O objetivo desse manual é gerar um certificado SSL/HTTPS para o Mikrotik.


A geração do certificado é possível e a configuração é feita nesse manual, porém a assinatura por uma entidade certificadora não é possível pois:


  • Para uma emissora certificar um SSL, ele precisa ser único num domínio.
  • Os Mikrotiks instalados pela Mambo não possuem apontamento de domínio.
  • Não existe apontamento de domínio pois para isso, seria necessário entregar um IP público e único para cada Mikrotik e apontar no DNS autoritativo um dominio, e não temos IP suficiente para isso (não, não é possível ter novos ips IPV4 no dia de hoje sem ser um grande provedor de conexão, a quantidade de ips versão 4 ACABARAM).
  • Não seria possível entregar um ipv6 público para cada cliente também pois não temos ASN (e também não podemos ter ASN, não temos os requisitos para o lacnic / ix.br)
  • Não é possível pedir para uma empresa certificadora assinar um certificado SSL para um ip privado (a não ser que seja pago, ai eles fazem umas gambiarras lá que não temos acesso), os ips privados foram separados pela IANA para serem usados fora do roteamento BGP e da rede, ou seja, IP privado pode ser utilizado por qualquer um em sua rede ( https://tools.ietf.org/html/rfc791,  https://datatracker.ietf.org/doc/html/rfc1918 e https://datatracker.ietf.org/doc/html/rfc4193)

BASE: https://sectigostore.com/page/ssl-certificate-for-ip-address/#:~:text=An%20SSL%20certificate%20can't,issue%20for%20an%20IP%20address



Nesse manual, iremos gerar um certificado dentro do Mikrotik apontar para o hotspot sem fazer a assinatura numa entidade certificado, somente ASSINANDO LOCALMENTE, qual o resultado disso? Então...


  • A mensagem de "enviar mesmo assim" irá desaparecer
  • Novas mensagens de erro podem acontecer, principalmente no Iphone (não consegui fazer testes)


Passo a passo:


*CUIDADO POIS O COMANDO PODE QUEBRAR NA MIKROTIK.*


1 - Acesse o Mikrotik e abra o terminal


2 - Cole o comando a seguir e de ENTER: 

/certificate add name=root-cert key-usage=key-cert-sign,crl-sign common-name=root-cert days-valid=3650


3 - Assine ele LOCALMENTE (isso não é assinar com uma entidade certificadora):


/certificate sign root-cert


4 - Crie outro certificado:


/certificate add name=https-cert common-name=root-cert
 days-valid=3650


5 - Assine ele LOCALMENTE (isso não é assinar com uma entidade certificadora): 


/certificate sign ca=root-cert https-cert


6 - Modifique o IP > services com esses comandos:


/ip service enable www-ssl
/ip service set www-ssl certificate=https-cert


7 - Aplique o certificado no Hotspot:

/ip hotspot profile set ssl-certificate=https-cert https-redirect=yes login-by=http-pap,mac-cookie,https default