Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Новинка
Распродажа
Новости
Доставка
Оплата
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Настройка
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    Миграция самоподписанного удостоверяющего центра (CA)

    Миграция самоподписанного удостоверяющего центра (CA)

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Миграция самоподписанного удостоверяющего центра (CA), RouterOS
     
    steinbergs
    Guest
    #1
    0
    21.12.2018 10:12:00
    Привет. У меня есть один CCR1016-12S-1S+ как основной устройство и второй CCR1016-12S-1S+ в качестве резервного. Основной CCR также выступает в роли OVPN-сервера. Я хочу настроить второй CCR, чтобы он работал как резервный OVPN-сервер, но так, чтобы пользователи могли аутентифицироваться с помощью самоподписанных сертификатов, которые я создал на основном CCR. Я скопировал всю конфигурацию с CCR1 на CCR2, экспортировал CA с парольной фразой с CCR1 и импортировал на CCR2. Экспортировал пользовательские и серверные сертификаты с парольной фразой и тоже импортировал их. CA отображается как KLAT server, а пользовательские сертификаты — как KAT. Когда пытаюсь подключиться к CCR2, OVPN выдает ошибку:

    Fri Dec 21 12:01:07 2018 SIGUSR1[soft,tls-error] получен, процесс перезапускается
    Fri Dec 21 12:01:12 2018 TCP/UDP: сохраняю недавно использованный удалённый адрес: [AF_INET]10.0.1.254:1194
    Fri Dec 21 12:01:12 2018 Пытаюсь установить TCP-соединение с [AF_INET]10.0.1.254:1194 [nonblock]
    Fri Dec 21 12:01:13 2018 TCP-соединение установлено с [AF_INET]10.0.1.254:1194
    Fri Dec 21 12:01:13 2018 TCP_CLIENT локальная ссылка: (не привязан)  
    Fri Dec 21 12:01:13 2018 TCP_CLIENT удалённая ссылка: [AF_INET]10.0.1.254:1194
    Fri Dec 21 12:01:14 2018 OpenSSL: ошибка:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca  
    Fri Dec 21 12:01:14 2018 OpenSSL: ошибка:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure  
    Fri Dec 21 12:01:14 2018 TLS_ERROR: BIO read tls_read_plaintext ошибка  
    Fri Dec 21 12:01:14 2018 TLS Error: ошибка чтения входящего открытого текста TLS объекта  
    Fri Dec 21 12:01:14 2018 TLS Error: TLS рукопожатие не удалось  
    Fri Dec 21 12:01:14 2018 Фатальная ошибка TLS (check_tls_errors_co), перезапуск  
    Fri Dec 21 12:01:14 2018 SIGUSR1[soft,tls-error] получен, процесс перезапускается

    Какие-нибудь идеи? Заранее спасибо!
     
     
     
    AndresRqta
    Guest
    #2
    0
    10.01.2019 18:30:00
    У меня похожая проблема: в продакшене есть небольшой Mikrotik RB-750, настроенный с OpenVPN и четырьмя Windows-клиентами. Конфигурация нормальная и работает без проблем. У меня есть обновлённый .backup файл (созданный через winbox) и ещё один RB-750, сохранённый на случай непредвиденных ситуаций. В последние дни я пытался восстановить конфигурацию с первого RB-750 на второй. В бэкапе нет сертификатов, поэтому их нужно загружать и устанавливать вручную. Однако этот новый RB-750 не может запустить OpenVPN сервер так же, как первый. Возможно, это связано с какими-то внутренними данными Routerboard? Спасибо.
     
     
     
    sebastia
    Guest
    #3
    0
    10.01.2019 19:32:00
    Привет! Вики говорит: «Все приватные ключи и пароль экспорта CA хранятся в зашифрованном виде с использованием аппаратного идентификатора.» https://wiki.mikrotik.com/wiki/Manual:System/Certificates. Когда ты смотришь детали сертификатов, у них есть действительные приватные ключи?
     
     
     
    slyz
    Guest
    #4
    0
    12.07.2019 11:27:00
    Та же проблема, что и у автора темы. Единственное отличие, которое я вижу в выводе — это ca на основном устройстве и issuer на резервном.

    Основное устройство:  
    K L A  T name="myplace" country="LV" state="LV" locality="Riga" organization="corp" unit="IT"  
    common-name="myplace" key-size=2048 days-valid=3650 trusted=yes key-usage=key-cert-sign,crl-sign  
    ca-crl-host="127.0.0.1" serial-number="46Dxxxxxxxxxx100"  
    fingerprint="e20...ba345"  
    invalid-before=feb/07/2018 11:51:34 invalid-after=feb/05/2028 11:51:34

    K I name="guy@myplace" country="LV" state="LV" locality="Riga" organization="corp"  
    unit="IT" common-name="guy@myplace" key-size=2048 days-valid=3650 trusted=no  
    key-usage=tls-client ca=myplace serial-number="136xxxxxxxxxxF3C"  
    fingerprint="d22...e30"  
    invalid-before=may/25/2018 14:00:44 invalid-after=may/22/2028 14:00:44

    Резервное устройство:  
    KL A  T name="myplace" issuer=C=LV,ST=LV,L=Riga,O=corp,OU=IT,CN=myplace digest-algorithm=sha256  
    key-type=rsa country="LV" state="LV" locality="Riga" organization="corp" unit="IT"  
    common-name="myplace" key-size=2048 subject-alt-name="" days-valid=3650 trusted=yes  
    key-usage=key-cert-sign,crl-sign serial-number="46Dxxxxxxxxxx100"  
    fingerprint="e20...ba345"  
    invalid-before=feb/07/2018 11:51:34 invalid-after=feb/05/2028 11:51:34 expires-after=447w21h47m48s

    K T name="guy@myplace" issuer=C=LV,ST=LV,L=Riga,O=myplace,OU=IT,CN=myplace  
    digest-algorithm=sha256 key-type=rsa country="LV" state="LV" locality="Riga" organization="corp"  
    unit="IT" common-name="guy@myplace" key-size=2048 subject-alt-name="" days-valid=3650  
    trusted=yes key-usage=tls-client serial-number="136xxxxxxxxxxF3C"  
    fingerprint="d22...e30"  
    invalid-before=may/25/2018 14:00:44 invalid-after=may/22/2028 14:00:44 expires-after=462w2d23h56m58s

    Есть идеи, как заставить клиентов подключаться? Менять настройки на стороне клиента — не вариант.
     
     
     
    wolfktl
    Guest
    #5
    0
    04.08.2019 21:05:00
    Та же проблема с переносом сертификатов в ROS 6.44.5.

    Генерация сертификатов  
    /certificate add name=template-CA country=“RU” state=“Moscow” locality=“RU” organization=“88888” unit=“” common-name=“MT-CA” key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign  
    /certificate sign template-CA ca-crl-host=127.0.0.1 name=“MT-CA”  
    /certificate add name=template-SRV country=“RU” state=“Moscow” locality=“RU” organization=“88888” unit=“” common-name=“SRV-OVPN” key-size=4096 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server  
    /certificate sign template-SRV ca=“MT-CA” name=“SRV-OVPN”  
    /certificate add name=template-CL country=“RU” state=“Moscow” locality=“” organization=“88888” unit=“” common-name=“client-ovpn-template” key-size=4096 days-valid=3650 key-usage=tls-client  
    /certificate add name=template-CL-to-issue copy-from=“template-CL” common-name=“user_test”  
    /certificate sign template-CL-to-issue ca=“MT-CA” name=“user_test”

    Экспорт сертификатов  
    certificate export-certificate MT-CA export-passphrase=password12345678  
    certificate export-certificate export-passphrase=password12345678  
    /certificate export-certificate user_test export-passphrase=password12345678

    Импорт на новый mikrotik  
    [admin@MT-CORE-YC] > certificate import file-name=cert_export_MT-CA.crt passphrase=password12345678
    certificates-imported: 1  
    private-keys-imported: 0  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0  

    [admin@MT-CORE-YC] > certificate import file-name=cert_export_MT-CA.key passphrase=password12345678
    certificates-imported: 0  
    private-keys-imported: 1  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0  

    [admin@MT-CORE-YC] > certificate import file-name=cert_export_SRV-OVPN.crt passphrase=password12345678
    certificates-imported: 1  
    private-keys-imported: 0  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0  

    [admin@MT-CORE-YC] > certificate import file-name=cert_export_SRV-OVPN.key passphrase=password12345678
    certificates-imported: 0  
    private-keys-imported: 1  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0  

    [admin@MT-CORE-YC] > certificate import file-name=cert_export_user_test.crt passphrase=password12345678
    certificates-imported: 1  
    private-keys-imported: 0  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0  

    [admin@MT-CORE-YC] > certificate import file-name=cert_export_user_test.key passphrase=password12345678
    certificates-imported: 0  
    private-keys-imported: 1  
    files-imported: 1  
    decryption-failures: 0  
    keys-with-no-certificate: 0

    certificate print  
    Flags: K - приватный ключ, D - dsa, L - crl, C - смарт-карта, A - авторитет, I - выдан, R - отозван, E - истёк, T - доверенный  
    NAME                      COMMON-NAME                      SUBJECT-ALT-NAME  
    0 K L A  T MT-CA          MT-CA  
    1 K        SRV-OVPN        SRV-OVPN  
    2 K        user_test       user_test

    Подключение к новому mikrotik  

    Лог mikrotik:  
    ovpn,debug <1.17.29.184>: отключено

    Лог клиента:  
    Sun Aug 04 23:55:07 2019 OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca  
    Sun Aug 04 23:55:07 2019 OpenSSL: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure  
    Sun Aug 04 23:55:07 2019 TLS_ERROR: BIO read tls_read_plaintext error  
    Sun Aug 04 23:55:07 2019 TLS Error: TLS object → ошибка чтения входящего незашифрованного текста  
    Sun Aug 04 23:55:07 2019 TLS Error: TLS рукопожатие не удалось  
    Sun Aug 04 23:55:07 2019 Фатальная TLS ошибка (check_tls_errors_co), перезапуск

    Вывод тот же — сертификаты вроде импортированы, ключи на месте, но TLS рукопожатие падает из-за ошибки unknown ca.
     
     
     
    Exiver
    Guest
    #6
    0
    08.08.2019 14:45:00
    @wolfktl, пожалуйста, выложи всю свою конфигурацию (Original Router, Backup Router и Client) — иначе это всего лишь гадание на кофейной гуще... → /export hide-sensitive
     
     
     
    storybel
    Guest
    #7
    0
    24.10.2019 21:18:00
    Кто-нибудь из вас знает решение? Я в такой же ситуации. Импортированный центр сертификации не «распознаётся». Создавать новые клиентские сертификаты — не вариант.
     
     
     
    storybel
    Guest
    #8
    0
    24.10.2019 21:51:00
    Наконец-то у меня есть решение. Проблема была в CRL. Импорт сертификатов с CRL работает так:

    на старом роутере: IP → Services → включить WWW, убедитесь, что фаервол открыт;  
    на новом: проверьте связь со старым роутером (ping, traceroute и т.п.), импортируйте сертификаты с паролем, перезагрузите openvpn (или sstp и т.д.).  

    У меня всё заработало!
     
     
     
    jerryroy1
    Guest
    #9
    0
    27.03.2020 02:37:00
    Поясните этот шаг. В новом: убедитесь, что есть связь со старым роутером (ping, traceroute и т.п.), импортируйте сертификаты с парольной фразой, перезапустите openvpn (или sstp и т.д.). Почему нужно соединение со старым роутером? Вы имеете в виду открыть браузер на WAN-адресе старого роутера? Как именно вы подключаетесь и импортируете на новом роутере?
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2026 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры