# MikroTik

## Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen die MikroTik Access Points dem **RADIUS Server Certificate** vertrauen und Ihr RADIUS-Server muss dem **RadSec Client Certificate**vertrauen. Um dies zu erreichen, folgen Sie bitte den nachstehenden Schritten:

### Option 1: Verwendung der SCEPman-PKI

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download)beschrieben. Da Sie SCEPman verwenden, könnte das Ihr SCEPman Root CA-Zertifikat sein.
2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das Zertifikat aus Schritt 1 oben auf das MikroTik-Gerät über das **Files** Menü auf der linken Seite hoch.
3. Nach dem Hochladen wechseln Sie zu Ihrem **Terminal** Tab oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

```
/certificate import file-name="scepman-root.cer"
```

4. Erzeugen Sie ein **RadSec Client Certificate** mit **SCEPman Certificate Master** indem Sie zum [**Client Certificate**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) Menü navigieren:<br>

   <figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FF2MVB2Jktg7BswcMp1O3%2Fimage.png?alt=media&#x26;token=21d77481-62f8-472a-92cf-03056e8bdec3" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Achten Sie darauf, das Ablaufdatum Ihres **RadSec Client Certificate** zu überwachen und es rechtzeitig zu erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

5. Sobald das **RadSec Client Certificate** heruntergeladen wurde, extrahieren Sie den privaten Schlüssel, z. B. mit OpenSSL, da dieser separat auf den Access Point importiert werden muss:&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. Laden Sie beide Dateien, das Zertifikat und den privaten Schlüssel, über das **Files** Menü hoch. Importieren Sie dann zuerst das Zertifikat und anschließend den privaten Schlüssel. Während des Importvorgangs wird der **private key** mit dem durch den Buchstaben '**K**' gekennzeichneten Zertifikat zusammengeführt, wie unten gezeigt.&#x20;

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FcdN1L6tWzQ2Qf4Sw4XJT%2Fimage.png?alt=media&#x26;token=e2bf84bf-eb9d-4366-84d4-2b088fa381b7" alt=""><figcaption></figcaption></figure>

### Option 2: Verwendung anderer PKIs

{% hint style="info" %}
Verwenden Sie diesen Abschnitt, wenn Sie auf Ihrem Mikrotik AP eine Root-CA erstellen und ein **RadSec Client Certificate** aus dieser Root-CA generieren möchten. Bitte beachten Sie, dass all diese Schritte entweder in der GUI oder im Terminal durchgeführt werden können.
{% endhint %}

1. Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download).
2. Melden Sie sich an Ihrem MikroTik-Gerät an und laden Sie dann das Zertifikat aus Schritt 1 oben auf das MikroTik-Gerät über das **Files** Menü auf der linken Seite hoch.
3. Nach dem Hochladen wechseln Sie zu Ihrem **Terminal** Tab oben rechts und führen Sie den folgenden Befehl aus, um dieses Zertifikat in den Zertifikatsspeicher von MikroTik zu importieren:

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. Wenn Sie noch nicht bereits **RadSec Client Certificate** für den MikroTik AP generiert haben, erstellen Sie eines gemäß dem folgenden Beispiel. Weitere Informationen zum Erstellen von Zertifikaten finden Sie [hier](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
Achten Sie darauf, das Ablaufdatum Ihres **RadSec Client Certificate** zu überwachen und es rechtzeitig zu erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

Beispiel:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

Im obigen Beispiel erstellt die erste Zeile eine Root-CA namens **myCa**. Die zweite Zeile erzeugt ein Client-Zertifikat für das MikroTik-Gerät, und die dritte Zeile verwendet **myCa** (CA), um das **mikrotik-client** in Schritt 2 erzeugte Zertifikat zu signieren. Wenn alles geklappt hat, sollten Sie am Ende drei Zertifikate haben, wie unten gezeigt. Bitte stellen Sie sicher, dass Ihr MikroTik-Gerät den relevanten Zertifikaten vertraut (**T** -Kennzeichnung im grünen Bereich). Sollte das noch nicht der Fall sein, setzen Sie das Kennzeichen mit dem folgenden Befehl:

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/yIhn9109WeJVm5tKDrkS/image.png" alt=""><figcaption></figcaption></figure>

5. Exportieren Sie das Root-CA-Zertifikat (`myCa`) , das Ihr **RadSec Client Certificate** oben ausgestellt hat:

```
/certificate export-certificate myCa
```

6. Laden Sie es über das **Files** Menü herunter und laden Sie dann die Datei auf Ihre RADIUSaaS-Instanz hoch, wie [hier](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots#add) beschrieben, und wählen Sie **RadSec** unter **Use for.** Sobald dies abgeschlossen ist, fahren Sie mit der Konfiguration Ihres MikroTik AP gemäß [unten ](#mikrotik-configuration)fort und verwenden Sie **Option 1** für Zertifikate.

## MikroTik-Konfiguration

{% hint style="info" %}
Bitte beachten Sie, dass die folgende Konfiguration mit RouterOS 6.47.4 und 6.49.11 getestet wurde
{% endhint %}

1. Wechseln Sie zurück zu Ihrem WebFig, fügen Sie ein neues RADIUS-Profil hinzu und geben Sie die folgenden Informationen ein:

<table><thead><tr><th width="198">Parameter</th><th>Wert</th></tr></thead><tbody><tr><td>Adresse</td><td>Verwenden Sie die IP-Adresse von Ihrer <a href="../../../admin-portal/settings/settings-server">Server Settings </a>Seite.</td></tr><tr><td>Protokoll</td><td>radsec</td></tr><tr><td>Geheimnis</td><td>"radsec"</td></tr><tr><td>Authentifizierungsport</td><td>2083</td></tr><tr><td>Accounting-Port</td><td>2083</td></tr><tr><td>Zeitüberschreitung</td><td>4000 ms</td></tr><tr><td>Zertifikat</td><td><a href="#option-1-using-the-scepman-pki"><strong>Option 1</strong></a>: Von SCEPman ausgestelltes (RadSec) Client-Zertifikat (in Schritt 4 erzeugt).<br><a href="#option-2-using-other-cas"><strong>Option 2</strong></a>: <strong>RadSec Client Certificate</strong> , ausgestellt von der integrierten CA von MikroTik (in Schritt 4 erzeugt).</td></tr></tbody></table>

![Konfiguration des RADIUS-/RadSec-Profils](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FfM6mmWqYWYDXC4rxDrBM%2F2024-09-03_14h43_36.png?alt=media\&token=c1ab1a19-5e32-42d2-9f57-394ffe51ae41)

2. Gehen Sie zu **Wireless,** fügen Sie ein neues **Security Profile** hinzu und geben Sie die folgenden Informationen ein:&#x20;

<table><thead><tr><th width="227">Parameter</th><th>Wert</th></tr></thead><tbody><tr><td>Name</td><td>Name des RADIUS-Sicherheitsprofils</td></tr><tr><td>Modus</td><td>dynamische Schlüssel</td></tr><tr><td>EAP-Methoden</td><td>passthrough</td></tr><tr><td>TLS-Modus</td><td>Zertifikat überprüfen</td></tr><tr><td>TLS-Zertifikat</td><td><a href="#option-1-using-the-scepman-pki"><strong>Option 1</strong></a>: SCEPman Root CA-Zertifikat.<br><a href="#option-2-using-other-cas"><strong>Option 2</strong></a>: RADIUSaaS Customer-CA-Zertifikat.</td></tr></tbody></table>

![](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F8HFMIdX7JdMxugs31tgO%2F2025-08-28_12h39_32.png?alt=media\&token=acde26c0-eea6-43d7-be3b-725e966f3049)

3. Wechseln Sie zu Ihren **Wi-Fi Interfaces** und weisen Sie Ihr **Security Profile** der Schnittstelle zu.

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0TAA2KG9NUR5tWOtjzdU/image.png)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/de/konfiguration/access-point-setup/radsec-available/mikrotik.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.