# MikroTik

## 証明書を準備する

有効な RadSec 接続を確立するには、MikroTik Access Points が次を信頼している必要があります。 **RADIUS Server Certificate** および RADIUS サーバーは次を信頼している必要があります。 **RadSec Client Certificate**。これを実現するには、以下の手順に従ってください。

### オプション 1: SCEPman PKI を使用する

1. 有効な **RADIUS Server Certificate** で説明されている CA のルート証明書をダウンロードします。 [ここ](/ja/ptaru/settings/settings-server.md#download)。SCEPman を使用しているため、それは SCEPman Root CA 証明書かもしれません。
2. MikroTik デバイスにログオンし、手順 1 の証明書を左側の **Files** メニューを使用して MikroTik デバイスにアップロードします。
3. アップロードしたら、右上の **Terminal** タブに切り替え、次のコマンドを実行してこの証明書を MikroTik の証明書ストアにインポートします。

```
/certificate import file-name="scepman-root.cer"
```

4. を生成する **RadSec Client Certificate** を使用して **SCEPman Certificate Master** の [**Client Certificate**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) メニューに移動して、<br>

   <figure><img src="/files/e25a926b1cad30207df0b6aa0aa4629d6becb080" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
の有効期限を監視し、 **RadSec Client Certificate** サービス中断を防ぐために期限内に更新してください。
{% endhint %}

5. いったん **RadSec Client Certificate** がダウンロードされたら、たとえば OpenSSL を使用して秘密鍵を抽出します。これはアクセスポイントへ個別にインポートする必要があるためです。&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. 証明書と秘密鍵の両方のファイルを **Files** メニューからアップロードします。次に、まず証明書をインポートし、その後に秘密鍵をインポートします。インポート処理中に **秘密鍵** は、以下に示すように文字「**K**」で示された証明書と結合されます。&#x20;

<figure><img src="/files/42cc34df0dcceb59a0ff27f1e04b1e62e7c81fe2" alt=""><figcaption></figcaption></figure>

### オプション 2: その他の PKI を使用する

{% hint style="info" %}
Mikrotik AP 上にルート CA を作成し、そこから **RadSec Client Certificate** を生成したい場合は、このセクションを使用してください。これらの手順はすべて GUI でもターミナルでも実行できます。
{% endhint %}

1. 有効な **RADIUS Server Certificate** で説明されている CA のルート証明書をダウンロードします。 [ここ](/ja/ptaru/settings/settings-server.md#download).
2. MikroTik デバイスにログオンし、手順 1 の証明書を左側の **Files** メニューを使用して MikroTik デバイスにアップロードします。
3. アップロードしたら、右上の **Terminal** タブに切り替え、次のコマンドを実行してこの証明書を MikroTik の証明書ストアにインポートします。

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. まだ **RadSec Client Certificate** を MikroTik AP 用に生成していない場合は、以下の例に従って生成してください。証明書の作成方法の詳細については、 [ここ](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
の有効期限を監視し、 **RadSec Client Certificate** サービス中断を防ぐために期限内に更新してください。
{% endhint %}

例:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

上の例では、1 行目で **myCa**というルート CA を作成します。2 行目で MikroTik デバイス用のクライアント証明書を生成し、3 行目で **myCa** (CA) を使用して手順 2 で生成された **mikrotik-client** 証明書に署名します。すべてがうまくいけば、下に示すように 3 つの証明書が作成されます。MikroTik デバイスが関連する証明書（緑色のセクションの**T** フラグ）を信頼していることを確認してください。まだそうでない場合は、以下のコマンドでフラグを設定してください。

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="/files/0fd3d4d08db87973dda72c91bf489b4a722ce22b" alt=""><figcaption></figcaption></figure>

5. ルート CA 証明書（`myCa`）をエクスポートしてください。これはあなたの **RadSec Client Certificate** 上記で発行したものです。

```
/certificate export-certificate myCa
```

6. をダウンロードし、その後、説明されているようにファイルを RADIUSaaS インスタンスにアップロードします。 **Files** および [ここ](/ja/ptaru/settings/trusted-roots.md#add) を選択します **RadSec** の下の **Use for.** 完了したら、以下に従って MikroTik AP の設定を続け、証明書には [以下の ](#mikrotik-configuration)を使用します。 **オプション 1** 。

## MikroTik の設定

{% hint style="info" %}
以下の設定は RouterOS 6.47.4 および 6.49.11 でテスト済みです。
{% endhint %}

1. WebFig に戻り、新しい RADIUS プロファイルを追加して、次の情報を入力してください。

<table><thead><tr><th width="198">パラメーター</th><th>値</th></tr></thead><tbody><tr><td>アドレス</td><td>次の IP アドレスを使用します <a href="/pages/737dc4221fa00a8b476d0c330bb1ac4aab8034b1">Server Settings </a>ページの。</td></tr><tr><td>プロトコル</td><td>radsec</td></tr><tr><td>シークレット</td><td>"radsec"</td></tr><tr><td>認証ポート</td><td>2083</td></tr><tr><td>アカウンティングポート</td><td>2083</td></tr><tr><td>タイムアウト</td><td>4000 ms</td></tr><tr><td>証明書</td><td><a href="#option-1-using-the-scepman-pki"><strong>オプション 1</strong></a>: SCEPman 発行の（RadSec）クライアント証明書（手順 4 で生成）。<br><a href="#option-2-using-other-cas"><strong>オプション 2</strong></a>: <strong>RadSec Client Certificate</strong> MikroTik の組み込み CA によって発行されたもの（手順 4 で生成）。</td></tr></tbody></table>

![RADIUS / RadSec プロファイルの設定](/files/f09143b7cdea66a78eebc22bdec64513e5cfafb8)

2. に移動し **Wireless,** 新しい **Security Profile** を追加して、次の情報を入力してください。&#x20;

<table><thead><tr><th width="227">パラメーター</th><th>値</th></tr></thead><tbody><tr><td>名前</td><td>RADIUS セキュリティプロファイルの名前</td></tr><tr><td>モード</td><td>dynamic keys</td></tr><tr><td>EAP Methods</td><td>passthrough</td></tr><tr><td>TLS モード</td><td>証明書を検証</td></tr><tr><td>TLS 証明書</td><td><a href="#option-1-using-the-scepman-pki"><strong>オプション 1</strong></a>: SCEPman Root CA 証明書。<br><a href="#option-2-using-other-cas"><strong>オプション 2</strong></a>: RADIUSaaS Customer-CA 証明書。</td></tr></tbody></table>

![](/files/8a1017599b4f955c246a03c35d12252d8ff5dfbf)

3. 次に **Wi-Fi Interfaces** に切り替え、 **Security Profile** をインターフェースに割り当てます。

![](/files/127ab304d8a49a764ed6e6c069c16488946a3e08)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/ja/gou-cheng/access-point-setup/radsec-available/mikrotik.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.