alex29
Goto Top

Mikrotik Zertifizierungsstelle

Hallo in die Runde,

Ich habe vor knapp einem Jahr mit Eurer Hilfe und weiteren Infos aus dem Netz zwei Mikrotik-Router so konfiguriert, dass zwischen ihnen ein OpenVPN-Tunnel aufgebaut wird. Vor kurzem habe ich nun bei Klicken durch die WinBox gesehen, dass das Zertifikat welches für den Tunnel benötigt wird, bald abläuft.
Ist vor diesem Hintergrund eine Aktion meinerseits erforderlich, oder aktualisiert sich das Zertifikat selbständig?

Es handelt sich um zwei Mikrotik-Router mit aktuellem RouterOS. Die Zertifizierungsstelle läuft auf einem der beiden Router.

Falls ich das Zertifikat manuell erneuern muss wäre es schön, wenn mir jemand kurz beschreiben kann was ich (in der WinBox) tun muss. Im Internet habe ich dazu leider nichts finden können - hier ist immer nur die Neueinrichtung beschrieben.

Viele Grüße
Alex

Content-ID: 549674

Url: https://administrator.de/forum/mikrotik-zertifizierungsstelle-549674.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

aqui
aqui 20.02.2020 aktualisiert um 09:07:24 Uhr
Goto Top
Die Zertifikate dürften, wie immer, von dir selbstsignierte sein wie es in der Regel bei OpenVPN üblich ist.
Hier steht wie du neue erstellst wenn du das OpenVPN onboard EasyRSA Tool benutzt:
Clientverbindung OpenVPN Mikrotik
Es geht natürlich auch mit XCA usw.
Du kannst es aber über das Zertifikats Menü in der WinBox auf komplett auf dem MT machen:
https://www.youtube.com/watch?v=hbKmxu3Hk1A
https://www.youtube.com/watch?v=ZZBvOyjCZ6U
https://blog.effenberger.org/2019/04/21/openvpn-server-unter-mikrotik-ro ...
https://www.bachmann-lan.de/mikrotik-openvpn-ca-und-zertifikate-erstelle ...
Es gibt hunderte Anleitungen dazu im Internet...
Alex29
Alex29 20.02.2020 um 09:21:50 Uhr
Goto Top
Danke für Deine schnelle Antwort.
...ja, ich habe es ohne zusätzliche Soft- bzw. Hardware nur mit Hilfe der beiden Router eingerichtet. Ich glaube (ist aber knapp ein Jahr her) entsprechend Deines letzten Links.
Aber bei allen Links geht es ja um die Neueinrichtung des Tunnels. Mein Tunnel läuft ja aktuell noch sehr gut und meine Frage ist: Gibt es nun nicht eine einfachere Möglichkeit, dass die beiden Router sich weiter vertrauen.
Ich habe gehofft, es gibt einen „Taster“ „Zertifikat erneuern“ und alles ist gut.
Wenn ich Dich jedoch richtig verstehe fange ich wieder komplett neu an!
Schade!

Grüße
143127
143127 21.02.2020 aktualisiert um 09:28:30 Uhr
Goto Top
Na, ganz einfach, signiere mit deiner CA ein neues Serverzertifikat und wenn das Client-Zertifikat abläuft auch das weise die Zertifikate dem Dienst zu und fertig, wie immer eben.
https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
Den Part zum Erstellen der CA brauchst du natürlich nicht, die besteht ja bereits.
Alex29
Alex29 21.02.2020 um 12:12:58 Uhr
Goto Top
Danke für die Antwort.

Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
143127
143127 21.02.2020 aktualisiert um 12:16:07 Uhr
Goto Top
Zitat von @Alex29:
Ich werde es testen - aber mit „...wie immer eben.“ ist bei mir das Problem, da ich es noch nicht so oft umgesetzt habe.
Naja irgendwann ist immer das erste mal und wenn du es selbst machst lernst du wesentlich mehr als wenn du nur abtippst. Sonst tanzt du z.B. in 3 Jahren wenn das Zertifikat wieder abläuft hier erneut auf der Matte und das ist ja nicht Sinn des Ganzen.
143127
143127 21.02.2020 aktualisiert um 16:48:22 Uhr
Goto Top
Der Trend geht eh zu immer kürzeren Zertifikats-Laufzeiten, da sollte man sich mit dem Thema Automatisierung schon mal beschäftigen
https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zer ...
In Zeiten von Let's Encrypt ist das aber inzwischen auch kein Hexenwerk mehr.
Mein Mikrotik erneuert seine Zertifikate auch mittlerweile von selbst, er hält ja eine Skriptsprache dafür parat.