| Предыдущая версия справа и слева
Предыдущая версия
Следующая версия
|
Предыдущая версия
|
windows:10:win-acme:issue [2020/10/29 18:14]
Николай Солошин |
windows:10:win-acme:issue [2022/02/12 11:40] (текущий)
|
| ===== Задача ===== | ===== Задача ===== |
| |
| Для полноценного использования функции ''HotSpot'' в ''MikroTik RouterOS'' необходим полноценный валидный, а не самоподписанный, ''SSL-сертификат''. Основной нюанс заключается в том, что для выпуска сертификата, нужна валидация принадлежности доменного имени. Вместе с тем, необходимо получить открытый и закрытый ключ в формате ''PEM''. Если у вас нет своего web-сервера с направленным на него доменом второго уровня, это становится затруднительным, но интересным приключением. О котором я, собственно, сейчас и поведаю. ;-) | Для полноценного использования функции ''HotSpot'' в ''MikroTik RouterOS'' необходим полноценный валидный, а не самоподписанный, ''SSL-сертификат''. Основной нюанс заключается в том, что для выпуска сертификата, нужна валидация принадлежности доменного имени. Вместе с тем, необходимо получить открытый и закрытый ключ в формате ''PEM''. Если у вас нет своего web-сервера с направленным на него доменом, это становится затруднительным, но интересным приключением. О котором я, собственно, сейчас и поведаю. ;-) |
| |
| ===== Подготовка ===== | ===== Подготовка ===== |
| |
| Для начала, необходимо создать доменное имя третьего уровня, к примеру, ''hotspot.example.ru'' и прикрепить его к любому сайту на хостинге, который доступен из веба. Потом включить доступ по FTP к **корневому** каталогу этого сайта((Оба этих действия описывать не буду, т.к. они различаются для разных хостингов.)). | Для начала, необходимо создать поддомен, к примеру, ''hotspot.example.ru'' и прикрепить его к любому сайту на хостинге, который доступен из веба((Беспокоиться о том, что этот адрес имеет привязку к ''IP'', не надо, т.к. из сети ''HotSpot'''а он [[:mikrotik:rb3011uias:routeros:ip:hotspot:server_profiles:ssl_certificate|будет указывать]] на маршрутизатор, а не в Интернет.)). Потом включить доступ по FTP к **корневому** каталогу этого сайта((Оба этих действия описывать не буду, т.к. они различаются для разных хостингов. На [[beget:index|Beget]]'е это делается просто -- идете [[https://wiki.soloshin.su/de8ca2475103a6748b518eef91643851/demo/domains.html|сюда]], а потом [[https://wiki.soloshin.su/de8ca2475103a6748b518eef91643851/demo/ftp.html|сюда]], ждете несколько минут, чтобы произошла линковка и все.)). |
| |
| :!: Для удобства перевыпуска сертификата все, написанное выше и ниже, должно быть постоянным, т.е. не надо после выполнения этой инструкции все удалять! Наоборот, нужно все делать так, чтобы можно было воспользоваться этим повторно, т.к. сертификаты ''Let's Encrypt'' выдаются только на 90 дней. | :!: Для удобства перевыпуска сертификата все, написанное выше и ниже, должно быть постоянным, т.е. не надо после выполнения этой инструкции все удалять! Наоборот, нужно все делать так, чтобы можно было воспользоваться этим повторно, т.к. сертификаты ''Let's Encrypt'' выдаются только на 90 дней. |
| - Запускаем файл wacs.exe с правами администратора((Почему-то так он запускается быстрее. К тому же, хоть нам это и не важно, с дополнительными правами разблокируются некоторые дополнительные опции.));\\ {{:windows:10:win-acme.png?nolink|}} | - Запускаем файл wacs.exe с правами администратора((Почему-то так он запускается быстрее. К тому же, хоть нам это и не важно, с дополнительными правами разблокируются некоторые дополнительные опции.));\\ {{:windows:10:win-acme.png?nolink|}} |
| - Выбираем пункт ''**M**: Create certificate (**full options**)'' введя английскую букву ''M''((Там, где буквы опции подсвечены зеленым, соответствующую букву можно не вводить, т.к. это обозначает, что при нажатии клавиши ввод, этот пункт будет выбран автоматически.)) и нажимаем ввод; | - Выбираем пункт ''**M**: Create certificate (**full options**)'' введя английскую букву ''M''((Там, где буквы опции подсвечены зеленым, соответствующую букву можно не вводить, т.к. это обозначает, что при нажатии клавиши ввод, этот пункт будет выбран автоматически.)) и нажимаем ввод; |
| - Далее выбираем ''**2**: Manual input'' и вводим((Во всех полях, тут и далее, корректно работает копипаст!)) имя созданного ранее домена((''Enter comma-separated list of host names, starting with the common name:'')), в нашем примере это ''hotspot.example.ru''; | - Далее выбираем ''**2**: Manual input'' и вводим((Во всех полях, тут и далее, корректно работает копипаст!)) имя созданного ранее поддомена((''Enter comma-separated list of host names, starting with the common name:'')), в нашем примере это ''hotspot.example.ru''; |
| - На следующем этапе((''Suggested friendly name '[Manual] hotspot.example.ru', press <Enter> to accept or type an alternative:'')) просто нажимаем ввод, т.к. понятное имя у нас будет совпадать с тем, что ввели ранее; | - На следующем этапе((''Suggested friendly name '[Manual] hotspot.example.ru', press <Enter> to accept or type an alternative:'')) просто нажимаем ввод, т.к. понятное имя у нас будет совпадать с тем, что ввели ранее; |
| - Выбираем ''**3**: [http-01] Upload verification files via FTP(S)''; | - Выбираем ''**3**: [http-01] Upload verification files via FTP(S)''; |
| - Выбираем последовательно ''**5**: No (additional) store steps'' и ''**4**: No (additional) installation steps''; | - Выбираем последовательно ''**5**: No (additional) store steps'' и ''**4**: No (additional) installation steps''; |
| - Далее происходит магия!\\ {{:windows:10:win-acme-magic.png?nolink|}} | - Далее происходит магия!\\ {{:windows:10:win-acme-magic.png?nolink|}} |
| - Когда магия завершится, можно отказаться от создания задания((''Do you want to specify the user the task will run as?'')) и на этом, собственно, все. | - Когда магия завершится, можно просто нажать ввод((''Do you want to specify the user the task will run as?'')) и на этом, собственно, все((Обычно я еще в ''Планировщике заданий'' отключаю задание ''win-acme renew (acme-v02.api.letsencrypt.org)'', т.к. в следующий раз она мне понадобится через 90 дней, а об этом меня оповещает [[mikrotik:rb3011uias:routeros:system:scripts:exp_cert_check|специальный скрипт]].)). |
| - Хотя нет, еще надо импортировать это добро в ''MikroTik'', но это уже [[:mikrotik:rb3011uias:routeros:system:certificates:import|другая история]]. | - Хотя нет, еще надо импортировать это добро в ''MikroTik'', но это уже [[:mikrotik:rb3011uias:routeros:system:certificates:import|другая история]]. |
