Создаем сертификат CA
/certificate add name=Atlant-CA country="UA" state="" locality="Lugnsk" organization="Atlant-Trading" key-size=1024 days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign Atlant-CA ca-crl-host=127.0.0.1 name="Atlant-CA"
Сертификат сервера
/certificate add name=Atlant-SRV-OVPN country="UA" state="" locality="Lugansk" organization="Atlant-Trading" unit="" common-name="Atlant-SRV-OVPN" key-size=1024 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign Atlant-SRV-OVPN ca=Atlant-CA name="Atlant-SRV-OVPN"
Шаблон для сертификатов клиентов
Создадим сертификат для первого клиента:
/certificate add name=Atlant-CL-OVPN1 copy-from="Atlant-CL-OVPN" common-name="client-leash"
/certificate sign Atlant-CL-OVPN1 ca="Atlant-CA" name="Atlant-CL-OVPN1"
Отзыв сертификатов
В будущем, для отзыва сертификатов используем команду:
Экспорт сертификата CA:
Примечание: Нам нужен только сам сертификат, закрытый ключ не нужен, поэтому параметр export-passphrase="" должен быть пустым.
Экспорт сертификатов клиентов:
Примечание: export-passphrase= - обязательный параметр для экспорта закрытых ключей. Для каждого клиента используем свой пароль. Стараемся не использовать тот же самый пароль, который указывали для пользователей!
Далее извлекаем полученные файлы сертификатов и ключей из микротика любым удобным способом - можно просто "перетянуть" их из winbox'а, можно скачать посредством ftp или с помощью scp.