SSL مخفف Secure Socket Layer است که یک پروتکل امنیتی محسوب می‌شود. گواهینامه SSL به عنوان یک گواهی دیجیتال، یک ارتباط رمزگذاری شده بین سرور وب و مرورگر ایجاد می‌کند. در این مقاله، به شما نحوه وارد کردن گواهینامه SSL در MikroTik برای ایمن‌سازی ارتباطات آموزش داده می‌شود.

اگر مدیریت یک شرکت یا سازمان را بر عهده دارید، لازم است گواهینامه‌های SSL را به وب‌سایت‌های خود اضافه کنید. گواهینامه SSL، هویت وب‌سایت شما را تأیید کرده و اطمینان حاصل می‌کند که ارتباطات رمزگذاری شده‌اند و تراکنش‌های آنلاین در امنیت کامل انجام می‌شوند. این امر همچنین باعث می‌شود مشتریان شرکت شما را قابل اعتماد بدانند، زیرا اطلاعات شخصی آنها خصوصی و امن باقی می‌ماند.

چرا وب‌سایت‌ها به گواهینامه SSL نیاز دارند؟

وب‌سایت‌ها به گواهینامه SSL نیاز دارند تا:

• اطلاعات کاربران را محافظت کنند.
• مالکیت سایت را تأیید کنند.
• از ایجاد نسخه جعلی سایت توسط هکرها جلوگیری کنند.
• اعتماد کاربران را جلب کنند.

برای اهداف شبکه‌ای خود، ممکن است نیاز داشته باشید از یک سرور مجازی MikroTik استفاده کنید. بنابراین، توصیه می‌شود گواهینامه SSL را در MikroTik وارد کرده و امنیت ارتباطات خود را تضمین کنید.

بیایید با مفهوم گواهینامه SSL بیشتر آشنا شویم و مراحل لازم برای وارد کردن آن به MikroTik RouterOS را مرور کنیم

۱. گواهی SSL چیست و چرا اهمیت دارد؟

۱.۱ گواهی SSL چیست؟

SSL (Secure Sockets Layer) یک پروتکل امنیتی است که ارتباطات بین کلاینت (مانند مرورگر) و سرور (در اینجا روتر MikroTik) را رمزنگاری می‌کند. گواهی SSL یک فایل دیجیتال است که به تأیید هویت سرور و رمزنگاری اطلاعات کمک می‌کند.

۱.۲ اهمیت استفاده از SSL در MikroTik

• جلوگیری از حملات Man-in-the-Middle (MiTM): SSL از رهگیری و تغییر داده‌ها توسط مهاجمان جلوگیری می‌کند.
• رمزنگاری اطلاعات: تمام داده‌های ارسالی بین شما و روتر رمزگذاری می‌شوند.
• اعتماد کاربران: استفاده از SSL باعث می‌شود کاربران هنگام اتصال به روتر از امنیت ارتباطات اطمینان داشته باشند.
• رعایت استانداردها: بسیاری از استانداردهای امنیتی شبکه و مقررات قانونی استفاده از رمزنگاری را الزامی کرده‌اند.

۲. انواع گواهی SSL و انتخاب مناسب

قبل از اقدام به تنظیم گواهی در MikroTik، باید بدانید کدام نوع گواهی SSL برای شما مناسب است:

۲.۱ گواهی خودامضا (Self-Signed Certificate)

• توسط خود روتر یا کاربر ایجاد می‌شود.
• مناسب برای استفاده‌های شخصی و آزمایشگاهی.
• معایب: مرورگرها آن را به‌عنوان گواهی معتبر نمی‌شناسند و هشدار امنیتی نمایش می‌دهند.

۲.۲ گواهی صادرشده توسط CA (Certificate Authority)

• از یک مرجع صدور گواهی معتبر خریداری یا دریافت می‌شود.
• مناسب برای کاربردهای حرفه‌ای و شبکه‌های عمومی.
• هزینه ممکن است بسته به مرجع صادرکننده متفاوت باشد. برخی ارائه‌دهندگان مانند Let’s Encrypt گواهی رایگان ارائه می‌دهند.

۲.۳ گواهی Wildcard و Multi-Domain

• Wildcard: برای چندین زیر دامنه استفاده می‌شود.
• Multi-Domain: برای دامنه‌های مختلف در یک گواهی کاربرد دارد.
• مناسب برای سازمان‌های بزرگ با نیاز به مدیریت چندین سرویس یا زیر دامنه.

۳. تهیه گواهی SSL

۳.۱ ایجاد گواهی Self-Signed در MikroTik

اگر نمی‌خواهید گواهی را از CA تهیه کنید، می‌توانید در MikroTik یک گواهی Self-Signed ایجاد کنید:

1. وارد Terminal شوید.
2. دستور زیر را وارد کنید:

   /certificate add name=self-signed common-name=myrouter.domain.com key-size=2048 days-valid=365
   /certificate sign self-signed
   

3. وضعیت گواهی را بررسی کنید:

   /certificate print
   

4. گواهی باید وضعیت trusted=yes داشته باشد.

۳.۲ دریافت گواهی از CA

1. یک CSR (Certificate Signing Request) ایجاد کنید:

   /certificate add name=my-csr common-name=myrouter.domain.com key-size=2048 days-valid=365
   /certificate sign my-csr
   

2. فایل CSR را از MikroTik خروجی بگیرید و به CA ارسال کنید:

   /certificate export-csr my-csr
   

3. پس از دریافت گواهی، آن را به روتر وارد کنید.

۴. وارد کردن گواهی SSL به MikroTik

هنگامی که گواهی و کلید خصوصی آماده شد، مراحل زیر را دنبال کنید:

۴.۱ استفاده از Winbox برای آپلود فایل‌ها

1. گواهی و کلید خصوصی را در Winbox آپلود کنید.
2. از منوی Files، فایل‌های آپلودشده را تأیید کنید.

۴.۲ استفاده از Terminal

اگر فایل‌ها را از طریق FTP آپلود کردید، برای وارد کردن گواهی‌ها از دستورات زیر استفاده کنید:

/certificate import file-name=certificate.crt
/certificate import file-name=private.key

۵. تنظیم HTTPS و پیکربندی امنیتی

1. مطمئن شوید که سرویس HTTPS فعال است:

   /ip service set www-ssl certificate=my-certificate
   

2. برای افزایش امنیت، دسترسی HTTP را غیرفعال کنید:

   /ip service disable www
   

۶. عیب‌یابی مشکلات رایج

۶.۱ مشکل عدم اعتماد مرورگر

• اگر از گواهی خودامضا استفاده می‌کنید، باید گواهی را به لیست گواهی‌های معتبر مرورگر اضافه کنید.
• گواهی صادرشده توسط CA معتبر باید بدون مشکل کار کند. اگر مشکل دارید، زنجیره گواهی (Intermediate Certificate) را بررسی کنید.

۶.۲ خطا در وارد کردن گواهی

• مطمئن شوید فایل‌ها با فرمت مناسب آپلود شده‌اند.
• بررسی کنید که کلید خصوصی با گواهی مطابقت دارد.

۶.۳ پیام “invalid certificate”

• این پیام به این معنی است که گواهی با تنظیمات شبکه یا کلید خصوصی همخوانی ندارد. گواهی و کلید را بازبینی کنید.

۷. افزایش امنیت MikroTik

• رمز عبور قوی: از رمز عبور قوی برای دسترسی به روتر استفاده کنید.
• محدود کردن دسترسی: فقط آدرس‌های IP مشخص اجازه اتصال به سرویس HTTPS را داشته باشند:

  /ip firewall filter add chain=input protocol=tcp dst-port=443 src-address=YourIP action=accept
  

• به‌روزرسانی نرم‌افزار: مطمئن شوید که MikroTik به آخرین نسخه به‌روزرسانی شده است.

برای گسترش بیشتر مقاله و پوشش جنبه‌های مختلف موضوع، می‌توان بخش‌های جدیدی مانند نصب و استفاده از گواهی SSL برای سرویس‌های مختلف MikroTik، پشتیبانی از TLS 1.3 و امنیت پیشرفته‌تر، نکات مهم در ارتباط با گواهی‌ها و مشکلات رایج، و مراحل جایگزینی گواهی SSL بعد از انقضا را اضافه کرد. در ادامه، این بخش‌ها را گنجانده‌ایم:

۸. نصب و استفاده از گواهی SSL برای سرویس‌های مختلف MikroTik

MikroTik از پروتکل SSL برای چندین سرویس دیگر غیر از فقط HTTPS پشتیبانی می‌کند. به‌طور کلی، SSL برای تأمین امنیت سرویس‌هایی مانند Winbox، SSH، IPSec، و PPTP نیز کاربرد دارد. در این بخش، مراحل پیکربندی SSL برای سرویس‌های مختلف MikroTik را توضیح خواهیم داد.

۸.۱ پیکربندی SSL برای سرویس Winbox

Sensible security در استفاده از سرویس Winbox می‌تواند مهم باشد، زیرا این سرویس به‌صورت پیش‌فرض از رمزنگاری استفاده نمی‌کند. برای استفاده از گواهی SSL با Winbox، می‌توانید گواهی وارد شده را برای آن تنظیم کنید:

1. ابتدا وارد IP > Services شوید.
2. روی Winbox کلیک کنید و سپس گواهی SSL را در فیلد Certificate انتخاب کنید.
3. مطمئن شوید که درگاه پیش‌فرض ۸۲۹۱ تغییر نکرده است یا اگر لازم است، آن را تغییر دهید.
4. تنظیمات را ذخیره کنید.

۸.۲ پیکربندی SSL برای سرویس SSH

برای استفاده از گواهی SSL در سرویس SSH MikroTik، مشابه Winbox عمل می‌شود:

1. وارد IP > Services شوید.
2. روی SSH کلیک کرده و گواهی را از بخش Certificate انتخاب کنید.
3. از این پس ارتباطات SSH رمزنگاری شده خواهند بود.

۸.۳ پیکربندی SSL برای سرویس IPSec و PPTP

• IPSec: اگر از IPSec برای اتصال امن به شبکه استفاده می‌کنید، MikroTik از گواهی SSL برای رمزنگاری ترافیک IPSec پشتیبانی می‌کند. گواهی خود را برای این پروتکل به‌راحتی از بخش IP > IPsec وارد کنید.
• PPTP: همانطور که در IP > PPP می‌توانید تنظیمات مربوط به PPTP را پیدا کنید، استفاده از گواهی SSL برای PPTP نیز به رمزنگاری اتصال کمک می‌کند.

۹. پشتیبانی از TLS 1.3 و امنیت پیشرفته‌تر

۹.۱ معرفی TLS 1.3

TLS 1.3 جدیدترین نسخه پروتکل امنیتی است که برای جایگزینی SSL معرفی شده است. این نسخه سریع‌تر، امن‌تر و ساده‌تر از نسخه‌های قبلی مانند TLS 1.2 و SSL است. استفاده از TLS 1.3 در MikroTik می‌تواند سطح امنیت را به میزان قابل توجهی افزایش دهد.

برای فعال‌سازی و استفاده از TLS 1.3 در MikroTik:

1. وارد بخش System > Certificates شوید.
2. در گواهی‌های واردشده، از گزینه TLS1.3 برای امن‌تر کردن ارتباطات استفاده کنید.
3. در صورت نیاز، بررسی کنید که گواهی‌های شما از TLS 1.3 پشتیبانی می‌کنند.

۹.۲ مزایای TLS 1.3

• زمان اتصال سریع‌تر: با کاهش مراحل handshake در مقایسه با نسخه‌های قبلی، TLS 1.3 سرعت ارتباطات را بهبود می‌بخشد.
• امنیت بیشتر: با حذف الگوریتم‌های قدیمی و ضعیف، سطح امنیت TLS 1.3 بالاتر است.
• کاهش حملات: آسیب‌پذیری‌های گذشته که در نسخه‌های قبلی وجود داشت، در TLS 1.3 برطرف شده است.

۱۰. نکات مهم در ارتباط با گواهی‌ها و مشکلات رایج

۱۰.۱ بررسی صحت گواهی‌های SSL

• تاریخ انقضای گواهی: همواره از تاریخ انقضای گواهی خود مطلع باشید و قبل از پایان یافتن آن، اقدام به تمدید گواهی کنید.
• فرمت گواهی: MikroTik از فرمت‌های .crt و .pem پشتیبانی می‌کند. در صورت استفاده از فرمت‌های مختلف، مطمئن شوید که آنها را به فرمت‌های موردنیاز MikroTik تبدیل کنید.

۱۰.۲ مشکلات رایج در استفاده از گواهی SSL

• خطای عدم تطابق گواهی: این خطا زمانی رخ می‌دهد که گواهی صادرشده برای یک دامنه خاص، با نام دامنه یا آدرس IP روتر MikroTik شما تطابق ندارد. برای رفع این مشکل، اطمینان حاصل کنید که نام دامنه گواهی دقیقاً با آدرس IP یا نام دامنه MikroTik شما هماهنگ است.
• خطای “certificate revoked”: اگر گواهی شما از اعتبار ساقط شده باشد (به دلیل عدم تمدید یا لغو)، باید گواهی جدیدی از مرجع صادرکننده دریافت کنید.
• زنجیره گواهی (Certificate Chain): اگر گواهی SSL شما شامل یک گواهی زنجیره‌ای نباشد، مرورگرها یا کلاینت‌ها ممکن است آن را به‌عنوان گواهی معتبر شناسایی نکنند. در این صورت، باید گواهی‌های میانجی را به MikroTik وارد کنید.

۱۱. مراحل جایگزینی گواهی SSL پس از انقضا

۱۱.۱ تمدید گواهی

گواهی‌های SSL معمولاً دارای تاریخ انقضا هستند. قبل از انقضای گواهی، باید آن را تمدید کرده و گواهی جدیدی دریافت کنید. در غیر این صورت، ارتباطات شما از حالت امن خارج خواهند شد و کاربران هشدار امنیتی خواهند دید.

1. به System > Certificates بروید و گواهی قدیمی را حذف کنید.
2. گواهی جدید را به‌صورت فایل جدید آپلود و وارد کنید.
3. تنظیمات سرویس‌های مربوطه را برای استفاده از گواهی جدید به‌روزرسانی کنید.

۱۱.۲ رفع مشکلات گواهی پس از انقضا

اگر بعد از انقضای گواهی مشکلاتی پیش آمد، ابتدا بررسی کنید که گواهی به‌درستی جایگزین شده است و از گواهی جدید در سرویس‌ها استفاده می‌شود. اگر باز هم با خطا روبه‌رو هستید، لازم است که گواهی زنجیره‌ای (Intermediate Certificates) را بررسی کرده و آنها را نیز وارد کنید.

۱۲. نتیجه‌گیری

استفاده از گواهی SSL یکی از مهم‌ترین گام‌ها در راستای تأمین امنیت شبکه و حفاظت از اطلاعات است. با رعایت نکات فوق و استفاده از گواهی‌های معتبر و معتبرسازی شده، می‌توانید از حملات سایبری جلوگیری کرده و سطح امنیت شبکه MikroTik خود را بالا ببرید. همچنین، با استفاده از پروتکل‌های امن‌تر مانند TLS 1.3 و با آگاهی از مشکلات رایج و نحوه رفع آن‌ها، امنیت ارتباطات خود را افزایش دهید و از روتر خود در برابر تهدیدات مختلف محافظت کنید.

Mustafa Majidi

حدود 6 سالی هست که در زمینه میزبانی وب , برنامه نویس Flutter فعالیت میکنم . به سبک حرفه ای و انحصاری خود زندگی میکنم و خط فکری خاصی را همیشه دنبال میکنم , و علاقه زیادی برای نشر تجربیات خود با دیگران دارم .

پیشنهاد میکنیم این مقالات را هم بخوانید

گواهی SSL در میکروتیک برای ایمن‌سازی اتصال

یک سوال همیشگی , آیا میزبانی ابری امن است ؟

فعال کردن گواهینامه SSL در قسمت SSL/TLS

آیا گواهینامه SSL ارزش دریافت کردن را دارد ؟