22/2024 20:40:14

2 K I name="samsung-x3c" country="RU" state="SPB" locality="Saint-Petersburg" organization="Home" common-name="samsung-x3c" key-size=2048 subject-alt-name=email:test@mail.ru days-valid=3650
trusted=no key-usage=digital-signature ca=ca serial-number="2" fingerprint="4765016d6802e52ab49199ea8d204637cccf5d29" invalid-before=feb/24/2014 20:46:59
invalid-after=feb/22/2024 20:46:59


Ответить