Клиенты — это рабочие станции на Windows 10. Я убрал RADIUS, поэтому аутентификация теперь только по сертификату "на устройстве". Полный экспорт настроек устройства:
[admin@Mikrotik] > /export
dec/22/2021 21:38:54 by RouterOS 7.1
software id = 3QK9-P1KA
model = 951G-2HnD
serial number = 6430051F32B2
/interface bridge add name=bridge1
/interface lte apn set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-eap eap-methods=eap-tls management-protection=allowed mode=dynamic-keys name=Garth2-Server supplicant-identity=“” tls-certificate=Garth2Server tls-mode=verify-certificate
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=australia disabled=no frequency=auto mode=ap-bridge security-profile=Garth2-Server ssid=Garth224 wps-mode=disabled
/routing bgp template set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance add name=default-v2
/routing ospf area add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port add bridge=bridge1 ingress-filtering=no interface=ether1
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 ingress-filtering=no interface=ether3
add bridge=bridge1 ingress-filtering=no interface=ether4
add bridge=bridge1 ingress-filtering=no interface=ether5
add bridge=bridge1 ingress-filtering=no interface=wlan1
/ip settings set max-neighbor-entries=8192
/ipv6 settings set disable-ipv6=yes max-neighbor-entries=8192
/ip dhcp-client add interface=bridge1
/system clock set time-zone-autodetect=no time-zone-name=Australia/Perth
/system identity set name=TV-Switch
/system ntp client set enabled=yes
/system ntp client servers add address=pool.ntp.org
/system package update set channel=testing
Все сертификаты были созданы "на устройстве" и экспортированы следующим образом:
\ Создать сертификат удостоверяющего центра (CA):
/certificate add name=Garth2-ca-template common-name=Garth2-ca country=AU days-valid=3650 key-size=2048 locality=“Perth” organization=“ORG” state=WA trusted=yes unit=“Technical Services” key-usage=digital-signature,key-cert-sign,crl-sign;
/certificate sign Garth2-ca-template name=Garth2-ca ca-crl-host=“192.168.123.1”
/certificate export-certificate Garth2-ca export-passphrase=“12345678”
/certificate export-certificate Garth2-ca export-passphrase=“12345678” type=pkcs12
Создать серверный сертификат:
/certificate add name=Garth2-Server-template common-name=“Garth2Server” country=AU days-valid=3650 key-size=2048 locality=“Perth” organization=“ORG” state=WA trusted=yes unit=“Technical Services” key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-server,tls-client;
/certificate sign Garth2-Server-template ca=Garth2-ca name=Garth2Server
/certificate set Garth2Server trusted=yes
/certificate export-certificate Garth2Server export-passphrase=“12345678”
/certificate export-certificate Garth2Server export-passphrase=“12345678” type=pkcs12
Создать клиентские сертификаты:
/certificate add name=Garth2Client-template common-name=Garth2Client country=AU days-valid=3650 key-size=2048 locality=“Perth” organization=“ORG” state=WA trusted=yes unit=“Technical Services” key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-client;
/certificate sign Garth2Client-template ca=Garth2-ca name=Garth2Client
/certificate set Garth2Client trusted=yes
/certificate export-certificate Garth2Client export-passphrase=“12345678”
/certificate export-certificate Garth2Client export-passphrase=“12345678” type=pkcs12
Далее эти сертификаты импортировались в профиль EAP-TLS на рабочей станции. Могу скинуть скриншоты, если очень надо.
Но если откатить прошивку устройства до версии 6.49, то Windows 10 подключается без проблем. Если обновиться до ROS7 — подключение не работает. И не имеет значения, генерирую ли я сертификаты на устройстве или где-то еще, в версии 6 или 7 — результат один и тот же.
