# MikroTik

## Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen die MikroTik Access Points dem **RADIUS Server Certificate** vertrauen und Ihr RADIUS-Server muss dem **RadSec Client Certificate**vertrauen. Um dies zu erreichen, folgen Sie bitte den nachstehenden Schritten:

### Option 1: Verwendung der SCEPman-PKI

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download)beschrieben. Da Sie SCEPman verwenden, könnte das Ihr SCEPman Root CA-Zertifikat sein.
2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das Zertifikat aus Schritt 1 oben auf das MikroTik-Gerät über das **Files** Menü auf der linken Seite hoch.
3. Nach dem Hochladen wechseln Sie zu Ihrem **Terminal** Tab oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

```
/certificate import file-name="scepman-root.cer"
```

4. Erzeugen Sie ein **RadSec Client Certificate** mit **SCEPman Certificate Master** indem Sie zum [**Client Certificate**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) Menü navigieren:<br>

   <figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FF2MVB2Jktg7BswcMp1O3%2Fimage.png?alt=media&#x26;token=21d77481-62f8-472a-92cf-03056e8bdec3" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Achten Sie darauf, das Ablaufdatum Ihres **RadSec Client Certificate** zu überwachen und es rechtzeitig zu erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

5. Sobald das **RadSec Client Certificate** heruntergeladen wurde, extrahieren Sie den privaten Schlüssel, z. B. mit OpenSSL, da dieser separat auf den Access Point importiert werden muss:&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. Laden Sie beide Dateien, das Zertifikat und den privaten Schlüssel, über das **Files** Menü hoch. Importieren Sie dann zuerst das Zertifikat und anschließend den privaten Schlüssel. Während des Importvorgangs wird der **private key** mit dem durch den Buchstaben '**K**' gekennzeichneten Zertifikat zusammengeführt, wie unten gezeigt.&#x20;

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FcdN1L6tWzQ2Qf4Sw4XJT%2Fimage.png?alt=media&#x26;token=e2bf84bf-eb9d-4366-84d4-2b088fa381b7" alt=""><figcaption></figcaption></figure>

### Option 2: Verwendung anderer PKIs

{% hint style="info" %}
Verwenden Sie diesen Abschnitt, wenn Sie auf Ihrem Mikrotik AP eine Root-CA erstellen und ein **RadSec Client Certificate** aus dieser Root-CA generieren möchten. Bitte beachten Sie, dass all diese Schritte entweder in der GUI oder im Terminal durchgeführt werden können.
{% endhint %}

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download).
2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das Zertifikat aus Schritt 1 oben auf das MikroTik-Gerät über das **Files** Menü auf der linken Seite hoch.
3. Nach dem Hochladen wechseln Sie zu Ihrem **Terminal** Tab oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. Wenn Sie noch nicht bereits **RadSec Client Certificate** für den MikroTik AP generiert haben, erstellen Sie eines gemäß dem folgenden Beispiel. Weitere Informationen zum Erstellen von Zertifikaten finden Sie [hier](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
Achten Sie darauf, das Ablaufdatum Ihres **RadSec Client Certificate** zu überwachen und es rechtzeitig zu erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

Beispiel:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

Im obigen Beispiel erstellt die erste Zeile eine Root-CA namens **myCa**. Die zweite Zeile erzeugt ein Client-Zertifikat für das MikroTik-Gerät, und die dritte Zeile verwendet **myCa** (CA), um das **mikrotik-client** in Schritt 2 erzeugte Zertifikat zu signieren. Wenn alles geklappt hat, sollten Sie am Ende drei Zertifikate haben, wie unten gezeigt. Bitte stellen Sie sicher, dass Ihr MikroTik-Gerät den relevanten Zertifikaten vertraut (**T** -Kennzeichnung im grünen Bereich). Sollte das noch nicht der Fall sein, setzen Sie das Kennzeichen mit dem folgenden Befehl:

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/yIhn9109WeJVm5tKDrkS/image.png" alt=""><figcaption></figcaption></figure>

5. Exportieren Sie das Root-CA-Zertifikat (`myCa`) , das Ihr **RadSec Client Certificate** oben ausgestellt hat:

```
/certificate export-certificate myCa
```

6. Laden Sie es über das **Files** Menü herunter und laden Sie dann die Datei auf Ihre RADIUSaaS-Instanz hoch, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots#add) beschrieben, und wählen Sie **RadSec** unter **Use for.** Sobald dies abgeschlossen ist, fahren Sie mit der Konfiguration Ihres MikroTik AP gemäß [unten ](#mikrotik-configuration)fort und verwenden Sie **Option 1** für Zertifikate.

## MikroTik-Konfiguration

{% hint style="info" %}
Bitte beachten Sie, dass die folgende Konfiguration mit RouterOS 6.47.4 und 6.49.11 getestet wurde
{% endhint %}

1. Wechseln Sie zurück zu Ihrem WebFig, fügen Sie ein neues RADIUS-Profil hinzu und geben Sie die folgenden Informationen ein:

<table><thead><tr><th width="198">Parameter</th><th>Wert</th></tr></thead><tbody><tr><td>Adresse</td><td>Verwenden Sie die IP-Adresse von Ihrer <a href="../../../admin-portal/settings/settings-server">Server Settings </a>Seite.</td></tr><tr><td>Protokoll</td><td>radsec</td></tr><tr><td>Geheimnis</td><td>"radsec"</td></tr><tr><td>Authentifizierungsport</td><td>2083</td></tr><tr><td>Accounting-Port</td><td>2083</td></tr><tr><td>Zeitüberschreitung</td><td>4000 ms</td></tr><tr><td>Zertifikat</td><td><a href="#option-1-using-the-scepman-pki"><strong>Option 1</strong></a>: Von SCEPman ausgestelltes (RadSec) Client-Zertifikat (in Schritt 4 erzeugt).<br><a href="#option-2-using-other-cas"><strong>Option 2</strong></a>: <strong>RadSec Client Certificate</strong> , ausgestellt von der integrierten CA von MikroTik (in Schritt 4 erzeugt).</td></tr></tbody></table>

![Konfiguration des RADIUS-/RadSec-Profils](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FfM6mmWqYWYDXC4rxDrBM%2F2024-09-03_14h43_36.png?alt=media\&token=c1ab1a19-5e32-42d2-9f57-394ffe51ae41)

2. Gehen Sie zu **Wireless,** fügen Sie ein neues **Security Profile** hinzu und geben Sie die folgenden Informationen ein:&#x20;

<table><thead><tr><th width="227">Parameter</th><th>Wert</th></tr></thead><tbody><tr><td>Name</td><td>Name des RADIUS-Sicherheitsprofils</td></tr><tr><td>Modus</td><td>dynamische Schlüssel</td></tr><tr><td>EAP-Methoden</td><td>passthrough</td></tr><tr><td>TLS-Modus</td><td>Zertifikat überprüfen</td></tr><tr><td>TLS-Zertifikat</td><td><a href="#option-1-using-the-scepman-pki"><strong>Option 1</strong></a>: SCEPman Root CA-Zertifikat.<br><a href="#option-2-using-other-cas"><strong>Option 2</strong></a>: RADIUSaaS Customer-CA-Zertifikat.</td></tr></tbody></table>

![](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F8HFMIdX7JdMxugs31tgO%2F2025-08-28_12h39_32.png?alt=media\&token=acde26c0-eea6-43d7-be3b-725e966f3049)

3. Wechseln Sie zu Ihren **Wi-Fi Interfaces** und weisen Sie Ihr **Security Profile** der Schnittstelle zu.

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0TAA2KG9NUR5tWOtjzdU/image.png)