6
Mikrotik Zertifizierungsstelle
Hallo in die Runde,
Ich habe vor knapp einem Jahr mit Eurer Hilfe und weiteren Infos aus dem Netz zwei Mikrotik-Router so konfiguriert, dass zwischen ihnen ein OpenVPN-Tunnel aufgebaut wird. Vor kurzem habe ich nun bei Klicken durch die WinBox gesehen, dass das Zertifikat welches für den Tunnel benötigt wird, bald abläuft.
Ist vor diesem Hintergrund eine Aktion meinerseits erforderlich, oder aktualisiert sich das Zertifikat selbständig?
Es handelt sich um zwei Mikrotik-Router mit aktuellem RouterOS. Die Zertifizierungsstelle läuft auf einem der beiden Router.
Falls ich das Zertifikat manuell erneuern muss wäre es schön, wenn mir jemand kurz beschreiben kann was ich (in der WinBox) tun muss. Im Internet habe ich dazu leider nichts finden können - hier ist immer nur die Neueinrichtung beschrieben.
Viele Grüße
Alex
Ich habe vor knapp einem Jahr mit Eurer Hilfe und weiteren Infos aus dem Netz zwei Mikrotik-Router so konfiguriert, dass zwischen ihnen ein OpenVPN-Tunnel aufgebaut wird. Vor kurzem habe ich nun bei Klicken durch die WinBox gesehen, dass das Zertifikat welches für den Tunnel benötigt wird, bald abläuft.
Ist vor diesem Hintergrund eine Aktion meinerseits erforderlich, oder aktualisiert sich das Zertifikat selbständig?
Es handelt sich um zwei Mikrotik-Router mit aktuellem RouterOS. Die Zertifizierungsstelle läuft auf einem der beiden Router.
Falls ich das Zertifikat manuell erneuern muss wäre es schön, wenn mir jemand kurz beschreiben kann was ich (in der WinBox) tun muss. Im Internet habe ich dazu leider nichts finden können - hier ist immer nur die Neueinrichtung beschrieben.
Viele Grüße
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 549674
Url: https://administrator.de/contentid/549674
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
Die Zertifikate dürften, wie immer, von dir selbstsignierte sein wie es in der Regel bei OpenVPN üblich ist.
Hier steht wie du neue erstellst wenn du das OpenVPN onboard EasyRSA Tool benutzt:
Clientverbindung OpenVPN Mikrotik
Es geht natürlich auch mit XCA usw.
Du kannst es aber über das Zertifikats Menü in der WinBox auf komplett auf dem MT machen:
https://www.youtube.com/watch?v=hbKmxu3Hk1A
https://www.youtube.com/watch?v=ZZBvOyjCZ6U
https://blog.effenberger.org/2019/04/21/openvpn-server-unter-mikrotik-ro ...
https://www.bachmann-lan.de/mikrotik-openvpn-ca-und-zertifikate-erstelle ...
Es gibt hunderte Anleitungen dazu im Internet...
Hier steht wie du neue erstellst wenn du das OpenVPN onboard EasyRSA Tool benutzt:
Clientverbindung OpenVPN Mikrotik
Es geht natürlich auch mit XCA usw.
Du kannst es aber über das Zertifikats Menü in der WinBox auf komplett auf dem MT machen:
https://www.youtube.com/watch?v=hbKmxu3Hk1A
https://www.youtube.com/watch?v=ZZBvOyjCZ6U
https://blog.effenberger.org/2019/04/21/openvpn-server-unter-mikrotik-ro ...
https://www.bachmann-lan.de/mikrotik-openvpn-ca-und-zertifikate-erstelle ...
Es gibt hunderte Anleitungen dazu im Internet...
Danke für Deine schnelle Antwort.
...ja, ich habe es ohne zusätzliche Soft- bzw. Hardware nur mit Hilfe der beiden Router eingerichtet. Ich glaube (ist aber knapp ein Jahr her) entsprechend Deines letzten Links.
Aber bei allen Links geht es ja um die Neueinrichtung des Tunnels. Mein Tunnel läuft ja aktuell noch sehr gut und meine Frage ist: Gibt es nun nicht eine einfachere Möglichkeit, dass die beiden Router sich weiter vertrauen.
Ich habe gehofft, es gibt einen „Taster“ „Zertifikat erneuern“ und alles ist gut.
Wenn ich Dich jedoch richtig verstehe fange ich wieder komplett neu an!
Schade!
Grüße
...ja, ich habe es ohne zusätzliche Soft- bzw. Hardware nur mit Hilfe der beiden Router eingerichtet. Ich glaube (ist aber knapp ein Jahr her) entsprechend Deines letzten Links.
Aber bei allen Links geht es ja um die Neueinrichtung des Tunnels. Mein Tunnel läuft ja aktuell noch sehr gut und meine Frage ist: Gibt es nun nicht eine einfachere Möglichkeit, dass die beiden Router sich weiter vertrauen.
Ich habe gehofft, es gibt einen „Taster“ „Zertifikat erneuern“ und alles ist gut.
Wenn ich Dich jedoch richtig verstehe fange ich wieder komplett neu an!
Schade!
Grüße
Na, ganz einfach, signiere mit deiner CA ein neues Serverzertifikat und wenn das Client-Zertifikat abläuft auch das weise die Zertifikate dem Dienst zu und fertig, wie immer eben.
https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
Den Part zum Erstellen der CA brauchst du natürlich nicht, die besteht ja bereits.
https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
Den Part zum Erstellen der CA brauchst du natürlich nicht, die besteht ja bereits.
Danke für die Antwort.
Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
Zitat von @Alex29:
Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
Naja irgendwann ist immer das erste mal und wenn du es selbst machst lernst du wesentlich mehr als wenn du nur abtippst. Sonst tanzt du z.B. in 3 Jahren wenn das Zertifikat wieder abläuft hier erneut auf der Matte und das ist ja nicht Sinn des Ganzen.Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
Der Trend geht eh zu immer kürzeren Zertifikats-Laufzeiten, da sollte man sich mit dem Thema Automatisierung schon mal beschäftigen
https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zer ...
In Zeiten von Let's Encrypt ist das aber inzwischen auch kein Hexenwerk mehr.
Mein Mikrotik erneuert seine Zertifikate auch mittlerweile von selbst, er hält ja eine Skriptsprache dafür parat.
https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zer ...
In Zeiten von Let's Encrypt ist das aber inzwischen auch kein Hexenwerk mehr.
Mein Mikrotik erneuert seine Zertifikate auch mittlerweile von selbst, er hält ja eine Skriptsprache dafür parat.
