Eenmalig een template aanmaken:
/certificate add name=ssl-template common-name=<FQDN van de router> \
key-size=4096 organization="<organisatie>" country=NL
Creëer een (nieuw) CSR (Certificate Signing Request):
/certificate create-certificate-request template=ssl-template \
key-passphrase="<wachtwoord>"
Er zijn nu twee bestanden aangemaakt:
- certificate-request.pem
- certificate-request_key.pem
Download deze en gebruik de eerste om een certificaat aan te maken, bijvoorbeeld bij StartSSL*.
Upload het verkregen certificaat naar de router.
Importeer het certificaat:
/certificate import file-name=<bestandsnaam certificaat> passphrase=""
Importeer de sleutel:
/certificate import file-name=certificate-request_key.pem passphrase="<wachtwoord>"
Gebruik het (nieuwe) SSL-certificaat voor bijvoorbeeld de https-versie van Webfig:
/ip service set www-ssl certificate=<naam van het certificaat>
Ik moest de router herstarten voordat het nieuwe certificaat ook echt gebruikt werd, maar dat kan aan mij liggen. Misschien kan het makkelijker en sneller.
*) Toevoeging 28 september 2016: na het schandaal rond WoSign/StartCom (zie Mozilla gaat certificaatauthoriteit WoSign/StartCom straffen) wordt het gebruik van SSL-certificaten van StartSSL afgeraden.