# MikroTik

## Preparar certificados

Para estabelecer uma ligação RadSec válida, os Pontos de Acesso MikroTik têm de confiar no **Certificado do Servidor RADIUS** e o seu servidor RADIUS tem de confiar no **Certificado de Cliente RadSec**. Para o conseguir, siga os passos abaixo:

### Opção 1: Utilizar a PKI SCEPman

1. Descarregue o certificado de raiz da CA que emitiu o seu ativo **Certificado do Servidor RADIUS** conforme descrito [aqui](/pt/portal-de-administracao/settings/settings-server.md#download). Uma vez que está a utilizar SCEPman, esse poderá ser o seu certificado SCEPman Root CA.
2. Inicie sessão no seu dispositivo MikroTik e, em seguida, carregue o certificado do passo 1 acima para o dispositivo MikroTik utilizando o menu **Ficheiros** à esquerda.
3. Depois de carregado, mude para o seu separador **Terminal** no canto superior direito e execute o seguinte comando para importar este certificado para o repositório de certificados do MikroTik:

```
/certificate import file-name="scepman-root.cer"
```

4. Gerar um **Certificado de Cliente RadSec** utilizando **SCEPman Certificate Master** navegando até ao menu [**Certificado de Cliente**](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12) :<br>

   <figure><img src="/files/744ae361c90aa1661ea37bf375997ef9c69ffb72" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Certifique-se de monitorizar a expiração do seu **Certificado de Cliente RadSec** e renová-lo atempadamente para evitar interrupções de serviço.
{% endhint %}

5. Assim que o **Certificado de Cliente RadSec** for descarregado, extraia a chave privada, por exemplo utilizando o OpenSSL, uma vez que esta terá de ser importada separadamente para o ponto de acesso:&#x20;

```
openssl pkey -in yourfile.pem -out private.key
```

6. Carregue ambos os ficheiros, o certificado e a chave privada, através do menu **Ficheiros** . Em seguida, importe primeiro o certificado e depois a chave privada. Durante o processo de importação, a **chave privada** será associada ao certificado indicado pela letra '**K**' como mostrado abaixo.&#x20;

<figure><img src="/files/f91c6a27cee821b2442772f437f0e2ba2cf24bef" alt=""><figcaption></figcaption></figure>

### Opção 2: Utilizar outras PKIs

{% hint style="info" %}
Utilize esta secção se pretender criar uma CA de raiz no seu AP Mikrotik e gerar um **Certificado de Cliente RadSec** a partir desta raiz. Tenha em atenção que todos estes passos podem ser concluídos tanto na GUI como no terminal.
{% endhint %}

1. Descarregue o certificado de raiz da CA que emitiu o seu ativo **Certificado do Servidor RADIUS** conforme descrito [aqui](/pt/portal-de-administracao/settings/settings-server.md#download).
2. Inicie sessão no seu dispositivo MikroTik e, em seguida, carregue o certificado do passo 1 acima para o dispositivo MikroTik utilizando o menu **Ficheiros** à esquerda.
3. Depois de carregado, mude para o seu separador **Terminal** no canto superior direito e execute o seguinte comando para importar este certificado para o repositório de certificados do MikroTik:

```
/certificate import file-name="RADIUS Customer CA - Contoso.cer"
```

4. Se ainda não gerou **Certificado de Cliente RadSec** para o AP MikroTik, gere um conforme o exemplo abaixo. Para mais informações sobre a criação de certificados, clique [aqui](https://wiki.mikrotik.com/wiki/Manual:Create_Certificates).&#x20;

{% hint style="warning" %}
Certifique-se de monitorizar a expiração do seu **Certificado de Cliente RadSec** e renová-lo atempadamente para evitar interrupções de serviço.
{% endhint %}

Exemplo:&#x20;

```
/certificate add name=myCa common-name=myCa key-usage=key-cert-sign,crl-sign
/certificate add name=mikrotik-client common-name=mikrotik-client
/certificate sign mikrotik-client ca=myCa name=mikrotik-client
```

No exemplo acima, a primeira linha cria uma CA de raiz chamada **myCa**. A segunda linha gera um certificado de cliente para o dispositivo MikroTik, e a terceira linha utiliza **myCa** (CA) para assinar o certificado **mikrotik-client** gerado no passo 2. Se tudo correr bem, acabará com três certificados, como mostrado abaixo. Certifique-se de que o seu dispositivo MikroTik confia nos certificados relevantes (sinalizador '**T** ' na secção verde). Se ainda não for esse o caso, defina o sinalizador utilizando o comando abaixo:

```
/certificate
set myCa trusted=yes
set "RADIUS Customer CA - Contoso.cer" trusted=yes
```

<figure><img src="/files/571fa70215d644fe1d1d9084e2f84e93a4b33923" alt=""><figcaption></figcaption></figure>

5. Exporte o certificado da CA de raiz (`myCa`) que emitiu o seu **Certificado de Cliente RadSec** acima:

```
/certificate export-certificate myCa
```

6. Descarregue-o a partir do menu **Ficheiros** e, em seguida, carregue o ficheiro para a sua instância RADIUSaaS conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add) e selecione **RadSec** em **Usar para.** Depois de concluído, continue a configurar o seu AP MikroTik conforme [abaixo ](#mikrotik-configuration)e utilize **Opção 1** para os certificados.

## Configuração do MikroTik

{% hint style="info" %}
Tenha em atenção que a configuração abaixo foi testada com o RouterOS 6.47.4 e 6.49.11
{% endhint %}

1. Volte ao seu WebFig, adicione um novo perfil RADIUS e introduza as seguintes informações:

<table><thead><tr><th width="198">Parâmetro</th><th>Valor</th></tr></thead><tbody><tr><td>Endereço</td><td>Utilize o endereço IP da sua página <a href="/pages/d3fa31c7eec353b66f8b270ebb659dfc2b04d7d4">Definições do Servidor </a>.</td></tr><tr><td>Protocolo</td><td>radsec</td></tr><tr><td>Segredo</td><td>"radsec"</td></tr><tr><td>Porta de Autenticação</td><td>2083</td></tr><tr><td>Porta de Contabilização</td><td>2083</td></tr><tr><td>Tempo limite</td><td>4000 ms</td></tr><tr><td>Certificado</td><td><a href="#option-1-using-the-scepman-pki"><strong>Opção 1</strong></a>: Certificado de Cliente SCEPman Issued (RadSec) (gerado no passo 4).<br><a href="#option-2-using-other-cas"><strong>Opção 2</strong></a>: <strong>Certificado de Cliente RadSec</strong> emitido pela CA incorporada do MikroTik (gerado no passo 4).</td></tr></tbody></table>

![Configurar perfil RADIUS / RadSec](/files/0aaee23cd39d2ab25fb80b5c220ee9ad97ea609f)

2. Vá a **Wireless,** adicione um novo **Perfil de Segurança** e introduza as seguintes informações:&#x20;

<table><thead><tr><th width="227">Parâmetro</th><th>Valor</th></tr></thead><tbody><tr><td>Nome</td><td>Nome do perfil de segurança RADIUS</td></tr><tr><td>Modo</td><td>chaves dinâmicas</td></tr><tr><td>Métodos EAP</td><td>pass-through</td></tr><tr><td>Modo TLS</td><td>verificar certificado</td></tr><tr><td>Certificado TLS</td><td><a href="#option-1-using-the-scepman-pki"><strong>Opção 1</strong></a>: certificado SCEPman Root CA.<br><a href="#option-2-using-other-cas"><strong>Opção 2</strong></a>: certificado RADIUSaaS Customer-CA.</td></tr></tbody></table>

![](/files/e2fafec00e5e0a496cd1b7b45224263b331263de)

3. Mude para **Interfaces Wi‑Fi** e atribua o seu **Perfil de Segurança** à interface.

![](/files/9ad964a7814161d3c56f4d89f3472311453bbcd8)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/pt/configuracao/access-point-setup/radsec-available/mikrotik.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.