# MikroTik

## Preparar certificados

Para establecer una conexión RadSec válida, los puntos de acceso MikroTik deben confiar en el **Certificado del servidor RADIUS** y su servidor RADIUS debe confiar en el **Certificado de cliente RadSec**. Para lograrlo, siga los pasos a continuación:

### Opción 1: Usando la PKI de SCEPman

1. Descargue el certificado raíz de la CA que ha emitido su activo **Certificado del servidor RADIUS** como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#download). Como está usando SCEPman, podría tratarse de su certificado de la CA raíz de SCEPman.
2. Inicie sesión en su dispositivo MikroTik y luego cargue el certificado del paso 1 anterior al dispositivo MikroTik usando el **Archivos** menú de la izquierda.
3. Una vez cargado, vaya a su **Terminal** pestaña en la parte superior derecha y ejecute el siguiente comando para importar este certificado al almacén de certificados de MikroTik:

```
/certificate import file-name="scepman-root.cer"
```

4. Genere un **Certificado de cliente RadSec** usando **SCEPman Certificate Master** navegando al menú de [**Certificado de cliente**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) :<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FF2MVB2Jktg7BswcMp1O3%2Fimage.png?alt=media&#x26;token=21d77481-62f8-472a-92cf-03056e8bdec3" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Asegúrese de supervisar la caducidad de su **Certificado de cliente RadSec** y renovarlo a tiempo para evitar interrupciones del servicio.
{% endhint %}

5. Una vez que se descargue el **Certificado de cliente RadSec** , extraiga la clave privada, por ejemplo usando OpenSSL, ya que esta tendrá que importarse al punto de acceso por separado:&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. Cargue ambos archivos, el certificado y la clave privada, a través del menú **Archivos** . Luego importe primero el certificado y después la clave privada. Durante el proceso de importación, la **clave privada** se fusionará con el certificado indicado por la letra '**K**' como se muestra a continuación.&#x20;

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FcdN1L6tWzQ2Qf4Sw4XJT%2Fimage.png?alt=media&#x26;token=e2bf84bf-eb9d-4366-84d4-2b088fa381b7" alt=""><figcaption></figcaption></figure>

### Opción 2: Usando otras PKI

{% hint style="info" %}
Utilice esta sección si desea crear una CA raíz en su AP Mikrotik y generar un **Certificado de cliente RadSec** a partir de esta raíz. Tenga en cuenta que todos estos pasos pueden completarse tanto en la interfaz gráfica como en la terminal.
{% endhint %}

1. Descargue el certificado raíz de la CA que ha emitido su activo **Certificado del servidor RADIUS** como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#download).
2. Inicie sesión en su dispositivo MikroTik y luego cargue el certificado del paso 1 anterior al dispositivo MikroTik usando el **Archivos** menú de la izquierda.
3. Una vez cargado, vaya a su **Terminal** pestaña en la parte superior derecha y ejecute el siguiente comando para importar este certificado al almacén de certificados de MikroTik:

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. Si aún no ha generado **Certificado de cliente RadSec** para MikroTik AP, genere uno según el siguiente ejemplo. Para obtener más información sobre la creación de certificados, haga clic en [aquí](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
Asegúrese de supervisar la caducidad de su **Certificado de cliente RadSec** y renovarlo a tiempo para evitar interrupciones del servicio.
{% endhint %}

Ejemplo:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

En el ejemplo anterior, la primera línea crea una CA raíz llamada **myCa**. La segunda línea genera un certificado de cliente para el dispositivo MikroTik, y la tercera línea usa **myCa** (CA) para firmar el **mikrotik-client** certificado generado en el paso 2. Si todo salió bien, terminará con tres certificados como se muestra a continuación. Asegúrese de que su dispositivo MikroTik confíe en los certificados relevantes (**T** bandera en la sección verde). Si todavía no es así, establezca la bandera usando el siguiente comando:

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/yIhn9109WeJVm5tKDrkS/image.png" alt=""><figcaption></figcaption></figure>

5. Exporte el certificado de la CA raíz (`myCa`) que ha emitido su **Certificado de cliente RadSec** anteriormente:

```
/certificate export-certificate myCa
```

6. Descárguelo desde el menú **Archivos** y luego cargue el archivo en su instancia de RADIUSaaS como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots#add) y seleccione **RadSec** en **Usar para.** Una vez completado, continúe configurando su AP MikroTik según lo indicado [a continuación ](#mikrotik-configuration)y use **Opción 1** para los certificados.

## Configuración de MikroTik

{% hint style="info" %}
Tenga en cuenta que la configuración a continuación se probó con RouterOS 6.47.4 y 6.49.11
{% endhint %}

1. Vuelva a su WebFig, agregue un nuevo perfil RADIUS e introduzca la siguiente información:

<table><thead><tr><th width="198">Parámetro</th><th>Valor</th></tr></thead><tbody><tr><td>Dirección</td><td>Use la dirección IP de su <a href="../../../portal-de-administracion/settings/settings-server">Configuración del servidor </a>página.</td></tr><tr><td>Protocolo</td><td>radsec</td></tr><tr><td>Secreto</td><td>"radsec"</td></tr><tr><td>Puerto de autenticación</td><td>2083</td></tr><tr><td>Puerto de contabilidad</td><td>2083</td></tr><tr><td>Tiempo de espera</td><td>4000 ms</td></tr><tr><td>Certificado</td><td><a href="#option-1-using-the-scepman-pki"><strong>Opción 1</strong></a>: Certificado de cliente (RadSec) emitido por SCEPman (generado en el paso 4).<br><a href="#option-2-using-other-cas"><strong>Opción 2</strong></a>: <strong>Certificado de cliente RadSec</strong> emitido por la CA integrada de MikroTik (generado en el paso 4).</td></tr></tbody></table>

![Configuración del perfil RADIUS / RadSec](https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FfM6mmWqYWYDXC4rxDrBM%2F2024-09-03_14h43_36.png?alt=media\&token=c1ab1a19-5e32-42d2-9f57-394ffe51ae41)

2. Vaya a **Wireless,** agregue un nuevo **Perfil de seguridad** e introduzca la siguiente información:&#x20;

<table><thead><tr><th width="227">Parámetro</th><th>Valor</th></tr></thead><tbody><tr><td>Nombre</td><td>Nombre del perfil de seguridad RADIUS</td></tr><tr><td>Modo</td><td>claves dinámicas</td></tr><tr><td>Métodos EAP</td><td>passthrough</td></tr><tr><td>Modo TLS</td><td>verificar certificado</td></tr><tr><td>Certificado TLS</td><td><a href="#option-1-using-the-scepman-pki"><strong>Opción 1</strong></a>: certificado de la CA raíz de SCEPman.<br><a href="#option-2-using-other-cas"><strong>Opción 2</strong></a>: certificado de CA del cliente RADIUSaaS.</td></tr></tbody></table>

![](https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F8HFMIdX7JdMxugs31tgO%2F2025-08-28_12h39_32.png?alt=media\&token=acde26c0-eea6-43d7-be3b-725e966f3049)

3. Cambie a su **Interfaces Wi‑Fi** y asigne su **Perfil de seguridad** a la interfaz.

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0TAA2KG9NUR5tWOtjzdU/image.png)