ПРИМЕЧАНИЕ : Процедуры задокументировано, где разработано с использованием RouterOS v6.45.1 и протестировано и известно, что оно работает правильно с 20190706. Однако, делая их общими, возможно, я мог внести ошибку; пожалуйста, сообщите, если какие-либо найдены, и я обновлю их соответствующим образом.
A) СОЗДАТЬ СЕРТИФИКАТЫ : (3) должны быть созданы типы сертификатов:
Сервер : Создать сертификат для стороны MikroTik соединения EAP-TLS
Клиент (ы) : Создайте сертификат для каждого Клиента, подключающегося к точке доступа MikroTik WiFi через EAP-TLS
Центр сертификации : Этот сертификат используется для создания Цепочка доверия для сертификатов путем подписания сертификатов клиента и сервера
B) НАСТРОЙКА EAP-TLS : после создания клиентских сертификатов их теперь можно использовать для настройки профилей безопасности беспроводной сети включение EAP TLS в качестве метода аутентификации
C) НАСТРОЙКА ВИРТУАЛЬНОЙ ТД С EAP AUTH : Создайте виртуальную ТД, которая применяет EAP TLS, используя только что созданный профиль безопасности.
Заменить «1.2.3.4» на ОБЩЕСТВЕННЫЙ IP-адрес Mi kroTik и замените другие значения-заполнители своими собственными перед выполнением следующих команд:
/certificate add name=CAF1Linux-template common-name=CAF1Linux country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Orgsanization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,key-cert-sign,crl-sign;
/certificate sign CAF1Linux-template ca-crl-host="1.2.3.4" name=CAF1Linux
Экспорт сертификата формата PEM:
/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CA PASSPHRASE"
Экспорт сертификата формата PKCS12:
/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CA PASSPHRASE" type=pkcs12
] Это сертификат для MikroTik.
Снова замените «1.2.3.4» на PUBLIC IP-адрес маршрутизатора MikroTik и, конечно же, замените все остальные значения-заполнители своими собственными перед выполнением команд ниже :
/certificate add name=F1LinuxVPNserver-template common-name="1.2.3.4" country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Organization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-server,tls-client;
/certificate sign F1LinuxVPNserver-template ca=CAF1Linux name=F1LinuxVPNserver
/certificate set F1LinuxVPNserver trusted=yes
Экспорт сертификата формата PEM:
/certificate export-certificate F1LinuxVPNserver export-passphrase="REPLACE ME WITH YOUR OWN ROUTER PASSPHRASE"
Экспорт сертификата формата PKCS12:
/certificate export-certificate F1LinuxVPNserver export-passphrase="REPLACE ME WITH YOUR OWN ROUTER PASSPHRASE" type=pkcs12
Пример для MacBook показан ниже. Однако процесс одинаков для любого устройства -iPhone, iPad, все, что поддерживает аутентификацию EAP-TLS - просто не забудьте изменить значения по умолчанию, включая кодовую фразу, когда команды для создания сертификатов для других клиентских устройств.
/certificate add name=F1LinuxClientMacbook-template common-name=F1LinuxClientMacbook country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Organization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-client;
/certificate sign F1LinuxClientMacbook-template ca=CAF1Linux name=F1LinuxClientMacBook
/certificate set F1LinuxClientMacBook trusted=yes
Экспорт сертификата формата PEM:
/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE"
Экспорт сертификата формата PKCS12 :
/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE" type=pkcs12
После создания клиентских сертификатов для каждого устройства, требующего доступа к Wi-Fi, вы можете создать для них профиль безопасности беспроводной сети . В отличие от стандартного шифрования паролей WPA2, аутентификация прибивается к сертификату на устройстве, поэтому каждому подключающемуся клиенту потребуется свой собственный профиль безопасности беспроводной сети .
/interface wireless security-profiles name="EAP_TLS_Macbook2018" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxClientMacBook.p12_0 mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key=""
Наконец, мы настроим виртуальную точку доступа, которая использует профиль безопасности EAP TLS: снова просмотрите приведенный ниже код и замените мои заполнители, включая MAC со всеми буквами «X», на свои собственные данные:
interface wireless name="wlan_EAP" mtu=1500 l2mtu=1600 mac-address=XX:XX:XX:XX:XX:XX arp=proxy-arp interface-type=virtual master-interface=wlan5ghz mode=ap-bridge ssid="wlan_EAP" vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=yes security-profile=EAP_TLS_Macbook2018
Чтобы узнать, как настроить клиентов IOS для MikroTik с использованием сертификатов EAP-TLS, перейдите ЗДЕСЬ