Казалось бы простая процедура: IP — DNS
Далее указываем сам сервер и ставим отметку проверки сертификата.
В качестве DNS можно указать не только от Google 8.8.8.8 и 8.8.4.4, но и от CloudFlare:
Стандартные (скорость и приватность):
1.1.1.1 1.0.0.1
Для блокировки вредоносного ПО:
1.1.1.2 1.0.0.2
Для блокировки вредоносного ПО и контента для взрослых:
1.1.1.3 1.0.0.3Запрос к DoH:
https://1.1.1.1/dns-queryНо Mikrotik не подкидывает сам сертификаты, надо ему указать.
Если указать DigiCert Global Root CA, то этого будет мало, надо пачку корневых сертификатов установить.
Гуляя по интеренету был найден адрес с полным пакетом сертификатов.
Теперь загружаем в Winbox через файлы cacert.pem, потом System — Certificate — Import
Очищам кеш DNS и можно радоваться, в логах больше нет:
DoH server connection error: SSL: handshake failed: unable to get local issuer certificate (6)Проверить результат можно тут.