Mitrotik RouterOS开启DoH并使用证书

[ ](https://www.youtube.com/watch?v=T9g4unOts7Y)

# 准备

我的ROS版本目前是7.1稳定版，不同版本应该大同小异。
你需要先确定你要用哪家的DNS服务，我这里以阿里的DoH为例 https://dns.alidns.com/dns-query

# 下载证书

我们直接用浏览器访问它的网址

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2829852042.png)

查看它的证书

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3843814543.png)

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1555970352.png)

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1550637322.png)

可以看到是这两个证书
`globalsign ECC root r5`
` globalsign ECC OV SSL CA 2018`

我用的浏览器是Chrome，不同的浏览器显示位置可能不一样。

直接谷歌搜索globalsign ECC root r5
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3097939766.png)

点击官网的

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3470063689.png)

ctrl + f 搜索r5 ，找到后下载

下载另一个证书
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2813941028.png)
同理谷歌搜索

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2649163872.png)

搜索2018，找到后下载

# 安装证书

登录winbox，直接把下载的两个证书拖入winbox

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/112315873.png)

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3258892241.png)

点击system certificate

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/245673273.png)

点击import 名字随便填，选择其中一个证书，点击import

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/795867329.png)

再导入另一个证书

**注意：证书是有时间限制的到期后要替换成新的**

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3373399442.png)

# 设置DoH

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/134326127.png)

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2631926001.png)

如图填入DoH地址，勾选verify DoH certificate

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1325200774.png)

然后点击static，手动指定dns.alidns.com为223.5.5.5，如果你用的别的DoH，可以自行查询它对应的IP

**如果你觉得本教程对你有帮助，请随意打赏，谢谢。**

最后修改：2021 年 12 月 23 日

如果觉得我的文章对你有用，请随意赞赏

olym
March 3rd, 2023 at 12:09 pm

抄作业成功，同时抄了ip分流，ospf没搞懂。因为没用op，改天研究下怎么在debian上装bird。
同时还抄了truenas scale ，虽然最后变成了core
感谢大佬无私奉献

回复
yandong31
January 23rd, 2023 at 12:05 pm

按你这个设置的
报错，虽然还是能解析
DoH server connection error: Idle timeout - connecting

回复
大马蜂
November 27th, 2022 at 10:48 pm

如果上面的数字DNS地址，和下面的doh地址同时填写，ROS会如何解析呢？

回复
name
May 19th, 2022 at 09:06 pm

证书貌似只要导入一个就可以，我导入globalsign ECC root r5这个就能正常解析

回复
嘻嘻嘻
January 28th, 2022 at 01:48 pm

设置过客户端上不了网了

回复
Tara
January 10th, 2022 at 02:08 am

谢谢！
6.49也可以操作

回复
幕后之黑手
January 7th, 2022 at 04:05 pm

op做旁路由的话，这样设置，是不是DNS就不用op的了

回复
1. sagit
  January 9th, 2022 at 07:53 pm
  
  @幕后之黑手
  
  对
  
  回复