Добавить в корзинуПозвонить
Найти в Дзене
Записки IT специалиста
558 подписчиков

ACME-клиент в Mikrotik

2
2 мин
Еще одно нововведение в выпуске RouterOS 7.22 тесно связанное с предыдущим - Reverse Proxy – теперь для получения сертификатов можно использовать полноценный ACME-клиент с поддержкой не только Let’s Encrypt, но и любых CA работающих по этому протоколу. До этого сертификат Let’s Encrypt можно было получить командой: /certificate enable-ssl-certificate dns-name=... Которая имела ряд особенностей: 🔹Только один сертификат 🔹Только один домен в сертификате 🔹Сертификат автоматически привязывался к службе www-ssl Теперь многие из этих ограничений сняты и поддерживаются: 🔹Множество ACME-клиентов 🔹 Несколько доменов в сертификате 🔹 Сертификат не привязывается к службам по умолчанию Для его использования перейдите в System – Сertificates и нажмите Add ACME, откроется окно настройки ACME-клиента где вам потребуется заполнить поля: ▫️ Name - имя клиента ACME, укажите понятное имя, например, наименование домена или проекта, оно же будет использоваться в качестве имени сертификата.

ACME-клиент в Mikrotik

Еще одно нововведение в выпуске RouterOS 7.22 тесно связанное с предыдущим - Reverse Proxy – теперь для получения сертификатов можно использовать полноценный ACME-клиент с поддержкой не только Let’s Encrypt, но и любых CA работающих по этому протоколу.

До этого сертификат Let’s Encrypt можно было получить командой:

/certificate enable-ssl-certificate dns-name=...

Которая имела ряд особенностей:

🔹Только один сертификат

🔹Только один домен в сертификате

🔹Сертификат автоматически привязывался к службе www-ssl

Теперь многие из этих ограничений сняты и поддерживаются:

🔹Множество ACME-клиентов

🔹 Несколько доменов в сертификате

🔹 Сертификат не привязывается к службам по умолчанию

Для его использования перейдите в System – Сertificates и нажмите Add ACME, откроется окно настройки ACME-клиента где вам потребуется заполнить поля:

▫️ Name - имя клиента ACME, укажите понятное имя, например, наименование домена или проекта, оно же будет использоваться в качестве имени сертификата.

▫️ Directory URL - URL ACME сервера (для Let's Encrypt: https://acme-v02.api.letsencrypt.org/directory)

▫️ Domain - доменное имя для сертификата, можно указать несколько, через запятую.

▫️ Поля EAB KID и EAB Key - параметры для External Account Binding (опционально, нужны для некоторых ACME провайдеров, преимущественно коммерческих).

В терминале создать ACME-клиент можно следующим образом:

/certificate add-acme \

name=my_site \

directory-url=https://acme-v02.api.letsencrypt.org/directory \

domain-names=example.com,www.example.com

Сразу же после создания ACME-клиент попробует получить сертификат, а потом будет заниматься его продлением, ничего руками делать не надо.

Для назначения сертификата службе выполните команду:

/ip service set reverse-proxy certificate=my_site

В данном случае мы назначили его службе reverse-proxy, также просто можете использовать его везде, где есть возможность указать сертификат явно. Например:

/interface sstp-server server set certificate=my_site

Для работы ACME-клиента вам по-прежнему потребуется работа службы www и открытый порт 80 TCP, что вызывает у многих коллег обоснованные опасения. Поэтому рекомендуем ознакомиться с вариантами ограничения доступа к веб-интерфейсу, описанные в нашей статье (там же подробно описан старый метод получения сертификата):

Работаем с сертификатами Let's Encrypt на роутерах Mikrotik (RouterOS 7)

Или принять дополнительные меры по защите:

Настраиваем защиту от атак BruteForce на роутерах Mikrotik