VPN IPSec, SCEP Certificates enrollment

Обсуждение ПО и его настройки
Ответить
gimlir
Сообщения: 6
Зарегистрирован: 17 апр 2012, 10:41

Добрый день.

Прошу помощи техподдержки в настройке следующей схемы:

IPSec VPN по архитектуре Hub&Spoke - один Cisco IOS роутер в центре сети и много RB750 и оборудования других вендоров вокруг него, до каждого Spoke и в том числе RB750 поднимаем по одному IPSec соединению в tunnel mode с аутентификацией на основе сертификатов x509, все сертификаты выданы/подписаны одним и тем же CA, CA собственный/основной сертификат CA самоподписанный.

До попытки использования RB750 в качестве Spoke работали только устройства с поддержкой получения сертификатов по протоколу SCEP (Simple Certificate Enrollment Protocol). На каждом устройстве генерируется Private RSA key и на его основе Certificate Request. Далее устройство первым запросом к SCEP серверу получает три сертификата CA с разными типами Key Usage

первый с флагом CA и
X509v3 Key Usage:
Certificate Sign, CRL Sign
второй
X509v3 Key Usage:
Digital Signature
и наконец
X509v3 Key Usage:
Key Encipherment

вторым запросом SCEP устройство получает от того же CA собственный подписанный сертификат.

Вопрос: можно ли на RouterOS автоматизировать получение x509 сертификатов подобным образом? Может быть возможна установка дополнительного пакета, реализующего поддержку SCEP или существуют наработки из области скриптов, позволяющие автоматизировать процесс через SCEP?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Я бы рекомендовал поставить 6ю бета-прошивку

там много чего добавлено

если функции нету - на форум производителя напишите как feature request

http://forum.mikrotik.com/viewforum.php?f=1


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
gimlir
Сообщения: 6
Зарегистрирован: 17 апр 2012, 10:41

Техподдержка ответила очень приятной вестью:

Hello,
We do not support SCEP in current versions. It is currently in development and most likely will be ready in v5.15.
Regards,
Maris


и потом:

Most likely it will be released next week.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

5.15 бета уже бродит по интернету

но ожидать выхода похоже не долго =)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

5.15 уже вышла, уже обновился


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

а я обновился на 6х - теперь надо найти второй роутер чтоб 5.15 потестировать


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

дома поставил 6 бета2 а на остальных узлах пока 5.15 )


Ответить