Как правильно бекапить службу сертификации на RouterOS

Тема в разделе "Общий форум", создана пользователем LMA, 5 авг 2018.

  1. LMA

    LMA Участник

    Коллеги доброго времени суток.
    От микротов пришло страшное письмо, что у них в версии до 6.42.1 включительно обнаружена аццкая уязвимость. Я в целом парк устройств обновил, но с двумя аппаратами возникла некоторая заминка, т.к. я архивирую всегда конфиг перед апгрейдом, а на этих роутерах поднята служба сертификации, на одном только для подключения удаленных пользователей в пределах России по ovpn, у на втором для подключения по ovpn разных микротов, в разных частях мира.
    Насколько я помню, настройки службы сертификации и сами сертификаты в общий архив не входят, вопрос, как правильно забекапить сужбу сертификации с сертификатами, и как правильно восстановить её, со всеми сертификатами?
    А то чего то не улыбается опять по командировкам ездить, все перенастраивать, если вдруг при обновлении центральный роутер прикажет долго жить, и придется восстанавливаться из архива.
    Буду очень благодарен за советы.
     
  2. Стандартный бэкап хранит информацию об центре сертификации. Советую попробовать на тестовом макете потренироваться с восстановлением, также в ручную можно импортировать\экспортировать все сертификаты в теории.
     
  3. LMA

    LMA Участник

    Попробую, но боевой роутер у меня RB1100x4, второго такого нет, и проверить восстановление могу только на ccr1016, как думаете, восстановится конфа на другом железе?

    По варианту ручного бекапа, можете уточнить, как я понял, просто экспортируем все сертификаты с их приватными ключами и на новом месте их импортируем?
     
  4. на ccr1016 врядли зайдет бэкап. Тут только вручную импорт\экспорт....
     
  5. LMA

    LMA Участник

    Трагично.
    Будем пробовать.
    Спасибо за ответ!!!
     
  6. LMA

    LMA Участник

    Я попробовал таки сделать восстановление на другом железе, в целом на ccr1016 конфигурация завелась, не без ошибок конечно, но для тестов по переносу службы сертификации норм. Так вот, все сертификаты были на месте, но без приватных ключей.
    Я ещё тему погуглил, нашел, что возможны ситуации, когда при обновлении устройства сертификаты теряли свои публичные ключи.

    Поэтому единственный вариант, это руками скопировать все сертификаты с публичными ключами, и так же руками импортировать их с ключами на втором роутере (или на том же устройстве, после сброса).
     
    Денис Друженков нравится это.