Mikrotik.moscow [тема: Продление SSL-сертификата Let's Encrypt]

Продление SSL-сертификата Let's Encrypt

Thu, 06 Nov 2025 12:18:16 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
В представленных скриптах есть команды, которые могут завершиться с ошибками, и они блокируют выполнение скрипта.
Доработал ваши примеры так:

====code====

:local DomainName "your-domain" #доменное имя вашего домена
:local certNameSSL "le_ssl" #Желаемое имя сертификата,но оно должно совпадать для задачи в sheduler
:local PASS "12345678" #пароль, не менее восьми символов

:log info "LE renewal"

/ip service 
enable [find where name="www"]
/ip firewall filter
enable [find where comment="HTTP"]

:do {
   /certificate remove [find where common-name=$DomainName]
} on-error={ :log info "LE old cert not exist" }

:do {
   /certificate
   :log info "LE waiting renewal..."
   enable-ssl-certificate dns-name=$DomainName
   :delay 30s
   :log info "LE renewal complete"
   :local certName [get [find where common-name=$DomainName] name]
   :log info "LE new cert name=$certName"
   set  $certName name=$certNameSSL
   :do {
      /file remove $certNameSSL
   } on-error={ :log info "LE $certNameSSL file not exist" }
   export-certificate numbers= $certNameSSL export-passphrase=$PASS  type=pkcs12 file-name=$certNameSSL
   /system/scheduler set $certNameSSL interval=10w


   #TODO: Сделать отправку нового сертификата в службы
   #      или сделать привязку к SSTP, hotspot и т.д...


} on-error={ 
   :log error "LE fail to get new cert" 
   :do {
      /certificate import file-name=$certNameSSL name=$certNameSSL passphrase=$PASS
   } on-error={ :log error "LE can't import old cert $certNameSSL"  }
   /system/scheduler set $certNameSSL interval=2d
}

/ip service 
disable [find where name="www"]
/ip firewall filter
disable [find where comment="HTTP"]

============= Скрипт создал командой:
====code====

/system/script
add name="lets_encrypt" policy=read,write,policy

============= В поле "source" скрипта добавить сам скрипт , но это удобней через winbox
Перед запуском скрипта должно быть добавлено правило для firewall, например из терминала:
====code====

/ip firewall filter
add action=accept chain=input comment=HTTP dst-port=80 protocol=tcp

============= Данное правило должно располагаться ниже правила разрешающего уже установленные и связанные соединения и выше запрещающего правила в цепочке INPUT.

А также требуется создать задачу в scheduler, например из терминала: ====code====

/system/scheduler
add name=le_ssl interval=10w start-time=01:23:45 on-event="/system script run lets_encrypt" policy=read,write,policy

============= Поле "name" должно совпадать с указанным именем в скрипте "certNameSSL"
А в поле "on-event" после "/system script run " указать имя созданного скрипта, в моём случае "lets_encrypt"

После выполнения скрипта у вас ВСЕГДА будет иметься сертификат с именем "le_ssl" (как в примере) и файл в хранилище "le_ssl.p12", даже если пойдёт что-то не так с получением нового сертификата.
Всем удачи...
06.11.2025 12:18:16, М.С. Антонов.

Продление SSL-сертификата Let's Encrypt

Mon, 06 Jan 2025 12:53:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
@ColinSlater, не мог бы ты, пожалуйста, выложить полное пошаговое решение?
06.01.2025 12:53:00, zedaz.

Продление SSL-сертификата Let's Encrypt

Sat, 03 Feb 2024 06:21:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Всем привет! Раньше это работало отлично… но теперь, похоже, перестало. Мой скрипт (ниже) обновляет сертификат let’s encrypt, который используется для моего SSTP VPN. Напомню, у меня RB4011 с ROS 7.12.1.

Что я не понимаю — я по очереди запускал каждую строку скрипта (естественно, подставляя значения переменных вместо их имён) напрямую в терминале, и всё работает как надо, сертификат обновляется.

Может, где-то проблема с правами?

:log info "Script - Certificate renewal start"

:local commName "[##CLOUD-DNS-NAME##]"

/ip service enable [find where name=“www”]
/ip firewall filter enable [find where comment="LetsEncrypt"]

#Удаляем старый сертификат, создаём новый
/certificate remove [find where common-name=$commName]
/certificate enable-ssl-certificate dns=$commName

:delay 60s

/certificate :local certName [get [find where common-name=$commName] name]

#Устанавливаем новый сертификат в профиль SSTP
/interface sstp-server server set certificate=$certName

/ip service disable [find where name=“www”]
/ip firewall filter disable [find where comment="LetsEncrypt"]

:log info "Script - Certificate renewal finished"

Скрипт добавлен в роутер так:

/system script add dont-require-permissions=no name=LetsEncryptRenewal owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon

(Я опустил часть с source=, так как сам скрипт привёл выше).
03.02.2024 06:21:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Mon, 02 Jan 2023 12:29:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Спасибо за упоминание. Наверное, за работу с Hotspot, потому что ты добавляешь " ", а не меняешь порядок. Еще пару советов:

/interface ovpn-server server
set certificate=$certName

/ip service
set www-ssl certificate=$certName
set api-ssl certificate=$certName

/ip hotspot profile
set [find where !default] ssl-certificate=$certName
02.01.2023 12:29:00, rextended.

Продление SSL-сертификата Let's Encrypt

Sun, 01 Jan 2023 09:16:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Исправил. В этой части скрипта:
set [find where name=Hotspot] ssl-certificate=$certName
нужно было поменять на:
set ssl-certificate=$certName [find where name="Hotspot"]

Полный скрипт теперь выглядит так:

:log info "Script - Certificate renewal start"

:local commName "xxx"
:local dnsName "xxx"

/ip firewall filter
enable [find where comment="LetsEncrypt"]

# Удаляем старый сертификат, создаём новый
/certificate
remove [find where common-name=$commName]
enable-ssl-certificate dns=$dnsName

# Лучше вставить здесь цикл, который проверяет готовность сертификата или таймаут через x секунд
:delay 45s

/certificate
:local certName [get [find where common-name=$commName] name]

# Устанавливаем новый сертификат для SSTP профиля
/interface sstp-server server
set certificate=$certName

# Устанавливаем новый сертификат для профиля Hotspot
/ip hotspot profile
set ssl-certificate=$certName [find where name="Hotspot"]

/ip firewall filter
disable [find where comment="LetsEncrypt"]

Огромное спасибо Rextended за скрипт (ссылка есть выше в этой ветке).
Colin
01.01.2023 09:16:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Thu, 22 Dec 2022 04:55:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Ох, понял. Ладно. Немного разочаровывает, но, видимо, это просто значит, что мне придётся снова использовать скрипт для продлений, если я хочу, чтобы они проходили автоматически. Спасибо за ответы.
22.12.2022 04:55:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Wed, 21 Dec 2022 17:57:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Это не то, что я имел в виду. Во-первых, из трёх хостнеймов только один может иметь смысл — acme-v02.api.letsencrypt.org, к которому подключается LE-клиент; acme-staging-v02.api.letsencrypt.org — это тестовая (нерабочая) версия, а letsencrypt.org — просто публичный сайт. Но, насколько я понимаю (если кто-то меня поправит, буду благодарен), адреса серверов, которые проводят валидацию, специально не публикуются, то есть их не предполагается знать заранее. Когда я смотрел логи на сервере, где сегодня обновлялся сертификат, там были подключения с трёх разных адресов, и ни один из них не совпадал с тем, на что разрешается acme-v02.api.letsencrypt.org.
21.12.2022 17:57:00, Sob.

Продление SSL-сертификата Let's Encrypt

Wed, 21 Dec 2022 16:47:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Привет! Вот почему в видео (на YouTube канале MikroTik) говорилось о том, чтобы добавить доменные имена в список адресов и настроить динамическое разрешение их через DNS. Спасибо, Колин.
21.12.2022 16:47:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Wed, 21 Dec 2022 12:17:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Не уверен, что это должно работать, смотри: https://letsencrypt.org/docs/faq/#what-ip-addresses-does-let-s-encrypt-use-to-validate-my-web-server
21.12.2022 12:17:00, Sob.

Продление SSL-сертификата Let's Encrypt

Wed, 21 Dec 2022 07:47:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Доброе утро, сообщество Mikrotik! Это старая тема, которую я начал давно. С тех пор я нашёл, кажется, действительно полезное видео на канале MikroTik в YouTube ( https://www.youtube.com/watch?v=T1Dyg4_caa4 ) о том, как использовать сертификаты Let’s Encrypt. Ближе к концу видео объясняется, что нужно сделать, чтобы встроенное автоматическое обновление сертификатов работало, и при этом порт 80 не был постоянно открыт в интернет… или, по крайней мере, я именно так понял.

Моя конфигурация RB4011 (ROS7.6) (только нужные части) выглядит так:

Я создал address-list, как описано в видео:
/ip firewall address-list add address=acme-v02.api.letsencrypt.org list=LetsEncrypt
/ip firewall address-list add address=acme-staging-v02.api.letsencrypt.org list=LetsEncrypt
/ip firewall address-list add address=letsencrypt.org list=LetsEncrypt

Я включил службу www: (странно, что в экспортированной конфигурации нет строки с этим, но Winbox показывает, что она включена, если смотреть в IP -> Services)

Я создал правило firewall, чтобы принимать трафик на входящую цепочку от списка Let’s Encrypt:
/ip firewall filter add action=accept chain=input comment=LetsEncrypt dst-port=80 protocol=tcp src-address-list=LetsEncrypt

Для проверки, хотя у меня есть фиксированный публичный IP, я включил IP -> Cloud -> DDNS, чтобы получить там имя, а затем использовал команду из видео, чтобы создать сертификат let’s encrypt для автоматически сгенерированного доменного имени:
/certificate enable-ssl-certificate

Однако при этом я всегда получаю ошибку, что серверы Let’s Encrypt не могут связаться с моим роутером. Я вижу, что IP-адреса в списке, который я создал, обновляются динамически.

Догадываюсь, что упускаю что-то очевидное, но не могу понять что именно.

Буду благодарен за любую помощь.
21.12.2022 07:47:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Thu, 29 Dec 2022 07:58:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Доброе утро, сообщество Mikrotik! Я взял скрипт у rextended (огромное спасибо, http://forum.mikrotik.com/t/lets-encrypt-automatic-certificate-renewal/160816/1) и немного его подправил, как мне показалось нужным:

- Включить правило в Firewall Filter, позволяющее порт 80 во входящих
- Удалить старый сертификат
- Запросить новый сертификат
- Установить новый сертификат в конфигурацию SSTP сервера
- Настроить новый сертификат в профиле Hotspot сервера
- Отключить правило Firewall Filter для порта 80 во входящих

Вот сам скрипт:

```
:log info "Script - Certificate renewal start"

:local commName "wifi.drumhill.co.uk"
:local dnsName "wifi.drumhill.co.uk"

/ip firewall filter
enable [find where comment="LetsEncrypt"]

#Удалить старый сертификат, создать новый сертификат
/certificate
remove [find where common-name=$commName]
enable-ssl-certificate dns=$dnsName

#Задержка, чтобы запрос сертификата успел выполниться перед продолжением скрипта
:delay 90s

/certificate
:local certName [get [find where common-name=$commName] name]

#Установить новый сертификат в профиле SSTP
/interface sstp-server server
set certificate=$certName

#Установить новый сертификат в профиле Hotspot
/ip hotspot profile
set [find where name=Hotspot] ssl-certificate=$certName

/ip firewall filter
disable [find where comment="LetsEncrypt"]
```

Пункты с 1 по 4 работают отлично. Кажется, скрипт застревает на пункте 5. Думаю, дело в том, что я неправильно ссылаюсь на профиль Hotspot Server, куда хочу назначить сертификат — явно мой FIND WHERE не совсем корректен. Есть идеи, кто что посоветует?

Спасибо, Колин
29.12.2022 07:58:00, ColinSlater.

Продление SSL-сертификата Let's Encrypt

Sun, 18 Sep 2022 08:56:00 +0300

Продление SSL-сертификата Let's Encrypt RouterOS в форуме RouterOS.
Привет! У меня есть RB4011 с ROS версии 7.5. Я воспользовался недавно добавленной поддержкой Let’s Encrypt / ACME, чтобы создать сертификат Let’s Encrypt, который используем для Hotspot и SSTP-VPN — всё работает отлично. Сертификаты Let’s Encrypt действуют 90 дней, поэтому для их обновления я написал такой скрипт:
/ip service enable [find name="www"];
/certificate enable-ssl-certificate dns-name=[Моё DNS имя];
/ip service disable [find name="www"];

(Разумеется, в реальном скрипте MikroTik указан настоящий DNS для SSL-сертификата, здесь я его спрятал).

Причина использования первой и третьей строки — мне посоветовали отключать сервис www для самого файрвола из соображений безопасности. Мы администрируем файрвол через Winbox по локальной сети или VPN, так что это не создаёт проблем. Но для обновления сертификата Let’s Encrypt сервис должен быть включён, поэтому в скрипте я его активирую, а после завершения — отключаю.

Две проблемы:
1. Когда я вручную запускаю команду обновления в терминале, появляется сообщение "[success] ssl certificate updated", но срок действия сертификата в SYSTEM → Certificates не меняется.
2. Скрипт, когда я запускаю его вручную, выполняется и заканчивается гораздо быстрее (меньше секунды), чем если вручную выполнять обновление сертификата в терминале (примерно 10-15 секунд). Возникает вопрос: действительно ли скрипт что-то делает или нужно добавить какие-то команды, чтобы дождаться завершения одного действия перед началом следующего?

Спасибо! Колин
18.09.2022 08:56:00, ColinSlater.