Jan 10

MiKroTik, Création de certificats

Nous allons voir dans cet article comment créer des certificats via notre routeur.

Ils serviront dans une deuxième étape à la connexion d’un client nomade via le logiciel gratuit Shrew (version 2.2.2 au moment de l’écriture de l’article) à notre routeur via un tunnel IPSec. Je précise IPSec et pas L2TP/IPSec ….

Le CA sera notre routeur ( A vous par la suite  de ne pas y laisser la clef privée si vous le voulez). Nous allons créer des certificats serveur/clients

Après avoir effectué cette étape via OpenSSL, je me suis rendu compte qu’il était beaucoup plus facile de le faire via le routeur directement.

On utilisera un mix de l’interface de ligne de commandes et du mode graphique (j’utilise ici en partie la doc de Micro Tik) :

 

/certificate

add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign

add name=server-template common-name=server

add name=client1-template common-name=client1

 

Voici ce que donne la création d’un client 3 :

 

 

Vous pouvez voir ici que client1 et 2 ont déjà été signés d’où le KA sur le côté gauche. On remarque aussi que seul le certificat serveur est noté à Trust.

Les objets créés ont quelques caractéristiques intéressantes modifiables avant signature :

La taille de la clef de 2048 à été modifiée à 4096 dans mon cas.

Le Common Name du certificat serveur a été remplacé par mon nom de domaine.

Les différents usages du certificat, vous pouvez si vous le désirez être plus restrictifs concernant les aspects clients et serveur.

 

Nous allons maintenant signer nos certificats via notre CA :

sign ca-template ca-crl-host=adresse_IP_de_votre_choix name=myCa

sign server-template ca=myCa name=server

sign client1-template ca=myCa name=client1

 

On peut utiliser le mode graphique :

Il se peut que vous receviez un message d’erreur lors de la signature, un Timeout, ou quelque chose du genre : ne brusquez pas le routeur, votre certificat devrait apparaître signé dans les secondes qui viennent !

 

Trustons notre certificat serveur.

 

Nous terminons cette étape « certificat » par un export de ceux qui nous intéresse, le client et forcément la partie publique du CA (qui servira à vérifier l’identité du serveur)

 

 

Nous obtenons :

 

Attention à la clef privée de votre CA !!!!!!

 

A partir de là, un glisser/déposer vers l’explorateur windows est le plus simple.

 

Bon clic à tous,

 

Et Bonne Année 2017 !!!!!!!!!!!!!!!!!!!!!

 

 

 

Lien Permanent pour cet article : http://rsocisco.fr/microtik-creation-de-certificats/

Laisser un commentaire

Your email address will not be published.