MikroTik

証明書を準備する

有効な RadSec 接続を確立するには、MikroTik アクセスポイントが RADIUS Server Certificate を信頼している必要があり、RADIUS サーバーは RadSec クライアント証明書を信頼している必要があります。これを実現するには、以下の手順に従ってください:

オプション 1: SCEPman PKI を使用する

1. アクティブな RADIUS Server Certificate を発行した CA のルート証明書を、 こちらに記載されているとおりにダウンロードします。SCEPman を使用しているため、それは SCEPman Root CA 証明書である可能性があります。

2. MikroTik デバイスにログオンし、上記の手順 1 で取得した証明書を、左側の Files メニューを使用して MikroTik デバイスにアップロードします。

3. アップロードが完了したら、右上の Terminal タブに切り替え、次のコマンドを実行して、この証明書を MikroTik の証明書ストアにインポートします:

/certificate import file-name="scepman-root.cer"

1. を生成します RadSec クライアント証明書 を使用して SCEPman Certificate Master に移動して Client Certificate メニューを開きます:

   

1. がダウンロードされたら、たとえば OpenSSL を使用して秘密鍵を抽出します。これはアクセスポイントに別途インポートする必要があるためです: RadSec クライアント証明書 openssl pkey -in yourfile.pem -out private.key

1. メニューからアップロードします。次に、最初に証明書をインポートし、その後に秘密鍵をインポートします。インポート処理中に、 Files 秘密鍵 は、以下に示すように文字「 K」で示された証明書と結合されます。オプション 2: 他の PKI を使用する

Mikrotik AP 上にルート CA を作成し、そこから

1. アクティブな RADIUS Server Certificate を発行した CA のルート証明書を、 こちら.

2. MikroTik デバイスにログオンし、上記の手順 1 で取得した証明書を、左側の Files メニューを使用して MikroTik デバイスにアップロードします。

3. アップロードが完了したら、右上の Terminal タブに切り替え、次のコマンドを実行して、この証明書を MikroTik の証明書ストアにインポートします:

1. を MikroTik AP 用に生成していない場合は、以下の例に従って生成してください。証明書の作成方法の詳細については、こちらをクリックしてください RadSec クライアント証明書 /certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign こちら.

例：

というルート CA を作成します。 myCa2 行目で MikroTik デバイス用のクライアント証明書を生成し、3 行目で myCa (CA) を使用して手順 2 で生成した mikrotik-client 証明書に署名します。すべてが正常に進めば、下に示すように 3 つの証明書が作成されます。MikroTik デバイスが関連する証明書（緑のセクションのT フラグ）を信頼していることを確認してください。まだそうでない場合は、以下のコマンドでフラグを設定します:

1. ルート CA 証明書（myCa）をエクスポートし、上記の RadSec クライアント証明書 が発行したものを:

1. のメニューからダウンロードし、その後、 Files に記載されているようにファイルを RADIUSaaS インスタンスにアップロードします こちら を選択し RadSec の下の 用途に 完了したら、 に従って MikroTik AP の設定を続け、証明書には を使用します オプション 1 。

MikroTik 設定

1. WebFig に戻り、新しい RADIUS プロファイルを追加して、次の情報を入力します:

1. へ移動し、 Wireless, を追加して Security Profile を開き、次の情報を入力します:

1. に切り替えて Wi-Fi Interfaces に Security Profile をインターフェースに割り当てます。