# MikroTik

## 証明書を準備する

有効な RadSec 接続を確立するには、MikroTik Access Points が次を信頼している必要があります。 **RADIUS Server Certificate** および RADIUS サーバーは次を信頼している必要があります。 **RadSec Client Certificate**。これを実現するには、以下の手順に従ってください。

### オプション 1: SCEPman PKI を使用する

1. 有効な **RADIUS Server Certificate** で説明されている CA のルート証明書をダウンロードします。 [ここ](https://docs.radiusaas.com/ja/ptaru/settings/settings-server#download)。SCEPman を使用しているため、それは SCEPman Root CA 証明書かもしれません。
2. MikroTik デバイスにログオンし、手順 1 の証明書を左側の **Files** メニューを使用して MikroTik デバイスにアップロードします。
3. アップロードしたら、右上の **Terminal** タブに切り替え、次のコマンドを実行してこの証明書を MikroTik の証明書ストアにインポートします。

```
/certificate import file-name="scepman-root.cer"
```

4. を生成する **RadSec Client Certificate** を使用して **SCEPman Certificate Master** の [**Client Certificate**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) メニューに移動して、<br>

   <figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FF2MVB2Jktg7BswcMp1O3%2Fimage.png?alt=media&#x26;token=21d77481-62f8-472a-92cf-03056e8bdec3" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
の有効期限を監視し、 **RadSec Client Certificate** サービス中断を防ぐために期限内に更新してください。
{% endhint %}

5. いったん **RadSec Client Certificate** がダウンロードされたら、たとえば OpenSSL を使用して秘密鍵を抽出します。これはアクセスポイントへ個別にインポートする必要があるためです。&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. 証明書と秘密鍵の両方のファイルを **Files** メニューからアップロードします。次に、まず証明書をインポートし、その後に秘密鍵をインポートします。インポート処理中に **秘密鍵** は、以下に示すように文字「**K**」で示された証明書と結合されます。&#x20;

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FcdN1L6tWzQ2Qf4Sw4XJT%2Fimage.png?alt=media&#x26;token=e2bf84bf-eb9d-4366-84d4-2b088fa381b7" alt=""><figcaption></figcaption></figure>

### オプション 2: その他の PKI を使用する

{% hint style="info" %}
Mikrotik AP 上にルート CA を作成し、そこから **RadSec Client Certificate** を生成したい場合は、このセクションを使用してください。これらの手順はすべて GUI でもターミナルでも実行できます。
{% endhint %}

1. 有効な **RADIUS Server Certificate** で説明されている CA のルート証明書をダウンロードします。 [ここ](https://docs.radiusaas.com/ja/ptaru/settings/settings-server#download).
2. MikroTik デバイスにログオンし、手順 1 の証明書を左側の **Files** メニューを使用して MikroTik デバイスにアップロードします。
3. アップロードしたら、右上の **Terminal** タブに切り替え、次のコマンドを実行してこの証明書を MikroTik の証明書ストアにインポートします。

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. まだ **RadSec Client Certificate** を MikroTik AP 用に生成していない場合は、以下の例に従って生成してください。証明書の作成方法の詳細については、 [ここ](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
の有効期限を監視し、 **RadSec Client Certificate** サービス中断を防ぐために期限内に更新してください。
{% endhint %}

例:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

上の例では、1 行目で **myCa**というルート CA を作成します。2 行目で MikroTik デバイス用のクライアント証明書を生成し、3 行目で **myCa** (CA) を使用して手順 2 で生成された **mikrotik-client** 証明書に署名します。すべてがうまくいけば、下に示すように 3 つの証明書が作成されます。MikroTik デバイスが関連する証明書（緑色のセクションの**T** フラグ）を信頼していることを確認してください。まだそうでない場合は、以下のコマンドでフラグを設定してください。

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/yIhn9109WeJVm5tKDrkS/image.png" alt=""><figcaption></figcaption></figure>

5. ルート CA 証明書（`myCa`）をエクスポートしてください。これはあなたの **RadSec Client Certificate** 上記で発行したものです。

```
/certificate export-certificate myCa
```

6. をダウンロードし、その後、説明されているようにファイルを RADIUSaaS インスタンスにアップロードします。 **Files** および [ここ](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#add) を選択します **RadSec** の下の **Use for.** 完了したら、以下に従って MikroTik AP の設定を続け、証明書には [以下の ](#mikrotik-configuration)を使用します。 **オプション 1** 。

## MikroTik の設定

{% hint style="info" %}
以下の設定は RouterOS 6.47.4 および 6.49.11 でテスト済みです。
{% endhint %}

1. WebFig に戻り、新しい RADIUS プロファイルを追加して、次の情報を入力してください。

<table><thead><tr><th width="198">パラメーター</th><th>値</th></tr></thead><tbody><tr><td>アドレス</td><td>次の IP アドレスを使用します <a href="../../../ptaru/settings/settings-server">Server Settings </a>ページの。</td></tr><tr><td>プロトコル</td><td>radsec</td></tr><tr><td>シークレット</td><td>"radsec"</td></tr><tr><td>認証ポート</td><td>2083</td></tr><tr><td>アカウンティングポート</td><td>2083</td></tr><tr><td>タイムアウト</td><td>4000 ms</td></tr><tr><td>証明書</td><td><a href="#option-1-using-the-scepman-pki"><strong>オプション 1</strong></a>: SCEPman 発行の（RadSec）クライアント証明書（手順 4 で生成）。<br><a href="#option-2-using-other-cas"><strong>オプション 2</strong></a>: <strong>RadSec Client Certificate</strong> MikroTik の組み込み CA によって発行されたもの（手順 4 で生成）。</td></tr></tbody></table>

![RADIUS / RadSec プロファイルの設定](https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FfM6mmWqYWYDXC4rxDrBM%2F2024-09-03_14h43_36.png?alt=media\&token=c1ab1a19-5e32-42d2-9f57-394ffe51ae41)

2. に移動し **Wireless,** 新しい **Security Profile** を追加して、次の情報を入力してください。&#x20;

<table><thead><tr><th width="227">パラメーター</th><th>値</th></tr></thead><tbody><tr><td>名前</td><td>RADIUS セキュリティプロファイルの名前</td></tr><tr><td>モード</td><td>dynamic keys</td></tr><tr><td>EAP Methods</td><td>passthrough</td></tr><tr><td>TLS モード</td><td>証明書を検証</td></tr><tr><td>TLS 証明書</td><td><a href="#option-1-using-the-scepman-pki"><strong>オプション 1</strong></a>: SCEPman Root CA 証明書。<br><a href="#option-2-using-other-cas"><strong>オプション 2</strong></a>: RADIUSaaS Customer-CA 証明書。</td></tr></tbody></table>

![](https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F8HFMIdX7JdMxugs31tgO%2F2025-08-28_12h39_32.png?alt=media\&token=acde26c0-eea6-43d7-be3b-725e966f3049)

3. 次に **Wi-Fi Interfaces** に切り替え、 **Security Profile** をインターフェースに割り当てます。

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0TAA2KG9NUR5tWOtjzdU/image.png)