# Servereinstellungen ## Ports & IP-Adressen ### Übersicht RADIUSaaS betreibt einen RadSec-Dienst, um seinen Benutzern sichere, cloudbasierte Authentifizierung bereitzustellen. Zusätzlich bietet RADIUSaaS für Kunden, die RadSec in ihrer Netzwerkumgebung nicht nutzen können, z. B. aufgrund von Hardware- und Softwareeinschränkungen, RADIUS-Proxys an, die die Protokollkonvertierung von RADIUS zu RadSec übernehmen. Sowohl der RadSec- als auch der RADIUS-Dienst bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und Diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste laufen über ihre jeweils eigenen registrierten Ports. ## RadSec / TCP

Anzeige von RadSec-IP und Port

#### **RadSec-DNS** Der DNS-Eintrag, über den der RadSec-Dienst erreichbar ist. #### **Server-IP-Adressen** Dies ist die öffentliche IP-Adresse des RadSec-Dienstes. #### **RadSec-Ports** Dies ist der registrierte Port für RadSec: 2083 ### Failover & Redundanz In Fällen, in denen Kunden höhere Redundanzstufen benötigen, können für Ihre Instanz mehrere RadSec-Endpunkte konfiguriert werden, die zusätzliche IP-Adressen bereitstellen. Bitte beachten Sie, dass für diesen Dienst zusätzliche Kosten anfallen.

Anzeige von zwei öffentlichen IP-Adressen, eine für jeden der RadSec-Dienste.

{% hint style="info" %} Es ist wichtig zu beachten, dass RADIUSaaS **kein Failover** zwischen RadSec-Endpunkten bereitstellt. Stattdessen wird dieses Failover typischerweise auf Ihrer Netzwerkhardware implementiert, wie im folgenden Beispiel mit Meraki gezeigt. Es wird empfohlen, Ihr Failover-Szenario mithilfe von IP-Adressen statt DNS zu konfigurieren, um eine bessere Übersicht und eine geringere Abhängigkeit von einem zusätzlichen Dienst (DNS) zu erreichen. {% endhint %} In dieser Konfiguration sind die beiden RadSec-IP-Adressen in Reihenfolge der Priorität aufgeführt. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es normalerweise noch zweimal und wechselt dann zur nächsten. Weitere Informationen zur Failover-Funktionalität Ihres Meraki- (oder anderen) Systems entnehmen Sie bitte Ihren eigenen Unterlagen.

Anzeige mehrerer RadSec-Server in Prioritätsreihenfolge (Meraki).

## RadSec-Einstellungen {% hint style="info" %} Die folgenden Einstellungen steuern bestimmte Aspekte der RadSec-Verbindung zu Ihrer RADIUSaaS-Instanz. {% endhint %} ### Maximale TLS-Version Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die Mindestversion ist fest auf 1.2 gesetzt, die Standard-Maximalversion auf 1.3. TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, darunter den Post-Handshake-Authentifizierungsmechanismus, der das Anfordern zusätzlicher Anmeldeinformationen vor Abschluss des Handshakes ermöglicht. Dies ist wichtig für die im nächsten Abschnitt behandelte Überprüfung der RadSec-Zertifikatseinstellungen. ### Widerrufsprüfung für RadSec-Zertifikate {% hint style="info" %} Diese Einstellung bestimmt, ob für alle RadSec-Verbindungen eine Widerrufsprüfung durchgeführt werden soll. Die Methode zur Überprüfung der Widerrufsprüfung unterscheidet sich geringfügig von der für Client-Authentifizierungszertifikate verwendeten Methode. {% endhint %} Für einen ordnungsgemäßen RadSec-Betrieb stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Bereitstellungen verwenden typischerweise Mutual TLS (mTLS), bei dem sich beide Gegenstellen mithilfe von X.509-Zertifikaten während des TLS-Handshakes gegenseitig authentifizieren. Die RADIUSaaS-Implementierung erzwingt mTLS. Um die Gültigkeit und den Widerrufsstatus eines RadSec-Clientzertifikats zu bestimmen, muss das Zertifikat vom Client als Teil des TLS-Authentifizierungsprozesses vorgelegt werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (z. B. über CRL oder OCSP) durchgeführt werden. #### **TLS 1.2** TLS 1.2 unterstützt Mutual-TLS-Authentifizierung während des initialen Handshakes mithilfe der `CertificateRequest`, `Certificate`, und `CertificateVerify` Nachrichten. Wenn Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Clientzertifikat vor der Herstellung der TLS-Sitzung und vor dem Austausch von RADIUS-Daten präsentiert, validiert und auf Widerruf geprüft. \ TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Renegotiation. Infolgedessen können einige RadSec-Clientimplementierungen den initialen Handshake abschließen, ohne ein Clientzertifikat vorzulegen. Dieses Verhalten ist implementierungsabhängig und keine Einschränkung des TLS-1.2-Protokolls. {% hint style="info" %} Um das oben genannte Verhalten zu mildern, wird die **Widerrufsprüfung für RadSec-Zertifikate** Einstellung deaktiviert, wenn die maximale TLS-Version auf 1.2 gesetzt ist. Bitte beachten Sie, dass Sie sie später manuell wieder aktivieren können. {% endhint %} #### **TLS 1.3** TLS 1.3 bietet ein deterministischeres und schlankeres Modell für die Mutual-TLS-Authentifizierung. Wenn Client-Authentifizierung angefordert wird, wird das RadSec-Clientzertifikat als Teil des initialen Handshakes ausgetauscht und validiert, bevor die TLS-Verbindung hergestellt wird.\ Dadurch kann der RadSec-Server das Clientzertifikat, einschließlich seines Widerrufsstatus, sofort überprüfen und den Handshake fehlschlagen lassen, wenn das Zertifikat ungültig oder widerrufen ist. Infolgedessen ermöglicht TLS 1.3 eine strengere und vorhersehbarere Durchsetzung der Mutual-TLS-Authentifizierung für RadSec-Verbindungen. {% hint style="info" %} Die **Widerrufsprüfung für RadSec-Zertifikate** Einstellung wird automatisch aktiviert, wenn die maximale TLS-Version auf 1.3 gesetzt wird. {% endhint %}
## RADIUS / UDP Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen [RADIUS-Proxy](/de/admin-portal/settings/settings-proxy.md)konfiguriert haben. Für jeden Proxy ist eine separate öffentliche IP-Adresse verfügbar. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen ausschließlich das RADIUS-Protokoll und lauschen daher auf den Ports 1812/1813.
### **Server-IP-Adressen und Standort** {% hint style="warning" %} Diese IP-Adressen lauschen nur auf [RADIUS](/de/details.md#what-is-radius) über UDP-Ports 1812/1813. {% endhint %} Geostandort des bzw. der RADIUS-Proxy(s) sowie die jeweilige(n) öffentliche(n) IP-Adresse(n). ### **Gemeinsame Geheimnisse** Das gemeinsame Geheimnis für den jeweiligen RADIUS-Proxy. Standardmäßig werden alle RADIUS-Proxys mit demselben gemeinsamen Geheimnis initialisiert.

Anzeige der Änderung gemeinsamer Geheimnisse pro Proxy

### **Ports** Dieser Abschnitt zeigt die Standardports für die RADIUS-Authentifizierungs- (1812) und RADIUS-Abrechnungsdienste (1813) an. ### **Failover & Redundanz** #### Proxy-Redundanz Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxys wie [hier](/de/admin-portal/settings/settings-proxy.md#load-balancing). #### RadSec-Dienst-Redundanz für Proxys Bei Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxys automatisch so konfiguriert, dass sie sich mit allen verfügbaren RadSec-Instanzen verbinden. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst. ## Serverzertifikate ### Customer-CA Standardmäßig generiert RADIUSaaS ein **RADIUS-Serverzertifikat** das von einer Zertifizierungsstelle (CA) signiert ist, die in unserem Dienst ausschließlich zu diesem Zweck verfügbar ist. Wir bezeichnen sie als die **Customer-CA**. Die Customer-CA ist für jeden Kunden einzigartig. Um Ihre Customer-CA zu erstellen, befolgen Sie diese einfachen Schritte: 1. Navigieren Sie zu **Einstellungen** > **Servereinstellungen** 2. Klicken Sie auf **Hinzufügen** 3. Wählen Sie **Lassen Sie RaaS eine CA für Sie erstellen** 4. Klicken Sie auf **Speichern** 5. Nach der Erstellung sehen Sie ein neues Zertifikat unter Serverzertifikate verfügbar
### Verwenden Sie Ihr eigenes Zertifikat Falls Sie die **Customer CA**nicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen. #### von SCEPman ausgestelltes Serverzertifikat Bitte befolgen Sie diese Schritte, um SCEPman Certificate Master zur Generierung eines neuen Serverzertifikats zu nutzen: 1. Navigieren Sie zu Ihrem SCEPman Certificate Master-Webportal. 2. Wählen Sie links Zertifikat anfordern aus 3. Wählen Sie **(Web-)Server** oben 4. Wählen Sie **Formular** 5. Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Generieren Sie ein Serverzertifikat wie beschrieben [hier](https://docs.scepman.com/certificate-deployment/certificate-master/tls-server-certificate-pkcs-12) und geben Sie einen beliebigen FQDN an. Wir empfehlen, das SAN des Standard-Serverzertifikats anzupassen, z. B. `radsec-.radius-as-a-service.com`. 6. Stellen Sie das **Dateiformat für den Download** auf **PEM** 7. Wählen Sie **Zertifikatskette einbeziehen** und laden Sie das Zertifikat herunter. 8. Stellen Sie sicher, dass **sowohl Server- als auch Client-Authentifizierung** für die EKU enthalten ist. 9. **Senden Sie** die Anfrage, um das neue Serverzertifikat herunterzuladen. {% hint style="warning" %} **Wichtig**: Notieren Sie sich vorübergehend das Passwort, da es in Certificate Master nicht wiederhergestellt werden kann. {% endhint %}
### Laden Sie das neue Serverzertifikat in **RADIUSaaS** hoch. Um Ihr in den obigen Schritten erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zu **RADIUSaaS-Instanz** > **Einstellungen** > **Servereinstellungen** > **Hinzufügen,** dann 1. Wählen Sie **PEM- oder PKCS#12-kodiertes Zertifikat** (Wenn Sie in Schritt 5 PKCS#12 ausgewählt haben, enthält dies sowohl den öffentlichen als auch den privaten Schlüssel) 2. Ziehen Sie Ihre Zertifikatsdatei per Drag & Drop hierher oder klicken Sie, um sie zu durchsuchen 3. Geben Sie das Passwort Ihres **Privaten Schlüssels** 4. Klicken Sie auf **Speichern**
{% hint style="info" %} Bitte beachten Sie: Standardmäßig stellt SCEPman Certificate Master Zertifikate mit einer Gültigkeit von 730 Tagen aus. Wenn Sie dies ändern möchten, lesen Sie bitte die [Dokumentation](https://docs.scepman.com/advanced-configuration/application-settings/certificates#appconfig-validityperioddays). {% endhint %} ### Zertifikatsaktivierung {% hint style="warning" %} Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu verhindern. {% endhint %} Da Zertifikate von Zeit zu Zeit ablaufen oder sich Ihre Präferenz hinsichtlich der zu verwendenden Zertifikate ändern kann, ist es wichtig, dass Sie das vom Server verwendete Zertifikat steuern können. Die **Aktiv** Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das verwendete Zertifikat zu ändern, erweitern Sie die Zeile des gewünschten Zertifikats und klicken Sie auf **Aktivieren**. ### Herunterladen Um Ihr **Serverzertifikat** herunterzuladen, haben Sie zwei Optionen: 1. Klicken Sie auf **CA-Zertifikat herunterladen** oben. Dadurch wird direkt das **vertrauenswürdige Stamm-CA-Zertifikat** des aktuell **aktiven** Serverzertifikats heruntergeladen. 2. Klicken Sie auf das **Download** -Symbol in der entsprechenden Zeile.
**Option 2** öffnet einen Dialog, der den vollständigen Zertifikatspfad anzeigt. Das **Stammzertifikat** wird immer grün markiert sein.

Anzeige des Stammzertifikats in Grün

Bei beiden Optionen ist das heruntergeladene Stammzertifikat in Base64 (PEM) codiert. Falls Ihr Gerät (z. B. ein WiFi-Controller) eine binäre Kodierung (DER) benötigt, können Sie es mit [OpenSSL](https://openssl.org/): ```sh openssl x509 -inform pem -in -outform der -out ``` ### Löschen Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie auf **Löschen** und bestätigen Sie Ihre Auswahl. ### Ablauf des Zertifikats {% hint style="danger" %} Lassen Sie das RADIUS-Serverzertifikat nicht ablaufen. Dadurch wird die Authentifizierung unterbrochen. {% endhint %} Zertifikate laufen von Zeit zu Zeit ab. Fünf Monate bevor Ihr Zertifikat abläuft, weist Ihr Dashboard Sie mit einem Warnsymbol daneben darauf hin. ![Screenshot mit Anzeige des Zertifikatsablaufs](/files/0061977ddad48076b2cf4ecb68d55b1361ea5860) Wenn das Dreieck neben dem aktiven RADIUS-Serverzertifikat angezeigt wird, folgen Sie dieser Anleitung, um es zu aktualisieren: {% content-ref url="/pages/06ae9d9cfee479bac5c22c76b960116f4e1c4674" %} [Erneuerung des Serverzertifikats](/de/konfiguration/renew-certificate.md) {% endcontent-ref %} ## SCEPman-Verbindung {% hint style="warning" %} Nur SCEPman Enterprise Edition Gilt für Version 3.0 und höher {% endhint %} Die Einstellung SCEPman Connection wurde entwickelt, um Ihre RaaS-Instanz direkt mit Ihrer SCEPman-Instanz zu verbinden. Wenn Sie diese Verbindung konfigurieren, führt RaaS die folgende Aufgabe aus: 1. Ein neues Serverzertifikat erstellen und aktivieren 2. Es verwaltet dieses Serverzertifikat einschließlich des Erneuerungsprozesses.
#### Um diese Verbindung herzustellen, befolgen Sie diese Schritte: 1. Kopieren Sie das angezeigte API-Token. 2. Navigieren Sie zu Ihrem SCEPman App Service gemäß [dieser](https://docs.scepman.com/scepman-configuration/application-settings#convenient-configuration-in-the-app-service-configuration) Anleitung und erstellen Sie eine neue Umgebungsvariable mit dem Namen [AppConfig:RADIUSaaSValidation:Token](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/radiusaas) unter Verwendung des zuvor kopierten Tokens als Wert. 3. Übernehmen Sie Ihre Einstellungen und starten Sie Ihren App Service neu. 4. Geben Sie die URL Ihrer SCEPman-Instanz im Feld SCEPman URL ein.
5. Klicken Sie auf **Verbindung einrichten**. Diese Aktion deaktiviert das aktuelle Serverzertifikat, damit das neu erstellte Zertifikat verwaltet werden kann. 6. Nach Abschluss der Einrichtung werden zwei neue Schaltflächen angezeigt, die die bisherigen ersetzen.
1. **Zertifikat rotieren**. Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den verfügbaren zwei Slots. *Serverzertifikat-**upload0*** und *Serverzertifikat-**upload1***. 2. **Verbindung löschen.** Diese Schaltfläche löscht Ihre zuvor konfigurierte Verbindung. Bitte beachten Sie, dass diese Aktion nicht rückgängig gemacht werden kann. Wenn Sie die Verbindung löschen, wird auch das Token gelöscht. Falls Sie die Verbindung zu einem späteren Zeitpunkt erneut einrichten möchten, müssen Sie die oben genannten Schritte erneut durchführen. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/de/admin-portal/settings/settings-server.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.