Добрый день.
Прошу помощи техподдержки в настройке следующей схемы:
IPSec VPN по архитектуре Hub&Spoke - один Cisco IOS роутер в центре сети и много RB750 и оборудования других вендоров вокруг него, до каждого Spoke и в том числе RB750 поднимаем по одному IPSec соединению в tunnel mode с аутентификацией на основе сертификатов x509, все сертификаты выданы/подписаны одним и тем же CA, CA собственный/основной сертификат CA самоподписанный.
До попытки использования RB750 в качестве Spoke работали только устройства с поддержкой получения сертификатов по протоколу SCEP (Simple Certificate Enrollment Protocol). На каждом устройстве генерируется Private RSA key и на его основе Certificate Request. Далее устройство первым запросом к SCEP серверу получает три сертификата CA с разными типами Key Usage
первый с флагом CA и
X509v3 Key Usage:
Certificate Sign, CRL Sign
второй
X509v3 Key Usage:
Digital Signature
и наконец
X509v3 Key Usage:
Key Encipherment
вторым запросом SCEP устройство получает от того же CA собственный подписанный сертификат.
Вопрос: можно ли на RouterOS автоматизировать получение x509 сертификатов подобным образом? Может быть возможна установка дополнительного пакета, реализующего поддержку SCEP или существуют наработки из области скриптов, позволяющие автоматизировать процесс через SCEP?
VPN IPSec, SCEP Certificates enrollment
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
Я бы рекомендовал поставить 6ю бета-прошивку
там много чего добавлено
если функции нету - на форум производителя напишите как feature request
http://forum.mikrotik.com/viewforum.php?f=1
там много чего добавлено
если функции нету - на форум производителя напишите как feature request
http://forum.mikrotik.com/viewforum.php?f=1
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
- Сообщения: 6
- Зарегистрирован: 17 апр 2012, 10:41
Техподдержка ответила очень приятной вестью:
Hello,
We do not support SCEP in current versions. It is currently in development and most likely will be ready in v5.15.
Regards,
Maris
и потом:
Most likely it will be released next week.
Hello,
We do not support SCEP in current versions. It is currently in development and most likely will be ready in v5.15.
Regards,
Maris
и потом:
Most likely it will be released next week.
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
5.15 бета уже бродит по интернету
но ожидать выхода похоже не долго =)
но ожидать выхода похоже не долго =)
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
- Сообщения: 43
- Зарегистрирован: 02 фев 2012, 21:52
- Откуда: Мурманск
5.15 уже вышла, уже обновился
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
а я обновился на 6х - теперь надо найти второй роутер чтоб 5.15 потестировать
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
- Сообщения: 43
- Зарегистрирован: 02 фев 2012, 21:52
- Откуда: Мурманск
дома поставил 6 бета2 а на остальных узлах пока 5.15 )