А если серьёзно, Что бы экспортировать клиентский сертификат на другой микротик мне надо экспортировать вместе с ним CA ?

Экспортируй в .pem и пароль поставь. Тогда все выгрузится и ca и закрытый ключь клиента

Экспортируй в .pem и пароль поставь. Тогда все выгрузится и ca и закрытый ключь клиента

Я вообще пытаюсь sstp поднять на сертификатах... Как ты говоришь так и сделал, токо соединение не поднимается =\ как ни крути

не могу понять чзх. В сертификатах косяк или нет

Логи? Че говорят?

хмм..) не на том микроте смотрел xD

Логи? Че говорят?

no key to certificate found (

сбросить микроты и залить в них конфиг с нуля в одинаковых условиях. последняя цифра в оиде - сквозной номер интерфейса, поэтому _последовательность_ настройки интерфейсов важна.

Логи? Че говорят?

значит я с закрытым ключом накосячил?

как там в 43.4, ни у кого ничего не сломалось? можно апгрейдить? :)

Есть такие буквы

Проверил, через апи тоже не отправляется... Получается дело в блокировке телеги

да сделай себе vps и подними до впс l2tp и работай в свое удовольствие

Есть такие буквы

вроде должно быить KLAT ?

Это на клиенте

И я походу наврал надо выгрузить p12 и поставить пароль. Тогда закрытый ключь перенесется

сбросить микроты и залить в них конфиг с нуля в одинаковых условиях. последняя цифра в оиде - сквозной номер интерфейса, поэтому _последовательность_ настройки интерфейсов важна.

Вот это новости! Благодарю за наводку

вроде должно быить KLAT ?

Да

НУ на сервере KLAT...

Да

или на клиенте тоже так должно быть?

подскажите, какая модель поддерживает аппаратный ipsec, имеет usb, и wi-fi? из недорогих

вопрос а т буква должна быть ?

Не, на клиенте я кинул как сертификат видно

И я походу наврал надо выгрузить p12 и поставить пароль. Тогда закрытый ключь перенесется

щас попробую p12

Не, на клиенте я кинул как сертификат видно

угу, у меня на клиенте KT вместо KAT

Т буква= trusted

щас попробую p12

И пароль обязательно

И пароль обязательно

на p12 он без закрытого ключа экспортирует. Так и должно быть?

Если поставить пароль то ключь перенесет. Сам попал на это)

Если поставить пароль то ключь перенесет. Сам попал на это)

вместе с сертификатом?

Да

подскажите, какая модель поддерживает аппаратный ipsec, имеет usb, и wi-fi? из недорогих

hAP ac² только, получается?

И ca ещё закинет туда

И ca ещё закинет туда

но на сколько я понимаю на клиенте са должен быть без закрытого же ключа?

Все верно, при экспорте только открытую часть ca возьмёт

Сам сертификат са

Получится три файла сертификат са, сертификат клиента и ключь

Пока отключи проверки сервера

Первую

ахуеть

законектилось

Ну вот)

Crl в сертификате есть вообще? Указан от куда брать его?

подскажите, какая модель поддерживает аппаратный ipsec, имеет usb, и wi-fi? из недорогих

RB750Gr3 без wi-fi 4 ядра процессора - самый лучший за 3600

RB750Gr3 без wi-fi 4 ядра процессора - самый лучший за 3600

Да надо с wi-fi :-( Но спасибо :-)

законектилось

?

Если по пути через браузер пройти, он отдает их

а где можно про такое прочитать ?

сбросить микроты и залить в них конфиг с нуля в одинаковых условиях. последняя цифра в оиде - сквозной номер интерфейса, поэтому _последовательность_ настройки интерфейсов важна.

А не прокатило. Перезалил 2 одиноковых конфига, а цифры разные.

ну я делал по 2м инструкциям с http://mikrotik.vetriks.ru

токо вот всё равно не заводится как видишь) по их методе

Если по пути через браузер пройти, он отдает их

если у меня порт поменяный на web морду это надо учесть?

Не должно наверное хз, я так не делал

ну не отдаёт и в дефолтном порту и поменяном

Ну тогда забей))

Работает не трогай)))

блэть)

В чём вообще смысл тогда этого дерьма если он сертификат проверить не может :D

Работает не трогай)))

=(

Надо тоже разобраться с этой проблемой

Надо тоже разобраться с этой проблемой

тут вопросик подъехал

кто мешает набрать в браузере https

Потому что мне кажется, что я не отделил мух от котлет и это бред

Потому что мне кажется, что я не отделил мух от котлет и это бред

поподробнее

ну в любом случае не работает)

Если по пути через браузер пройти, он отдает их

а у тебя отдаются сертификаты?

я так не делал

поподробнее

ну потому что crl записи динамические и не изменяемые, а там прописано http...

Я ca crl host ставил, Но пока не проверял как работает отзыв

хераси ты заморочился

Я ca crl host ставил, Но пока не проверял как работает отзыв

https://forum.mikrotik.com/viewtopic.php?t=104462 Тема 2016 года...

Я ca crl host ставил, Но пока не проверял как работает отзыв

а покажи вкладку свою key usage на сертификате сервера

Клиента или сервера?

сервера. тот который долджен скачиваться

по идее...

он не скачивается потому что во вкладке key usage накосячено

имхо

видимо тогда и ca надо будет переделать. хз

Я думаю надо ему там TLS Server поставить

во

отлично, а теперь как удалить этот неправильный?)))

А на текущей бета прошивке так же?

На текущей все плохо

надо его отозвать. А как?

Перевыпустить новый сертификат для сервера

Кнопка есть revoke

ну я нажал на неё

Кнопка есть revoke

токо он всё равно не удаляется после этого

Он его не удалит. Только создаст список с отозванном сертификатом

Удалить ручками