Генерируем сертификаты(создавал opensslна debian7):
0. cd /etc/ssl 1. Генерируем ключ с кодовой фразой (позже мы её уберем). Имя ключа произвольное, в примере «cr». openssl genrsa -des3 -out cr.key 4096 2. Формируем CSR запрос (важный момент) Используем наш ключ из шага 1 и кодовую фразу. Обратите внимание, что CN запись должна соответствовать IP адресу SSTP сервера. openssl req -new -key cr.key -out cr.csr вот так отвечал. 1.2.3.4 мой адрес Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:1.2.3.4 Locality Name (eg, city) []:1.2.3.4 Organization Name (eg, company) [Internet Widgits Pty Ltd]:1.2.3.4 Organizational Unit Name (eg, section) []:1.2.3.4 Common Name (e.g. server FQDN or YOUR name) []:1.2.3.4 Email Address []:mail@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ничего не вводил An optional company name []: ничего не вводил 3. Убираем кодовую фразу из ключа cp cr.key cr-secret.key openssl rsa -in cr-secret.key -out cr.key 4. Генерируем сертификат openssl x509 -req -days 3650 -in cr.csr -signkey cr.key -out cr.crt
Импортируем сертификат в Mikrotik
0. копируем файлы cr.crt cr.key на микротик 1. заходим в консоль на микротик certificate import file=cr.crt certificate> import file=cr.key 2. включаем SSTP сервер interface sstp-server server set authentication=pap,chap,mschap1,mschap2 certificate=cert1 \ default-profile=default enabled=yes keepalive-timeout=60 max-mru=1500 \ max-mtu=1500 mrru=disabled port=443 verify-client-certificate=no
Импортируем сертификат на клиенте
0.Для импорта необходимо от административной учетной записи открыть certmgr.msc. Далее Вид > Параметры … и установить флаг «Также показывать физические хранилища». 1.Затем, заходим в Доверенные корневые центры сертификации > Локальный компьютер и делаем в него Импорт нашего сертификата cr.crt. 2.При создании VPN в параметрах безопасности выбираете SSTP.