SSL Certificate di RouterOS Mikrotik 6.4x.x

Extra security jaman sekarang sangat dianjurkan, salah satunya menggunakan SSL key encryption untuk komunikasi data agar tidak mudah disadap/dicuri.

Halaman ini berisikan informasi bagaimana membuat sertifikat SSL di RouterOS. Kita sangat memungkinkan membuat sendiri dan memakai Certification Authority (CA) yang “trusted” dengan tanpa biaya untuk keperluan terbatas. Artinya CA yang dibuat tanpa melibatkan Public CA yang berbayar.

Kita langsung membuat SSL Certificate untuk semua keperluan yang biasa di pakai di Router Mikrotik seperti HTTPS Service, Login Page, IPSec, SSTP dan OpenVPN. Dan menghiraukan fungsi CL (Client), RA (Registration Authority atau proxy) dan CA (Certification Authority atau server). Sebagai berikut langkah-langkahnya:

/certificate
add name=SSL-template common-name=SSL key-usage=digital-signature,key-encipherment,data-encipherment,crl-sign,key-cert-sign,tls-server,tls-client,ipsec-tunnel,ipsec-end-system,ipsec-user
sign SSL-template name=SSL

Disini properti untuk “key-usage” macam-macam yang fungsi penggunaannya, detail bisa membaca RFC5280. Bisa ditambahkan beberapa properti lainnya seperti:

  • days-valid, disini batas waktu valid -nya certificate, untuk default 1 tahun atau 365 hari, namun bila tidak ingin tiap tahun di repotkan urusan certificate, bisa di lamakan paling lama 7153 hari atau hampir 20 tahun.
  • key-size, panjang encrypt dalam satuan bits, dimana semakin panjang encrypt maka resources router semakin berat dan sebaliknya semakin pendek encrypt semakin ringan resources router, namun semakin panjang encrypt maka semakin secure dan semakin susah di decrypt, default -nya adalah 2048bits. Dapat diganti ke 1024, 1536, 2048, 4096 dan 8192 bits
  • bisa ditambahkan informasi identitas lainnya seperti country, state, locality, organization, unit, subject-alt-name

contoh penggunakan properti,

/certificate
add name=SSL-template common-name=SSL key-usage=digital-signature,key-encipherment,data-encipherment,crl-sign,key-cert-sign,tls-server,tls-client,ipsec-tunnel,ipsec-end-system,ipsec-user country=ID state="DKI Jakarta" locality="Jakarta Timur" organization=OPiKdesign unit=IT-Dept subject-alt-name=email:info@opikdesign.com days-valid=7153
sign SSL-template name=SSL

Tampilan akhir pada System > Certificate kurang lebih seperti ini:

Terakhir agar SSL Certificate bisa dipergunakan pada device lain maka perlu di export, command -nya sebagai berikut:

/certificate
export-certificate SSL export-passphrase=3x@mP!e5

Disini properti export-passphrase dipergunakan, sebagai keamanan tambahan, ketika file SSL Certificate akan di import pada perangkat lain akan di minta passphrase tersebut jadi bila tidak mengetahui kata kunci untuk install/import file SSL Certificate tersebut maka tidak akan berjalan di device tersebut. Properti ini sangat dianjurkan untuk dipergunakannya.

Setelah export akan muncul 2 file, crt dan key…