formacion-ubrss-ubiquiti

[Guía] ¿Cómo crear certificados TLS válidos con Let’s Encrypt y Mikrotik RouterOS v7?

[Guía] ¿Cómo crear certificados TLS válidos con Let’s Encrypt y Mikrotik RouterOS v7?

Con la nueva versión de Mikrotik y routerOS V7 tenemos la posibilidad de crear certificados SSL/TLS válidos de una forma muy simple e integrada con nuestro Router. Generar los propios certificados desde nuestro router es una gran ventaja, ya que no es necesario gestionarlos desde una fuente externa para la creación de los mismos.

En esta guía, te mostraremos como crear estos certificados válidos, para que lo puedas aplicar a tus configuraciones, como pueden ser accesos HTTPS al router y túneles.

Requisitos:

  1. Contar con IP publica en nuestro router (o a través de un proceso de NAT).
  2. Contar con un nombre de dominio al cual asignar el certificado.
  3. Tener el puerto 80 abierto en nuestro router, para la creación del certificado.
El servicio www corresponde al puerto web sin seguridad, en este caso es 8081, pero por default es 80.

Nombre de dominio.

Para poder asignar un certificado es requisito contar con un nombre de dominio al cual asociar el certificado, por ejemplo mikrotik.lanpixel.com o vpn.empresa.com. En caso de administrar los nombres de DNS por algún hosting, solo es necesario crear una entrada de DNS del tipo A, y relacionar la IP de nuestro router Mikrotik a nuestro nombre DNS, donde asignaremos el certificado.

ej: 172.1.22.1—— vpn.empresa.com (donde la IP corresponde a la IP pública configurada en nuestro router).

Si no queremos utilizar un nombre de dominio, Mikrotik cuenta con un servicio DDNS que nos puede crear un nombre por nosotros, incluso si estamos detrás de un NAT, pero hay que tener en cuenta que para que la API de Let’s Encrypt se comunique, será necesario una redirección de puertos. El certificado se asignará al nombre de dominio creado en el servicio de Cloud en Mikrotik.

Menú en Ip/Cloud

En la imagen anterior nos muestra que nuestro router está detrás de un NAT, solo será necesario en estos casos realizar un Port Forwarding del puerto 80 al puerto del servicio www en nuestro router Mikrotik.

Generando el certificado.

Para verificar los certificados instalados, debemos ir al menú y chequear que tipo de certificados existen, si nunca has generado uno, la ventana debería estar vacía.

Menu System/certificates

Al ser la primera creación del certificado y chequeando hemos realizado los pasos previos de los requisitos, solo nos queda generar el certificado, para ello, iremos a una consola en Mikrotik, haciendo clic en «New Terminal» y escribiendo lo siguiente:

certificate/enable-ssl-certificate dns-name=XXXXXXXXX.sn.mynetnam
e.net

Donde dns-name es nuestro nombre de DNS creado donde se vinculara el certificado.

Al finalizar el proceso, si es exitoso, veremos el siguiente mensaje:

Luego volveremos a la ventana de certificados y comprobaremos, contamos con un nuevo certificado creado.

Ya hemos finalizado de forma exitosa y con un certificado válido para usar con nuestros servicios, ahora veremos donde los podemos aplicar.

Aplicando un certificado TLS en Mikrotik

Ya que hemos creado nuestro certificado de forma exitosa, podremos aplicarlo a nuestros servicios como el acceso HTTPS o un túnel como SSTP o IPSEC.

Aplicando el certificado al servicio HTTPS

Aplicando el certificado a un túnel SSTP

Si aun, no conoces el túnel seguro SSTP, puedes leer nuestra guía de configuración.

Ya tenemos nuestro certificado válido y aplicado a nuestros servicios. ¡Esperamos te haya servido esta guía!

Si deseas obtener tu certificado oficial Mikrotik, puedes consultar nuestros cursos desde aquí.

¡Nos vemos la próxima!

Artículos relacionados