Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Servereinstellungen

Servereinstellungen sind unter https://YOURNAME.radius-as-a-service.com/settings/server verfügbar

Ports & IP-Adressen

Übersicht

RADIUSaaS betreibt einen RadSec-Dienst, um seinen Benutzern sichere, cloudbasierte Authentifizierung bereitzustellen. Zusätzlich bietet RADIUSaaS für Kunden, die RadSec in ihrer Netzwerkumgebung nicht nutzen können, z. B. aufgrund von Hardware- und Softwareeinschränkungen, RADIUS-Proxys an, die die Protokollkonvertierung von RADIUS zu RadSec übernehmen.

Sowohl der RadSec- als auch der RADIUS-Dienst bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und Diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste laufen über ihre jeweils eigenen registrierten Ports.

RadSec / TCP

Anzeige von RadSec-IP und Port

RadSec-DNS

Der DNS-Eintrag, über den der RadSec-Dienst erreichbar ist.

Server-IP-Adressen

Dies ist die öffentliche IP-Adresse des RadSec-Dienstes.

RadSec-Ports

Dies ist der registrierte Port für RadSec: 2083

Failover & Redundanz

In Fällen, in denen Kunden höhere Redundanzstufen benötigen, können für Ihre Instanz mehrere RadSec-Endpunkte konfiguriert werden, die zusätzliche IP-Adressen bereitstellen. Bitte beachten Sie, dass für diesen Dienst zusätzliche Kosten anfallen.

Anzeige von zwei öffentlichen IP-Adressen, eine für jeden der RadSec-Dienste.

Es ist wichtig zu beachten, dass RADIUSaaS kein Failover zwischen RadSec-Endpunkten bereitstellt. Stattdessen wird dieses Failover typischerweise auf Ihrer Netzwerkhardware implementiert, wie im folgenden Beispiel mit Meraki gezeigt.

Es wird empfohlen, Ihr Failover-Szenario mithilfe von IP-Adressen statt DNS zu konfigurieren, um eine bessere Übersicht und eine geringere Abhängigkeit von einem zusätzlichen Dienst (DNS) zu erreichen.

In dieser Konfiguration sind die beiden RadSec-IP-Adressen in Reihenfolge der Priorität aufgeführt. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es normalerweise noch zweimal und wechselt dann zur nächsten. Weitere Informationen zur Failover-Funktionalität Ihres Meraki- (oder anderen) Systems entnehmen Sie bitte Ihren eigenen Unterlagen.

Anzeige mehrerer RadSec-Server in Prioritätsreihenfolge (Meraki).

RadSec-Einstellungen

Die folgenden Einstellungen steuern bestimmte Aspekte der RadSec-Verbindung zu Ihrer RADIUSaaS-Instanz.

Maximale TLS-Version

Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die Mindestversion ist fest auf 1.2 gesetzt, die Standard-Maximalversion auf 1.3.

TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, darunter den Post-Handshake-Authentifizierungsmechanismus, der das Anfordern zusätzlicher Anmeldeinformationen vor Abschluss des Handshakes ermöglicht. Dies ist wichtig für die im nächsten Abschnitt behandelte Überprüfung der RadSec-Zertifikatseinstellungen.

Widerrufsprüfung für RadSec-Zertifikate

Diese Einstellung bestimmt, ob für alle RadSec-Verbindungen eine Widerrufsprüfung durchgeführt werden soll. Die Methode zur Überprüfung der Widerrufsprüfung unterscheidet sich geringfügig von der für Client-Authentifizierungszertifikate verwendeten Methode.

Für einen ordnungsgemäßen RadSec-Betrieb stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Bereitstellungen verwenden typischerweise Mutual TLS (mTLS), bei dem sich beide Gegenstellen mithilfe von X.509-Zertifikaten während des TLS-Handshakes gegenseitig authentifizieren. Die RADIUSaaS-Implementierung erzwingt mTLS.

Um die Gültigkeit und den Widerrufsstatus eines RadSec-Clientzertifikats zu bestimmen, muss das Zertifikat vom Client als Teil des TLS-Authentifizierungsprozesses vorgelegt werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (z. B. über CRL oder OCSP) durchgeführt werden.

TLS 1.2

TLS 1.2 unterstützt Mutual-TLS-Authentifizierung während des initialen Handshakes mithilfe der CertificateRequest, Certificate, und CertificateVerify Nachrichten. Wenn Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Clientzertifikat vor der Herstellung der TLS-Sitzung und vor dem Austausch von RADIUS-Daten präsentiert, validiert und auf Widerruf geprüft.

TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Renegotiation. Infolgedessen können einige RadSec-Clientimplementierungen den initialen Handshake abschließen, ohne ein Clientzertifikat vorzulegen. Dieses Verhalten ist implementierungsabhängig und keine Einschränkung des TLS-1.2-Protokolls.

Um das oben genannte Verhalten zu mildern, wird die Widerrufsprüfung für RadSec-Zertifikate Einstellung deaktiviert, wenn die maximale TLS-Version auf 1.2 gesetzt ist. Bitte beachten Sie, dass Sie sie später manuell wieder aktivieren können.

TLS 1.3

TLS 1.3 bietet ein deterministischeres und schlankeres Modell für die Mutual-TLS-Authentifizierung. Wenn Client-Authentifizierung angefordert wird, wird das RadSec-Clientzertifikat als Teil des initialen Handshakes ausgetauscht und validiert, bevor die TLS-Verbindung hergestellt wird. Dadurch kann der RadSec-Server das Clientzertifikat, einschließlich seines Widerrufsstatus, sofort überprüfen und den Handshake fehlschlagen lassen, wenn das Zertifikat ungültig oder widerrufen ist. Infolgedessen ermöglicht TLS 1.3 eine strengere und vorhersehbarere Durchsetzung der Mutual-TLS-Authentifizierung für RadSec-Verbindungen.

Die Widerrufsprüfung für RadSec-Zertifikate Einstellung wird automatisch aktiviert, wenn die maximale TLS-Version auf 1.3 gesetzt wird.

RADIUS / UDP

Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen RADIUS-Proxykonfiguriert haben. Für jeden Proxy ist eine separate öffentliche IP-Adresse verfügbar. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen ausschließlich das RADIUS-Protokoll und lauschen daher auf den Ports 1812/1813.

Server-IP-Adressen und Standort

Diese IP-Adressen lauschen nur auf RADIUS über UDP-Ports 1812/1813.

Geostandort des bzw. der RADIUS-Proxy(s) sowie die jeweilige(n) öffentliche(n) IP-Adresse(n).

Gemeinsame Geheimnisse

Das gemeinsame Geheimnis für den jeweiligen RADIUS-Proxy. Standardmäßig werden alle RADIUS-Proxys mit demselben gemeinsamen Geheimnis initialisiert.

Anzeige der Änderung gemeinsamer Geheimnisse pro Proxy

Ports

Dieser Abschnitt zeigt die Standardports für die RADIUS-Authentifizierungs- (1812) und RADIUS-Abrechnungsdienste (1813) an.

Failover & Redundanz

Proxy-Redundanz

Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxys wie hier.

RadSec-Dienst-Redundanz für Proxys

Bei Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxys automatisch so konfiguriert, dass sie sich mit allen verfügbaren RadSec-Instanzen verbinden. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst.

Serverzertifikate

Customer-CA

Standardmäßig generiert RADIUSaaS ein RADIUS-Serverzertifikat das von einer Zertifizierungsstelle (CA) signiert ist, die in unserem Dienst ausschließlich zu diesem Zweck verfügbar ist. Wir bezeichnen sie als die Customer-CA. Die Customer-CA ist für jeden Kunden einzigartig.

Um Ihre Customer-CA zu erstellen, befolgen Sie diese einfachen Schritte:

  1. Navigieren Sie zu Einstellungen > Servereinstellungen

  2. Klicken Sie auf Hinzufügen

  3. Wählen Sie Lassen Sie RaaS eine CA für Sie erstellen

  4. Klicken Sie auf Speichern

  5. Nach der Erstellung sehen Sie ein neues Zertifikat unter Serverzertifikate verfügbar

Verwenden Sie Ihr eigenes Zertifikat

Falls Sie die Customer CAnicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen.

von SCEPman ausgestelltes Serverzertifikat

Bitte befolgen Sie diese Schritte, um SCEPman Certificate Master zur Generierung eines neuen Serverzertifikats zu nutzen:

  1. Navigieren Sie zu Ihrem SCEPman Certificate Master-Webportal.

  2. Wählen Sie links Zertifikat anfordern aus

  3. Wählen Sie (Web-)Server oben

  4. Wählen Sie Formular

  5. Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Generieren Sie ein Serverzertifikat wie beschrieben hier und geben Sie einen beliebigen FQDN an. Wir empfehlen, das SAN des Standard-Serverzertifikats anzupassen, z. B. radsec-<Ihr RADIUSaaS-Instanzname>.radius-as-a-service.com.

  6. Stellen Sie das Dateiformat für den Download auf PEM

  7. Wählen Sie Zertifikatskette einbeziehen und laden Sie das Zertifikat herunter.

  8. Stellen Sie sicher, dass sowohl Server- als auch Client-Authentifizierung für die EKU enthalten ist.

  9. Senden Sie die Anfrage, um das neue Serverzertifikat herunterzuladen.

Wichtig: Notieren Sie sich vorübergehend das Passwort, da es in Certificate Master nicht wiederhergestellt werden kann.

Laden Sie das neue Serverzertifikat in RADIUSaaS

hoch. Um Ihr in den obigen Schritten erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zu RADIUSaaS-Instanz > Einstellungen > Servereinstellungen > Hinzufügen, dann

  1. Wählen Sie PEM- oder PKCS#12-kodiertes Zertifikat (Wenn Sie in Schritt 5 PKCS#12 ausgewählt haben, enthält dies sowohl den öffentlichen als auch den privaten Schlüssel)

  2. Ziehen Sie Ihre Zertifikatsdatei per Drag & Drop hierher oder klicken Sie, um sie zu durchsuchen

  3. Geben Sie das Passwort Ihres Privaten Schlüssels

  4. Klicken Sie auf Speichern

Bitte beachten Sie: Standardmäßig stellt SCEPman Certificate Master Zertifikate mit einer Gültigkeit von 730 Tagen aus. Wenn Sie dies ändern möchten, lesen Sie bitte die Dokumentation.

Zertifikatsaktivierung

Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu verhindern.

Da Zertifikate von Zeit zu Zeit ablaufen oder sich Ihre Präferenz hinsichtlich der zu verwendenden Zertifikate ändern kann, ist es wichtig, dass Sie das vom Server verwendete Zertifikat steuern können. Die Aktiv Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das verwendete Zertifikat zu ändern, erweitern Sie die Zeile des gewünschten Zertifikats und klicken Sie auf Aktivieren.

Herunterladen

Um Ihr Serverzertifikat herunterzuladen, haben Sie zwei Optionen:

  1. Klicken Sie auf CA-Zertifikat herunterladen oben. Dadurch wird direkt das vertrauenswürdige Stamm-CA-Zertifikat des aktuell aktiven Serverzertifikats heruntergeladen.

  2. Klicken Sie auf das Download -Symbol in der entsprechenden Zeile.

Option 2 öffnet einen Dialog, der den vollständigen Zertifikatspfad anzeigt. Das Stammzertifikat wird immer grün markiert sein.

Anzeige des Stammzertifikats in Grün

Bei beiden Optionen ist das heruntergeladene Stammzertifikat in Base64 (PEM) codiert. Falls Ihr Gerät (z. B. ein WiFi-Controller) eine binäre Kodierung (DER) benötigt, können Sie es mit OpenSSL:

Löschen

Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie auf Löschen und bestätigen Sie Ihre Auswahl.

Ablauf des Zertifikats

Lassen Sie das RADIUS-Serverzertifikat nicht ablaufen. Dadurch wird die Authentifizierung unterbrochen.

Zertifikate laufen von Zeit zu Zeit ab. Fünf Monate bevor Ihr Zertifikat abläuft, weist Ihr Dashboard Sie mit einem Warnsymbol daneben darauf hin.

Screenshot mit Anzeige des Zertifikatsablaufs

Wenn das Dreieck neben dem aktiven RADIUS-Serverzertifikat angezeigt wird, folgen Sie dieser Anleitung, um es zu aktualisieren:

Erneuerung des Serverzertifikats

SCEPman-Verbindung

Nur SCEPman Enterprise Edition

Gilt für Version 3.0 und höher

Die Einstellung SCEPman Connection wurde entwickelt, um Ihre RaaS-Instanz direkt mit Ihrer SCEPman-Instanz zu verbinden. Wenn Sie diese Verbindung konfigurieren, führt RaaS die folgende Aufgabe aus:

  1. Ein neues Serverzertifikat erstellen und aktivieren

  2. Es verwaltet dieses Serverzertifikat einschließlich des Erneuerungsprozesses.

Um diese Verbindung herzustellen, befolgen Sie diese Schritte:

  1. Kopieren Sie das angezeigte API-Token.

  2. Navigieren Sie zu Ihrem SCEPman App Service gemäß dieser Anleitung und erstellen Sie eine neue Umgebungsvariable mit dem Namen AppConfig:RADIUSaaSValidation:Token unter Verwendung des zuvor kopierten Tokens als Wert.

  3. Übernehmen Sie Ihre Einstellungen und starten Sie Ihren App Service neu.

  4. Geben Sie die URL Ihrer SCEPman-Instanz im Feld SCEPman URL ein.

  1. Klicken Sie auf Verbindung einrichten. Diese Aktion deaktiviert das aktuelle Serverzertifikat, damit das neu erstellte Zertifikat verwaltet werden kann.

  2. Nach Abschluss der Einrichtung werden zwei neue Schaltflächen angezeigt, die die bisherigen ersetzen.

  1. Zertifikat rotieren. Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den verfügbaren zwei Slots. Serverzertifikat-upload0 und Serverzertifikat-upload1.

  2. Verbindung löschen. Diese Schaltfläche löscht Ihre zuvor konfigurierte Verbindung. Bitte beachten Sie, dass diese Aktion nicht rückgängig gemacht werden kann. Wenn Sie die Verbindung löschen, wird auch das Token gelöscht. Falls Sie die Verbindung zu einem späteren Zeitpunkt erneut einrichten möchten, müssen Sie die oben genannten Schritte erneut durchführen.

Zuletzt aktualisiert

War das hilfreich?