Mikrotik.moscow [тема: Автоматическое обновление сертификата Let's Encrypt]

Автоматическое обновление сертификата Let's Encrypt

Fri, 02 Aug 2024 14:31:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Использование значения days-valid здесь не подходит, это статичное значение — оно показывает срок действия сертификата, а не количество дней до его истечения. Вот мой скрипт для обновления по сроку действия, запускается ежедневно: если значение DAYS в окружении больше, чем “Expires After” сертификата, сертификат будет обновлён. ######## СКРИПТ АВТОМАТИЧЕСКОГО ОБНОВЛЕНИЯ LETSENCRYPT от L Hajek 08/2024 ###########

##############################################
######## ОБЪЯСНЕНИЕ ПЕРЕМЕННЫХ ОКРУЖЕНИЯ ########
#
# DAYS — количество дней до обновления перед истечением сертификата
# MAILTO — адрес электронной почты для уведомлений о статусе обновления
# ERRSUBJECT — тема письма при ошибке обновления
# OKSUBJECT — тема письма при успешном обновлении
# DNSNAME — DNS-имена сертификата
# COMMONNAME — общее имя сертификата
# NEWVALUE — имя сертификата в RouterOS (необходимо для поиска сертификата!)
# LOGNAME — префикс для логов
# SVCALLOW — с каких адресов разрешён доступ к WWW сервису
#
# Для успешного обновления должен быть открыт порт 80 из любой точки интернета
# (например, у меня есть правило по имени LETSENCRYPT для временного доступа
# в процессе обновления. Также я использую ограниченный сервис www,
# который временно открывается отовсюду на время работы скрипта обновления)
##############################################

### ПЕРЕМЕННЫЕ
:local days 20d;
:local mailto "example@domain.com";
:local errsubject "LE Certificate Renewall FAILED";
:local oksubject "LE Certificate Renewall SUCCESS";
:local dnsName "router.domain.com,host.domain.com,host2.domain2.com";
:local commonName "router.domain.com";
:local newvalue "letsencrypt-cert";
:local logname "LETSENCRYPT";
:local svcallow "10.0.0.0/8,127.0.0.1";

### ПРОВЕРКА
/certificate
:foreach item in=[find where common-name=rtr.lha-net.cz] do={
:if (([get $item expires-after] < $days) and ![get $item expired]) do={
:log info "$logname - Открываю порты в файрволе"
/ip firewall/filter/enable [find comment=LETSENCRYPT]
/ip service/set www address=""
:delay 5s
:log info "$logname - Запускаю обновление сертификата"
:set $newvalue [/certificate enable-ssl-certificate dns-name=$dnsName as-value]
:delay 60s
:log info "$logname - Завершаю процесс обновления"
:log info "$logname - Статус обновления сертификата: $[:tostr $newvalue]"
/ip service/set www address="$svcallow"
/ip firewall/filter/disable [find comment=LETSENCRYPT]
:delay 10s
# /certificate/remove [find where name~"letsencry*"]
/certificate/remove [find where name="$newvalue"]
:delay 10s
/certificate/set [find where name~"autogen*"] name=$newvalue
:delay 10s
/interface/sstp-server/server/set certificate=letsencrypt-cert
/ip/hotspot/profile/set hsprof1 ssl-certificate=letsencrypt-cert
/ip service/set api-ssl certificate=letsencrypt-cert
/ip service/set www-ssl certificate=letsencrypt-cert

:if ([:typeof [:find [:tostr $newvalue] "[error]"]]="nil") do={
:log info "$logname - Обновление сертификата УСПЕШНО"
/tool e-mail send to="$mailto" subject=([/system identity get name]. ". $oksubject. ");

} else={
:log error "$logname - Обновление сертификата НЕ УДАЛОСЬ"
/tool e-mail send to="$mailto" subject=([/system identity get name]. ". $errsubject. ");
}
} else={
:log info "$logname - Сертификат действителен — НИЧЕГО ДЕЛАТЬ НЕ НУЖНО"
}
}
02.08.2024 14:31:00, itallko2010.

Автоматическое обновление сертификата Let's Encrypt

Wed, 22 Nov 2023 16:14:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Я использовал ваш код на платформе X86. Он работает для создания сертификата, но не удаётся обновить сертификат, даже если до его истечения осталось меньше 30 дней. Я нашёл, что в коде есть такой фрагмент:
if ( ([/certificate/print count-only where common-name =$dnsName] = 0 ) || ( ([/certificate/print count-only where common-name=$dnsName] > 0) && ([/certificate/get value-name=days-valid [find common-name=$dnsName]] < $Daysbefore) ) ) do={
возможно, он неправильный. Я проверил, что именно “[/certificate/get value-name=days-valid [find common-name=$dnsName]” является корнем проблемы. Он не может получить значение days-valid. Поэтому скрипт никогда не заходит в процесс обновления.

Я переписал это в следующую версию:
if ( ([/certificate/print count-only where common-name =$dnsName] = 0 ) || ( ([/certificate/print count-only where common-name=$dnsName] > 0) && ([/certificate get [find common-name=$dnsName] days-valid] < $Daysbefore) ) ) do={

Теперь он корректно считывает days-valid, что подтверждаю выводом в лог:
log info [/certificate get [find common-name=$dnsName] days-valid]

Пожалуйста, сообщите, если я что-то неправильно понял.
22.11.2023 16:14:00, edmond25.

Автоматическое обновление сертификата Let's Encrypt

Fri, 21 Apr 2023 12:17:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Добрый день! Я не программист. Этот скрипт у меня работает на CCR2004 с ROS 7.8. Если вам не трудно, пожалуйста, укажите на ошибки. Большое спасибо!
21.04.2023 12:17:00, ivanforreg2015.

Автоматическое обновление сертификата Let's Encrypt

Thu, 20 Apr 2023 11:26:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Извините, но там ВСЁ ЕЩЁ полно ошибок…
20.04.2023 11:26:00, rextended.

Автоматическое обновление сертификата Let's Encrypt

Thu, 20 Apr 2023 10:00:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Добрый день. Строка кода: if ( [/certificate enable-ssl-certificate dns-name=$dnsName] = 0 ) do={ ... } else={ :log info "[Letsencrypt_OSScript] - Nothing to do!" } всегда возвращает ненулевое значение. Я переписал эту часть скрипта. Возможно, кому-то будет полезно. #script name
:local scrname "scr-LetsEncrypt-vpn-sampledomain"

:local Daysbefore 30
:local dnsName "vpn.sampledomain.com"

#cert name
:local certName "crt-vpn-le"

:local array [ :toarray "" ]
:local newvalue ""

:if ( ([/certificate/print count-only where common-name =$dnsName] = 0 ) || ( ([/certificate/print count-only where common-name=$dnsName] > 0) && ([/certificate/get value-name=days-valid [find common-name=$dnsName]] < $Daysbefore) ) ) do={

:log info "$scrname - Пытаюсь открыть порт в файрволе и включить сервис"
/ip firewall/filter/add chain=input dst-port=80 protocol=tcp action=accept place-before=0 comment=$scrname
/ip service enable [find port=80]

:log info "$scrname - Запускаю процесс обновления сертификата"
:set $newvalue [/certificate enable-ssl-certificate dns-name=$dnsName as-value]
:log info "$scrname - Останавливаю процесс обновления сертификата"
:delay 20000ms
:log info "$scrname - Сообщение об обновлении сертификата: $[:tostr $newvalue]"

:if ([:typeof [:find [:tostr $newvalue] "[error]"]]="nil") do={
:log info "$scrname - Сертификат обновлён - Закрываю двери"

#Опциональный код. Можно удалить. НАЧАЛО
#Здесь я переименовываю полученный сертификат, так как у меня используется двойной WAN и два разных сертификата для ipsec RoadWarriors.

:set $newvalue [/certificate/get value-name=name [find name~$certName]]
/certificate remove [find name~$certName]
:log info "$scrname - Сертификат $newvalue удалён"

:local dttm [:tostr [/system clock get date]]
:set newvalue ( $newvalue . [:pick $dttm 0 3] . [:pick $dttm 4 6] . [:pick $dttm 7 11] . "-")
:set $dttm [:tostr [/system clock get time]]
:set newvalue ( $newvalue . [:pick $dttm 0 2] . [:pick $dttm 3 5] . [:pick $dttm 6 8])
:set newvalue ( $certName . "-" . $newvalue )

/certificate set name=$newvalue [find name~"letsencrypt-autogen"]
:log info "$scrname - Сертификат переименован в $newvalue"

#####
:set newvalue [/certificate get [/certificate find where common-name=$dnsName] name ]
:set $array ( $array, $newvalue );
# :put [:tostr $array]

#R3 - это LetsEncrypt R3 для моих RoadWarriors
:set $newvalue [/certificate get [/certificate find where common-name="R3"] name ]
# :put $newvalue
:set $array ( $array, $newvalue );
# :put [:tostr $array]
/ip/ipsec/identity set [/ip/ipsec/identity find where comment="RoadWarriors"] certificate=$array
:log info "$scrname - array: $[:tostr $array]"
#####

#Опциональный код. Можно удалить. КОНЕЦ

} else={
:log error "$scrname - Не удалось сгенерировать сертификат - Закрываю двери"
}

:log info "$scrname - Удаляю кастомное правило файрвола и отключаю сервисы"
/ip firewall/filter/remove [find comment=$scrname]
/ip service disable [find port=80]

} else={
:log info "$scrname - Действовать не нужно!"
}
20.04.2023 10:00:00, ivanforreg2015.

Автоматическое обновление сертификата Let's Encrypt

Fri, 14 Apr 2023 15:09:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Скрипт полный ошибок. Вместо этого почитайте руководства и посмотрите видео. https://help.mikrotik.com/docs/display/ROS/Certificates#Certificates-Let’sEncryptcertificates
14.04.2023 15:09:00, rextended.

Автоматическое обновление сертификата Let's Encrypt

Fri, 14 Apr 2023 09:20:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Добрый день, Mauro! Помоги, пожалуйста. Я запускаю твой скрипт: https://github.com/pincioc/LetsEncrypt_OSScript/issues/new
Строка кода:
if ( [/certificate enable-ssl-certificate dns-name=$dnsName] = 0 ) do={ ... } else={ :log info "[Letsencrypt_OSScript] - Nothing to do!" }
Всегда возвращает ненулевой результат. Каждый раз, когда я запускаю скрипт, получаю в логе сообщение «[Letsencrypt_OSScript] - Nothing to do!», хотя сертификат всё равно обновляется! Я не могу найти документацию о том, какой тип данных должна возвращать команда [/certificate enable-ssl-certificate dns-name=$dnsName]. Пожалуйста, поделись информацией о возвращаемом типе данных для функции [/certificate enable-ssl-certificate dns-name=$dnsName]. Большое спасибо!
14.04.2023 09:20:00, ivanforreg2015.

Автоматическое обновление сертификата Let's Encrypt

Tue, 08 Nov 2022 09:32:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
спасибо, «rextended», очень понятный скрипт. Я протестировал этот скрипт и добавил функцию SSTP. У меня всё отлично работает. log info "Script - Certificate renewal start"

:local commName "ваше доменное имя (Common Name)"
:local dnsName "ваше доменное имя (Domain Name)"

/ip service
set www disabled=no

/ip firewall filter
enable [find where comment="IP Services HTTP"]

/certificate
remove [find where common-name=$commName]
enable-ssl-certificate dns=$dnsName

# лучше сюда вставить цикл, который будет проверять, когда сертификат готов, или таймаут через x секунд
:delay 30s

/certificate
:local certName [get [find where common-name=$commName] name]

:log info "Script - Certificate renewal | обновление сертификата UM"
/user-manager
set certificate=$certName
:log info "Script - Certificate renewal | обновление сертификата UM выполнено!"

:log info "Script - Certificate renewal | обновление сертификата WIFI EAP"
/interface wireless security-profiles
set [find where name="EAP"] tls-certificate=$certName
:log info "Script - Certificate renewal | обновление сертификата WIFI EAP выполнено!"

:log info "Script - Certificate renewal | обновление сертификата IP Services"
/ip service
set www-ssl certificate=$certName
:log info "Script - Certificate renewal | обновление сертификата IP Services выполнено!"

:log info "Script - Certificate renewal | обновление сертификата SSTP Server"
/interface sstp-server server
set certificate=$certName
:log info "Script - Certificate renewal | обновление сертификата SSTP Server выполнено!"

/ip service
set www disabled=yes

/ip firewall filter
disable [find where comment="IP Services HTTP"]

:log info "Script - Certificate renewal end"
08.11.2022 09:32:00, securenss.

Автоматическое обновление сертификата Let's Encrypt

Thu, 01 Dec 2022 14:15:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Если вам будет полезно, я написал скрипт для автоматического продления, вы можете найти его по ссылке https://github.com/pincioc/LetsEncrypt_OSScript. Буду очень благодарен за оценки и комментарии. Мауро
01.12.2022 14:15:00, pincio.

Автоматическое обновление сертификата Let's Encrypt

Thu, 15 Sep 2022 09:00:00 +0300

Автоматическое обновление сертификата Let's Encrypt RouterOS в форуме RouterOS.
Привет! Известна ли какая-то причина, почему мой сертификат не обновляется автоматически? WWW включён, и правило фаервола, как мне кажется, настроено правильно.
15.09.2022 09:00:00, own3r1138.