فعال سازی گواهی Let’s Encrypt در میکروتیک
نسخه ۷ سیستمعامل RouterOS از گواهیهای Let’s Encrypt برای سرویس ‘www-ssl’ پشتیبانی میکند. برای فعالسازی این سرویس همراه با تمدید خودکار گواهی، از دستور ‘enable-ssl-certificate’ استفاده کنید.
/certificate enable-ssl-certificate dns-name=my.domain.com
حتماً توجه داشته باشید که نام DNS باید به روتر اشاره کند. اگر نام DNS مشخص نشده باشد، بهطور پیشفرض از نام خودکار تولیدشده در مسیر `/ip cloud` استفاده خواهد شد (مانند: `http://example.sn.mynetname.net`).
اگر نام DNS مورد استفاده، نام پیشفرض `http://example.sn.mynetname.net` نباشد، پورت TCP/80 باید از طریق شبکه WAN در دسترس باشد.
🔄 گواهی بهصورت خودکار تمدید میشود، زمانی که ۸۰٪ از دوره اعتبار آن سپری شده باشد.
🌐 سرورهای مختلف ACME
امکان استفاده از سرویس گواهی Let’s Encrypt وجود دارد، اما میتوانید از هر سرویس دیگری که ترجیح میدهید نیز استفاده کنید.
در هر صورت، نام DNS باید به روتر اشاره کند و پورت TCP/80 باید از طریق WAN قابل دسترسی باشد.
🔁 تمدید خودکار گواهی زمانی انجام میشود که ۸۰٪ از مدت اعتبار آن گذشته باشد.
1. **ساخت Address List برای دامنههای Let’s Encrypt**
2. **نوشتن رولهای فایروال برای باز کردن پورت 80 فقط برای این دامنهها lets encrypt
🧠 مرحله 1: ساخت Address List مربوط به url های lets encrypt
/ip firewall address-list add list=letsencrypt-list address=acme-v02.api.letsencrypt.org add list=letsencrypt-list address=acme-staging-v02.api.letsencrypt.org add list=letsencrypt-list address=letsencrypt.org
—
🔐 مرحله 2: رولهای فایروال برای کنترل دسترسی به پورت 80 و فقط اجازه به دامنههای Let’s Encrypt برای دسترسی به پورت 80 روتر
/ip firewall filter add chain=input protocol=tcp dst-port=80 src-address-list=letsencrypt-list action=accept comment="Allow port 80 for Let's Encrypt" add chain=input protocol=tcp dst-port=80 action=drop comment="Block port 80 for others"
