Всем привет! В последние двое суток читаю темы и вики, но никак не могу понять, как установить настоящий SSL-сертификат на роутер RB750GL. Думаю, дело в создании и установке KEY-файла. Сейчас у меня версия 6.19 — она стабильная, но готов обновиться, если нужно.
Решение, которое я разворачиваю, использует RB750 как Hotspot-сервер для неавторизованных беспроводных клиентов (на конкретной VLAN), которых перенаправляют на внешний портал для ввода данных и аутентификации. На HTTP у меня всё отлично работает, но хочется включить HTTPS на Hotspot, чтобы также принимать и перенаправлять клиентов, у которых стартовая страница в браузере стоит на HTTPS.
Я в курсе проблемы, что если пользователь ожидает подписанный HTTPS-сертификат, например, от Google, а его перенаправляют на другой, пусть и полностью верифицированный Hotspot-сервер (клиент увидит предупреждение SSL, но сможет перейти на страницу Mikrotik Hotspot). Заказал сертификат у Comodo, когда не получилось — взял у RapidSSL, но результат такой же.
По моему мнению, проблема в том, что после создания CSR через команду
/certificate create-certificate-request template=MKtemplate key-passphrase=passphrase123
— я создал MKtemplate со всеми нужными параметрами, включая common-name, который является реальным поддоменом моей компании. В итоге у меня получается CSR-файл certificate-request.pem и ключ certificate-request_key.pem.
Центры сертификации ключ не просят. Они проверяют CSR и выдают мне реальные SSL-сертификаты. Я загружаю их в RB750 и импортирую через меню /Certificates. Но сам SSL-сертификат (не промежуточные) импортируется с флагом LT, хотя, по идее, он должен быть KLT — так? Когда пытаюсь импортировать ключ в оригинальном формате certificate-request_key.pem — не работает. Если переименовать в “SSLkey.key” — тоже не импортируется.
Или я ошибаюсь, и ключ вообще не нужно импортировать? Я просто не могу подобрать правильные слова для поиска решения на форумах... Много информации про создание сертификатов через openssl в Linux, но я не хочу свой создавать — мне нужен легитимный сертификат от центра.
Если использую сертификаты Comodo или RapidSSL, включаю HTTPS на Hotspot и ставлю www-ssl в /IP/Services, то клиенты всё равно получают сообщение о недействительном SSL, даже на HTTP-странице. В Firefox выскакивает ошибка уязвимости SSLv3, и дальше ничего нельзя сделать.
Нужно решить проблему сегодня. Извините, если ответ у меня под носом. Спасибо заранее за помощь!
Дэвид
Решение, которое я разворачиваю, использует RB750 как Hotspot-сервер для неавторизованных беспроводных клиентов (на конкретной VLAN), которых перенаправляют на внешний портал для ввода данных и аутентификации. На HTTP у меня всё отлично работает, но хочется включить HTTPS на Hotspot, чтобы также принимать и перенаправлять клиентов, у которых стартовая страница в браузере стоит на HTTPS.
Я в курсе проблемы, что если пользователь ожидает подписанный HTTPS-сертификат, например, от Google, а его перенаправляют на другой, пусть и полностью верифицированный Hotspot-сервер (клиент увидит предупреждение SSL, но сможет перейти на страницу Mikrotik Hotspot). Заказал сертификат у Comodo, когда не получилось — взял у RapidSSL, но результат такой же.
По моему мнению, проблема в том, что после создания CSR через команду
/certificate create-certificate-request template=MKtemplate key-passphrase=passphrase123
— я создал MKtemplate со всеми нужными параметрами, включая common-name, который является реальным поддоменом моей компании. В итоге у меня получается CSR-файл certificate-request.pem и ключ certificate-request_key.pem.
Центры сертификации ключ не просят. Они проверяют CSR и выдают мне реальные SSL-сертификаты. Я загружаю их в RB750 и импортирую через меню /Certificates. Но сам SSL-сертификат (не промежуточные) импортируется с флагом LT, хотя, по идее, он должен быть KLT — так? Когда пытаюсь импортировать ключ в оригинальном формате certificate-request_key.pem — не работает. Если переименовать в “SSLkey.key” — тоже не импортируется.
Или я ошибаюсь, и ключ вообще не нужно импортировать? Я просто не могу подобрать правильные слова для поиска решения на форумах... Много информации про создание сертификатов через openssl в Linux, но я не хочу свой создавать — мне нужен легитимный сертификат от центра.
Если использую сертификаты Comodo или RapidSSL, включаю HTTPS на Hotspot и ставлю www-ssl в /IP/Services, то клиенты всё равно получают сообщение о недействительном SSL, даже на HTTP-странице. В Firefox выскакивает ошибка уязвимости SSLv3, и дальше ничего нельзя сделать.
Нужно решить проблему сегодня. Извините, если ответ у меня под носом. Спасибо заранее за помощь!
Дэвид
