Instalar certificado SSL en Mikrotik - Hotspot HTTPS

[joemg6]

Instalar certificado SSL en Mikrotik - Hotspot HTTPS

Cuando se configura por defecto el Hotspot del Mikrotik, el portal cautivo funciona bien con el protocolo HTTP, pero si pretendemos abrir el dominio del Hotspot con el protocolo HTTPS nos muestra el siguiente error


Esto se debe a que se tiene que configurar el servidor Hotspot con login HTTPS y un certificado para autentificar el nombre de DNS configurado.

Mikrotik nos permite crear certificados, usaremos esa opción para generar el certificado para el DNS del Hotspot, para eso se necesita el Hotspot Address y DNS name con el que se  configuró el Hotspot



Se puede revisar la lista de certificados que se tiene instalado en la siguiente dirección System->Certificates, si no se tiene ninguno nos mostrará como en la siguiente imagen


Generar certificado
Para el proceso de generar el certificado se hará por el terminal del Mikrotik, para eso se ingresará los siguientes comandos
* Cambiar el valor "hotspot.wisp.com" por el que esté en su configuración como también el IP "192.168.100.1" por el que corresponda al servidor Hotspot

Código:

1. /certificate
2. add name=ca-template common-name=Ca_Hotspot key-usage=key-cert-sign,crl-sign organization=Mikrotik_Router subject-alt-name=DNS:hotspot.wisp.com unit=hotspot_security
3. sign ca-template ca-crl-host=192.168.100.1 name=Hotspot_Cert
4. set Hotspot_Cert trusted=yes

Posterior al ingreso de los comandos para generar el certificado, si uno vuelve a revisar nuevamente en la lista de certificados se podrá visualizar el certificado que se generó


Para hacer uso del certificado en el Hotspot, se habilitará la siguiente opción en Hotspot -> pestaña ServerProfiles -> se selecciona el profile (en el caso de la imagen el profile hsprof1),se habilita y seleccióna el certificado en SSL Certificate


También se habilita el certificado para el servicio www-ssl en IP->Services->selecionar www-ssl


Se verifica en el navegador del cliente, se aprecia que ya no sale el mensaje de error, pero nos sale un mensaje de advertencia indicándonos que la conexión no es privada, se puede saltar esta advertencia ingresando a la opción CONFIGURACIÓN AVANZADA.


Pero nos mostrara que el sitio no es seguro, esto se debe que el navegador del cliente no puede autentificar el sitio.


Para que no muestre el mensaje de advertencia se debe de instalar el certificado en el navegador del cliente, para eso se procede a exportar el certificado e instalarlo en el navegador del cliente




Luego de instalar el certificado en el navegador del cliente, se podrá apreciar que el mensaje cambia a Es Seguro


Instalar certificado de un dominio de internet

Instalar certificado en el navegador del cliente puede ser que en algunas implementaciones no pueda ser posible por distintas circunstancias. Una alternativa para no instalar el certificado en el navegador sería usar certificado de un dominio de internet. A continuación se mostrará el proceso de instalar certificado de un dominio de internet (para el tutorial se proporcionará el certificado para su descarga)

Para este tutorial se empleará el certificado del dominio hotspot.alterserv.com que está disponible para su descarga e implementación.
Descargar Certificado


Se requiere tener ciertos valores en la configuración con se describe a continuación.
Como el certificado pertenece al dominio hotspot.alterserv.com se necesita cambiar el valor del DNS Name que se encuentra en Hotspot -> pestaña ServerProfiles -> se selecciona el profile por el de hotspot.alterserv.com


Descargar el archivo, descomprimir y subir los dos archivos a Files del Mikrotik


Para importar los certificados se va a la opción System->Certificates en la pestaña Certificates, se presiona el botón Import, se elige el archivo cert_hotspot_alterserv_com.crt y se presiona Import


Se efectúa el mismo procedimiento para el archivo key_hotspot_alterserv_com.key


En Hotspot -> pestaña ServerProfiles -> se selecciona el profile (en el caso de la imagen el profile hsprof1), y se habilita y seleccióna el certificado en SSL Certificate se elige como certificado para el Hotspot cert_hotspot_alterserv_com.crt_0


Se verifica en el cliente y debe de mostrar que el sitio es seguro sin necesidad de instalar certificado en el navegador del cliente

[madarajackk]

Si el cliente ingresa a HTTPS, facebook o youtube, se le redireccionara a el portal cautivo o solo es para paginas http ?

[edwin_wifi]

Si el cliente ingresa a HTTPS, facebook o youtube, se le redireccionara a el portal cautivo o solo es para paginas http ?

Pregunto lo mismo...

[jaikel gutierrez]

saludos. he intentado hacer todos los pasos pero no me permite pegar el código por terminal me muestra ese error, pienso que pudiera ser por incompatibilidad de versión de mikrotik yo uso la version 5.26 en pc. si es así existe otra forma de hacerlo?

[joseperezsystem]

instalé el cert que descargue en este tutorial pero me dice que el sertificado no es seguro. que puedo hacer?