Niniejsze materiały pochodzą z dodatkowego kursu „Zastosowania systemu RouterOS firmy MikroTik”
Schemat sieci
RouterOS posiada wbudowany serwer WWW głównie do zdalnego zarządzania za pomocą WWW. Dostęp za pomocą HTTP można włączyć w każdej chwili:
/ip/service/set www disabled=no
Lub za pomocą WinBox
Dzięki temu możemy zalogować się do usługi WWW o nazwie WebFig:
Taki dostęp nie wymaga innej konfiguracji (ewentualnie oprócz firewall jeśli stosujemy). Problem pojawia się przy https: nawet po jego włączeniu:
/ip/service/set www-ssl disabled=no
Brak możliwości załadowania strony WebFig. Powodem jest brak certyfikatu. Przygotujemy zatem własny. Jednak potrzebny będzie publiczny certyfikat od autoryzowanego źródła do podpisania naszego certyfikatu, co kosztuje i wymaga czasu na uzyskanie. W małych instalacjach, sieciach wewnętrznych można przygotować certyfikat samodzielnie i także samodzielnie go podpisać. Tworzymy zatem certyfikat samopodpisany, który nam w zupełności wystarczy.
– Logujemy się do WinBox lub na konsolę
– Tworzymy szablon certyfikatu w menu /system/certificates/
– Dodajemy nowy z opcjami jak niżej:
Uwaga: pole common name powinno zawierać nazwę domeny zabezpieczanego certyfikatem serwera www
Użycie kluczy (wartości domyślne gdy tworzymy nowy szablon z konsoli):
– Tyle wystarczy dla zabezpieczenia strony protokołem HTTPS
– Klikamy Apply i szablon zapiszemy (to na razie tylko szablon)
Na liście certyfikatów pojawia się nasz szablon:
– Aby można było szablonu używać trzeba go podpisać, ponieważ nie mamy jeszcze własnego certyfikatu publicznego, wykonamy samopodpisanie
– W oknie szablonu klikamy Sign (to nieco inna funkcja niż klikając na liście certyfikatów i z menu podręcznego Sign) i w kolejnym oknie Start
– Z konsoli:
/system/certificate/add name=certWWW common-name=self_signed key-size=4096
/system/certificate/sign certWWW
– W ten sposób pojawi się certyfikat samopodpisany ze statusem „trusted”
– Teraz nasz certyfikat trzeba „podpiąć” pod serwer WWW
– /ip/services
– Z menu Certificate wybieramy nasz certyfikat samopodpisany i zatwierdzamy
– Możemy teraz zalogować się do WebFig naszego RouterOS
– Jak widać połączenie już jest realizowane po HTTPS ale oczywiście przeglądarka informuje o problemach z certyfikatem ponieważ wystawca i podmiot jest identyczny
– Szczegóły certyfikatu informują nas o problemie:
– Ten sam wystawca jak i odbiorca
– Certyfikat jest jednak technicznie sprawny i zapewnia szyfrowanie
Uwaga: jeśli na kliencie jest zainstalowany program antywirusowy może on przejąć komunikacje i podmienić wystawcę:
– W przeglądarce FF zobaczymy, ze mamy tylko jeden podmiot na ścieżce (bo certyfikat jest samopodpisany)
Zasoby
– tworzenie wlasnego CA + podpisanie nim certyfikatu dla www-ssl
