Skip to content Skip to sidebar Skip to footer

Setting SSTP Tunnel dengan Sertifikat SSL di Mikrotik

Daftar Isi [Tutup]
    Apa kabar sahabat Bocah Komputer, kali ini penulis akan membahas sesuai judul yaitu Cara Setting SSTP Tunnel dengan Sertifikat SSL, Secure Socket Tunneling Protocol  atau yang kita kenal dengan SSTP ini merupakan salah satu fitur VPN yang ada di Mikrotik, Fitur ini berjalan pada protokol TCP dan Port 443. Sebelum kita membahas lebih jauh lagi, sahabat bocah komputer harus tahu bahwa SSTP ini merupakan sebuah PPP Tunnel dengan Channel TLS 1.0

    Kemudian bagaimana cara kita mendapatkan  sertifikat SSL dan apa juga fungsi dari Sertifikat tersebut?? sertifikat SSL ini berfungsi untuk mengoptimalkan serta memberi keamanan yang baik untuk SSTP yang kita setting pada Mikrotik kita dan juga di gunakan untuk membuat koneksi antara server dan client kita. sedangkan untuk mendapatkan sertifikat tersebut kita bisa membeli dari vendor-vendor yang ada atau juga kita bisa membuat sendiri menggunakan open SSL.

    Kali ini penulis akan memberikan contoh konfiguri untuk menghubungkan antar 2 jaringan melalui WAN dengan menggunakan SSTP, akan tetapi sebelum itu, seperti penulis bilang sebelumnya kita membutuhkan Sertifikat SSL, jadi penulis fokuskan untuk cara membuat sertifikatnya terlebih dahulu dengan menggunakan OpenSSL dan mengimplementasikan pada konfigurasi SSTP kita baik di server maupun di client. Di sini penulis menggunakan RB751U untuk di jadikan sebagai Server SSTP dan RB941-2n (hAp-Lite) sebagai clientnya. Seperti topologi pada gambar di bawah ini.
    Membuat Sertifikat dengan OpenSSL

    Seperti yang penulis bilang, kita akan fokus pada pembuatan Sertifikat SSL terlebih dahulu, maka berikut merupakan langkah-langkah untuk membuat CA (Certificate Authority) dan Server/Client Certificate menggunakan  OS Linux.

    Langkah Pertama yang kita buat adalah membuat CA Private Key dan CA Certificate Pair. Untuk lebih jelasnya apa itu CA Private Key dan CA Certificate Pair sahabat bocah komputer bisa Googling terlebih dahulu. Hehe, ok kembali pada pembahasan kita, langsung saja ketikkan perintah berikut pada Terminal Linux kita, sama seperti pada gambar di bawah.

    openssl genrsa -des3 -out ca.key 4096



    Pada gambar di atas merupakan proses pembuatan RSA private key, dan kita diminta untuk memasukkan 'pass phrase'. untuk pass ini bisa di isi bebas terserah sahabat bocah komputer saja, akan tetapi pass ini harus di ingat dan jangan sampai lupa, maka penulis menyarankan agar pass ini di isi dengan kata yang mudah di ingat seperti contah di isi nama DOI nya hehe Misal di sini penulis memasukkan kata mikrotikid Untuk di jadikan Pass nya, jika sudah maka selanjutnya, kita buat file CA Certificate dengan mengetikkan perintah berikut pada terminal Linux. Contoh seperti gambar di bawah.

    openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

    Pada gambar di atas kita di minta untuk verifikasi pass yang tadi kita masukkan dengan cara memasukan ulang 'Pass Phrase' yang telah kita masukkan di langkah sebelumnya tadi, di sini penulis tadi memasukkan kata mikrotikid. Maka jika pass kita sudah sesuai kita akan di bawa ke langkah berikutnya yaitu mengisi data-data untuk CA Certificate seperti Common Name (CN)OrganizationState or province, dll. Silahkan sesuaikan seperti data sahabat bocah komputer.


    Langkah Kedua, setelah langkah pertama sahabat bocah komputer selesai di ikuti, maka langkah berikutnya atau langkah ke dua kita membuat private-key/certificate pair untuk server SSTP kita nanti. Dengan cara kita ketikkan perintah berikut pada Terminal Linux kita. Contoh seperti gambar di bawah.

    openssl genrsa -des3 -out server.key 4096

    Gambar di atas sama seperti halnya pembuatan CA tadi, pada saat pembuatan RSA private key kita juga diminta untuk memasukkan 'Pass Phrase'. Di sini sahabat bocah komputer bisa di isi dengan kata yang sama seperti 'Pass Phrase' sebelumnya, dan juga bisa di bedakan, nah di sini penulis menyarankan agar di isi dengan kata yang sama saja biar mudah untuk di ingat. Jika sudah maka selanjutnya, kita membutuhkan Certificate Signing Request (CSR) untuk membuat Server Certificate, dengan cara  Kita buat CSR dengan mengetikkan perintah berikut. Contoh seperti di gambar.

    openssl req -new -key server.key -out server.csr


    Pada langkah ini pun sama kita juga diminta untuk mengisi beberapa informasi untuk sertifikat silahkan sahabat bocah komputer di isi data-data yang di minta, seperti Common Name (CN)Organization, dll.


    Selanjutnya kita akan men-generate Server Certificate. Kita ketikkan perintah pada Terminal seperti contoh berikut.

    openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

    Pada langkah ini kita diminta untuk memasukkan 'Pass Phrase' dari CA yang kita buat tadi. jika sudah di masukkan pass yang tadi, maka kita lanjut ke langkah ketiga, di bawah ini.

    Langkah Ketiga, Kita akan membuat client key/certificate pair. Langkah-langkah dan juga informasi yang di butuhkan untuk di isi di client juga sama seperti kita membuat Server Certificate tadi. Adapun untuk perintah yang kita ketikkan pada Terminal Linux adalah sebagai berikut.

    openssl genrsa -des3 -out client.key 4096 (Untuk membuat client key)

    openssl req -new -key client.key -out client.csr (Untuk membuat CSR)

    openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt (Untuk men-generate Client Certificate).

    Nah, demikian untuk langkah-langkah pembuatan CA (Certificate Authority) dan Server/Client Certificate sudah selesai. Sekarang mari kita cek apakah semua sertifikat yang telah kita buat berjalan dengan baik atau tidak. dengan cara kita ketikkan perintah pada Terminal Linux seperti berikut. dan perhatikan pada jawaban yang di peroleh, dan juga pastikan bahwa tidak ada yang Error dan Warning seperti contoh gambar di bawah.


    openssl x509 -noout -text -in server.crt -purpose



    Import Sertifikat

    Selanjutnya kita upload file CA (Certificate Authority) dan Server/Client Certificate ke router dengan menggunakan FTP atau langsung 'Drag & Drop' jika menggunakan Windows.


    Di sini untuk SSTP Server file yang harus di upload adalah CA (ca.crt, ca.key) dan Server Certificate (server.crt, server.key). Sedangkan untuk SSTP Client hanya Client Certificate (client.crt,client.key).

    Jika file yang dibutuhkan sudah di upload ke router, selanjutnya masuk ke menu System > Certificates pada mikrotik kita. Kemudian klik pada tombol command 'Import'. Pada parameter 'Only File' isikan dengan file yang akan diupload kemudian pada 'Passphrase' isikan sesuai dengan passphrase yang kita buat tadi pada langkah sebelumnya.


    Hal ini dilakukan pada kedua Mikrotik kita baik pada mikrotik yang di jadikan sebagai SSTP Server maupun Mikrotik yang di jadikan sebagai SSTP Client. Dan file yang diimport sama dengan file yang diupload di masing-masing mikrotik diatas tadi. Jika semua file berhasil di upload dengan baik maka akan muncul seperti pada gambar di bawah ini.

    untuk lebih memudahkan sebaiknya kita rename sertifikat yang kita import dari 'cert-X' ke CA atau Server/Client terlebih dahulu.


    Koneksi SSTP Tunnel dengan Sertifikat SSL
     

    Konfigurasi SSTP pada masing-masing mikrotik baik mikrotik server ataupun mikrotik client sama halnya dengan fitur VPN yang lain. Namun pada SSTP ini kita perlu menambahkan sertifikat. Pada sisi server kita tambahkan Server Certificate dan pada sisi client ditambahkan Client Certificate. perhatikan gambar berikut:



    Catatan:

    Untuk pengisian informasi Common Name (CN) pada proses pembuatan CA (Certificate Authority) dan Server/Client Certificate harus berbeda. Misal, pada contoh diatas Common Name untuk CA yaitu www.mikrotik.co.id sedangkan Server/Client Certificate yaitu 192.168.1.1 (IP Public dari router SSTP server).

    Post a Comment for "Setting SSTP Tunnel dengan Sertifikat SSL di Mikrotik"