MikroTik

Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen die MikroTik Access Points dem RADIUS-Serverzertifikat vertrauen und Ihr RADIUS-Server muss dem RadSec-Client-Zertifikatvertrauen. Folgen Sie dazu den untenstehenden Schritten:

Option 1: Verwendung der SCEPman-PKI

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives RADIUS-Serverzertifikat ausgestellt hat, wie beschrieben hier. Da Sie SCEPman verwenden, könnte dies Ihr SCEPman Root CA-Zertifikat sein.

2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das in Schritt 1 oben heruntergeladene Zertifikat mittels Dateien Menü auf der linken Seite auf das MikroTik-Gerät hoch.

3. Nachdem der Upload abgeschlossen ist, wechseln Sie zu Ihrem Terminal Reiter oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

/certificate import file-name="scepman-root.cer"

1. Erzeugen Sie ein RadSec-Client-Zertifikat unter Verwendung von SCEPman Certificate Master indem Sie zum Client-Zertifikat Menü navigieren:

   

1. Sobald das RadSec-Client-Zertifikat heruntergeladen ist, extrahieren Sie den privaten Schlüssel, z. B. mit OpenSSL, da dieser separat auf den Access Point importiert werden muss:

1. Laden Sie beide Dateien, das Zertifikat und den privaten Schlüssel, über das Dateien Menü hoch. Importieren Sie dann zuerst das Zertifikat und anschließend den privaten Schlüssel. Während des Importvorgangs wird der private Schlüssel mit dem Zertifikat verschmolzen, gekennzeichnet durch den Buchstaben 'K', wie unten gezeigt.

Option 2: Verwendung anderer PKIs

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives RADIUS-Serverzertifikat ausgestellt hat, wie beschrieben hier.

2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das in Schritt 1 oben heruntergeladene Zertifikat mittels Dateien Menü auf der linken Seite auf das MikroTik-Gerät hoch.

3. Nachdem der Upload abgeschlossen ist, wechseln Sie zu Ihrem Terminal Reiter oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

1. Falls Sie noch kein RadSec-Client-Zertifikat für MikroTik AP erstellt haben, erzeugen Sie eines nach dem folgenden Beispiel. Weitere Informationen zum Erstellen von Zertifikaten finden Sie unter hier.

Beispiel:

Im obigen Beispiel erstellt die erste Zeile eine Root-CA namens myCa. Die zweite Zeile erzeugt ein Client-Zertifikat für das MikroTik-Gerät und die dritte Zeile verwendet myCa (CA), um das in Schritt 2 erzeugte mikrotik-client Zertifikat zu signieren. Wenn alles geklappt hat, erhalten Sie am Ende drei Zertifikate wie unten gezeigt. Stellen Sie bitte sicher, dass Ihr MikroTik-Gerät die relevanten Zertifikate (T Flag im grünen Bereich) vertraut. Falls dies noch nicht der Fall ist, setzen Sie das Flag mit dem folgenden Befehl:

1. Exportieren Sie das Root-CA-Zertifikat (myCa) das Ihr RadSec-Client-Zertifikat oben:

1. Laden Sie es von der Dateien Menüseite herunter und laden Sie dann die Datei wie beschrieben in Ihre RADIUSaaS-Instanz hoch hier und wählen Sie RadSec unter Verwenden für. Sobald dies abgeschlossen ist, fahren Sie mit der Konfiguration Ihres MikroTik-AP wie unter unten fort und verwenden Sie Option 1 für Zertifikate.

MikroTik-Konfiguration

1. Wechseln Sie zurück zu Ihrem WebFig, fügen Sie ein neues RADIUS-Profil hinzu und geben Sie folgende Informationen ein:

1. Gehen Sie zu Wireless, fügen Sie ein neues Sicherheitsprofil hinzu und geben Sie die folgenden Informationen ein:

1. Wechseln Sie zu Ihrem WLAN-Schnittstellen und weisen Sie Ihr Sicherheitsprofil der Schnittstelle zu.