Делаем CA.

certificate 
add name=CA-CERT common-name=CA-CERT key-usage=key-cert-sign,crl-sign
sign CA-CERT name=CA-CERT

Создаём самоподписанные сертификат.

/certificate 
add name=SSL-SELF-SIGN common-name=L5E-MTIK1 days-valid=3650
sign SSL-SELF-SIGN ca=CA-CERT

Включем https-сервер на 443 порту.

/ip service 
set www-ssl certificate=SSL-SELF-SIGN disabled=no

Проверяем, что можем зайти по 443 порту и отключаем всё лишнее.

/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set www disabled=yes
set winbox disabled=yes

/system package update set channel=long-term
/system package update check-for-updates
/system package update/download
/system package update/install (после этого разорвет соединение)
/system routerboard upgrade
/system reboot

system/identity/set name=spb-kb-gw-01

system/resource/print

system/routerboard/print