Как настроить SSTP на микротик?

Question

[number09]

В интернете полно инструкций, но они отличаются друг от друга. С самим сервером SSTP вроде всё понятно, но проблема с сертификатами. Я так понимаю нужно создать два сертификата: самоподписанный "корневой сертификат" и "сертификат сервера", который подписывается корневым сертификатом и устанавливается на компьютеры пользователей. Так вот, какие опции должны быть выбраны у этих сертификатов? Вот например по одной инструкции у сертификата сервера может не стоять галочка напротив "tlsclient"(самый низ в левом столбике), а в другой инструкции галочка стоит, у меня работает и так и так, но как лучше то?

Answer 1

[Keffer]

В случае с SSTP там все не просто а очень просто. Генерится CA. Генерится серт с 1 полем TLS server, cname должно обязательно совпадать с тем, что будем забивать в клиенте для подключения. Подсовываем этот серт sstp серверу микрота. Ну и потом делаем экспорт CA без закрытого ключа, и в винды его импортируем в корневые серты. Все работает.

Comments

[number09]

Я нигде не видел, чтобы сертификат только один нужно было делать. Везде пишут, что в начале делаем CA, потом делаем "серфтификат сервера", который подписываем этим CA, и вот этот сертификат сервера уже экспортируем.

[Keffer]

Чтобы работало, достаточно и rootCA экспортировать. И потом запихнуть в винду.

[number09]

Keffer, ну это я заметил, а по безопасности как? Где вообще почитать что опции в "key usage" делают. Везде где я нахожу авторы не раскрыают эту тему, а просто говорят: вот тут ставим эти галочки.

[Keffer]

number09, Может показаться смешным такое пояснение, но все те галочки key usage которые предусмотрены при генерации, требуются они только там, где реально жестко требуются такие роли. Если нет - можно ставить вполне произвольно. В ipSec там например важны роли TLS Server \ TLS Client. C другими просто не заработает. А чтобы раскрыть тему, нужно курить мануалы по SSL сертификации. Там детально назначение всех полей расписано.

[number09]

Keffer, можно последний вопрос? Чтобы экспортировать корневой сертификат без закрытого ключа, достаточно только не указывать пароль при экспорте? И если нет закрытого ключа, то без него при помощи моего выгруженного корневого сертификата ничего подписать будет нельзя, да?

[Keffer]

number09, Совершенно верно. Экспорт без пароля выдает только сам серт, которым ничего сделать нельзя.

Answer 2

[ValdikSS]

Если речь о предоставлении удаленного доступа клиентам, то проще всего получить сертификат через let's encrypt или zerossl - их не потребуется импортировать в Windows.