رفع خطای Bad Certificate در MikroTik

MikroTik، به عنوان یکی از محبوب‌ترین برندهای تجهیزات شبکه، از سیستم عامل RouterOS استفاده می‌کند که قابلیت‌های پیشرفته‌ای برای مدیریت گواهی‌های SSL/TLS ارائه می‌دهد. خطای Bad Certificate یکی از رایج‌ترین مشکلات در اتصالات امن (مانند Winbox،دسترسی HTTPS و … ) است. این خطا معمولاً به معنای عدم اعتبار گواهی دیجیتال است و می‌تواند اتصال را مختل کند. در این مقاله جامع، به بررسی علل، تشخیص و روش‌های گام‌به‌گام رفع این خطا می‌پردازیم. تمرکز بر نسخه‌های RouterOS 6 و 7 است، با تاکید بر ابزارهای داخلی MikroTik. اگر با این خطا مواجه شدید، ابتدا نسخه RouterOS خود را به‌روزرسانی کنید، زیرا بسیاری از مشکلات در نسخه‌های جدیدتر حل شده‌اند.

علل رایج خطای Bad Certificate

این خطا می‌تواند از چندین منبع ناشی شود. درک علل کمک می‌کند تا راه‌حل مناسب انتخاب شود:

1. گواهی  (Self-Signed Certificate): RouterOS به طور پیش‌فرض گواهی‌های Self-Signed تولید می‌کند که توسط مرورگرها یا کلاینت‌ها (مانند Winbox) به عنوان نامعتبر شناخته می‌شوند.
2. عدم اعتماد به CA (Certificate Authority): زنجیره گواهی ناقص است یا CA root اعتماد نشده.
3. انقضای گواهی: گواهی منقضی شده یا CRL (Certificate Revocation List) آن نامعتبر است.
4. مشکلات CRL: دانلود CRL با امضای نامعتبر (“Got CRL with a bad signature”) یا عدم دسترسی به سرور CRL.
5. تنظیمات نادرست در خدمات: مانند OpenVPN، IPsec یا Hotspot که verify-server-certificate فعال است، اما گواهی سرور معتبر نیست.
6. مشکلات شبکه: فایروال بلاک کردن پورت 80/443 برای Let’s Encrypt یا SCEP.
7. نسخه قدیمی RouterOS: باگ‌های شناخته‌شده در نسخه‌های پیش از 6.45 یا 7.1.

نکته: این خطا اغلب در لاگ‌های سیستم (System > Logging) با پیام‌هایی مانند “SSL: bad certificate” یا “TLS handshake failed” ظاهر می‌شود.

تشخیص خطا

قبل از رفع، خطا را شناسایی کنید:

• در Winbox: هنگام اتصال امن، پاپ‌آپ “Bad Certificate” ظاهر می‌شود.
• در VPN (OpenVPN/IPsec): لاگ‌های /log print where topics~”ovpn” یا “ipsec” را چک کنید.
• در Hotspot: کاربران HTTPS با خطای مرورگر مواجه می‌شوند.
• دستور کلی: /certificate print detail برای چک وضعیت گواهی‌ها (پرچم‌های T=Trusted, E=Expired, R=Revoked).

روش‌های رفع خطای Bad Certificate در MikroTik گام‌به‌گام

1. رفع در Winbox (اتصال به روتر)

این رایج‌ترین سناریو است. گام‌ها:

1. Winbox را باز کنید و آدرس IP روتر را وارد کنید.
2. در پنجره اتصال، تیک “Safe Mode” را بردارید یا “Connect to insecure” را بزنید (این گزینه خطا را نادیده می‌گیرد).
3. برای راه‌حل دائمی:
   • گواهی روتر را export کنید: /certificate export-certificate server export-passphrase=””
   • فایل .crt را در کلاینت (ویندوز) import کنید: در Certificate Manager (certmgr.msc)، آن را به Trusted Root Certification Authorities اضافه کنید.
4. در روتر، trust را فعال کنید: /certificate set [find name~”.*server”] trusted=yes

نکته: اگر خطا ادامه داشت، سرویس www-ssl را چک کنید: /ip service set www-ssl certificate=server disabled=no  

2. رفع در IPsec

برای تونل‌های site-to-site. گام‌ها:

1. گواهی‌ها را import کنید: /certificate import file-name=remote.crt passphrase=””
2. در IPsec peer: certificate=remote-cert و auth-method=rsa-signature
3. CRL را فعال کنید: /certificate settings set crl-use=yes crl-download=yes
4. اگر “bad signature” در CRL: سرور CRL را چک کنید یا موقتاً crl-use=no بگذارید.

3. رفع در Hotspot (HTTPS Redirection)

کاربران Hotspot با خطای گواهی مواجه می‌شوند. گام‌ها:

1. گواهی معتبر تولید کنید (بهتر از Let’s Encrypt استفاده کنید، بخش بعدی).
2. در Hotspot: /ip hotspot profile set [find] login-by=https-certificate=your-cert
3. برای نادیده گرفتن خطا: در مرورگر کلاینت، exception اضافه کنید (نه توصیه‌شده برای تولید).
4. تست: از یک کلاینت متصل، https://captive.portal را باز کنید.

4. استفاده از Let’s Encrypt (راه‌حل خودکار)

در RouterOS 7+، بهترین گزینه برای گواهی معتبر رایگان. گام‌ها:

1. DNS عمومی تنظیم کنید (مثلاً myrouter.dyndns.org به IP WAN روتر اشاره کند).
2. فعال‌سازی: /certificate enable-ssl-certificate dns-name=myrouter.dyndns.org
3. پورت 80 را باز کنید: /ip firewall filter add chain=input protocol=tcp dst-port=80 action=accept
4. گواهی هر 80% اعتبار تمدید می‌شود. وضعیت: /certificate print where name~”letsencrypt”

نکته: اگر خطا “bad certificate” در تمدید: فایروال یا NAT را چک کنید (TCP/80 از WAN باز باشد).

5. مدیریت CRL و خطاهای امضا

اگر خطا “Got CRL with a bad signature” است. گام‌ها:

1. تنظیمات: /certificate settings set crl-download=yes crl-store=system crl-use=yes
2. CRL را دستی دانلود کنید: /certificate update-crl
3. اگر امضا بد: CA سرور را چک کنید یا crl-use=no (امنیت کمتر).
4. Built-in Root CAs را trust کنید: /certificate settings set builtin-trust-anchors=trusted

6. رفع عمومی و عیب‌یابی پیشرفته

• به‌روزرسانی RouterOS: /system package update install
• پاک کردن گواهی‌های نامعتبر: /certificate remove [find invalid=yes]
• تست اتصال: از ابزار fetch استفاده کنید: /tool fetch url=”https://www.mikrotik.com” mode=https check-certificate=yes
• لاگ‌ها: /system logging add topics=certificate,ssl action=memory
• اگر SCEP استفاده می‌کنید: الگوریتم را به AES/SHA256 تغییر دهید: /certificate scep-client set url=your-scep-server algorithm=aes256-sha256

نکات امنیتی و بهترین شیوه‌ها

• هرگز گواهی‌های پیش‌فرض را در تولید استفاده نکنید: همیشه از CA معتبر یا Let’s Encrypt بهره ببرید.
• بک‌آپ بگیرید: قبل از تغییرات، /system backup save name=pre-cert
• امنیت: crl-use=yes را فعال نگه دارید تا revocation چک شود.
• تست در محیط lab: تغییرات را ابتدا در روتر تست تست کنید.