Einstellungen

Ports & IP-Adressen

Übersicht

RADIUSaaS betreibt einen RadSec-Dienst, um seinen Nutzern eine sichere cloudbasierte Authentifizierung bereitzustellen. Zusätzlich bietet RADIUSaaS für Kunden, die RadSec in ihrer Netzwerkumgebung nicht nutzen können, z. B. aufgrund von Hardware- oder Softwareeinschränkungen, RADIUS-Proxys an, die die Protokollkonvertierung von RADIUS zu RadSec übernehmen.

Sowohl RadSec- als auch RADIUS-Dienste bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und -diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste arbeiten auf ihren jeweils registrierten Ports.

RadSec / TCP

RadSec-DNS

Der DNS-Eintrag, über den der RadSec-Dienst erreichbar ist.

Server-IP-Adressen

Dies ist die öffentliche IP-Adresse des RadSec-Dienstes.

RadSec-Ports

Dies ist der registrierte Port für RadSec: 2083

Failover & Redundanz

Falls Kunden höhere Redundanzanforderungen haben, können mehrere RadSec-Endpunkte für Ihre Instanz konfiguriert werden, die zusätzliche IP-Adressen bereitstellen. Bitte beachten Sie, dass für diesen Dienst zusätzliche Kosten anfallen.

In dieser Konfiguration sind die beiden RadSec-IP-Adressen in Reihenfolge der Präferenz aufgelistet. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es typischerweise noch zweimal und wechselt dann zur nächsten. Für weitere Informationen zur Failover-Fähigkeit Ihres Meraki- (oder eines anderen) Systems konsultieren Sie bitte Ihre eigenen Ressourcen.

RadSec-Einstellungen

Maximale TLS-Version

Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die Mindestversion ist auf 1.2 festgelegt, die standardmäßige maximale Version ist auf 1.3 gesetzt.

TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, einschließlich des Post-Handshake-Authentifizierungsmechanismus, der das Anfordern zusätzlicher Anmeldeinformationen vor Abschluss des Handshakes ermöglicht. Das ist wichtig für die Verifikationsprüfungen der RadSec-Zertifikate, die im nächsten Abschnitt behandelt werden.

Widerrufsprüfung für RadSec-Zertifikate

Für den ordnungsgemäßen Betrieb von RadSec stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Deployments verwenden typischerweise mutual TLS (mTLS), bei dem sich beide Peers während des TLS-Handshakes gegenseitig mithilfe von X.509-Zertifikaten authentifizieren. Die Implementierung von RADIUSaaS erzwingt mTLS.

Um die Gültigkeit und den Widerrufsstatus eines RadSec-Clientzertifikats zu bestimmen, muss das Zertifikat vom Client als Teil des TLS-Authentifizierungsprozesses präsentiert werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (z. B. über CRL oder OCSP) durchgeführt werden.

TLS 1.2

TLS 1.2 unterstützt die gegenseitige TLS-Authentifizierung während des initialen Handshakes mithilfe der CertificateRequest, Certificate, und CertificateVerify Nachrichten. Wenn Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Clientzertifikat präsentiert, validiert und auf Widerruf geprüft, bevor die TLS-Sitzung etabliert wird und bevor RADIUS-Verkehr ausgetauscht wird.

TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Renegotiation. Infolgedessen können einige RadSec-Client-Implementierungen den initialen Handshake abschließen, ohne ein Clientzertifikat vorzulegen. Dieses Verhalten ist implementierungsabhängig und keine Beschränkung des TLS-1.2-Protokolls.

TLS 1.3

TLS 1.3 bietet ein deterministischeres und strafferes Modell für mutual TLS-Authentifizierung. Wenn Client-Authentifizierung angefordert wird, wird das RadSec-Clientzertifikat bereits im initialen Handshake ausgetauscht und validiert, bevor die TLS-Verbindung hergestellt wird. Dies ermöglicht dem RadSec-Server, das Clientzertifikat sofort zu verifizieren, einschließlich seines Widerrufsstatus, und den Handshake abzulehnen, wenn das Zertifikat ungültig oder widerrufen ist. Dadurch ermöglicht TLS 1.3 eine strengere und besser vorhersehbare Durchsetzung der mutual TLS-Authentifizierung für RadSec-Verbindungen.

RADIUS / UDP

Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen RADIUS-Proxykonfiguriert haben. Für jeden Proxy steht eine separate öffentliche IP-Adresse zur Verfügung. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen nur das RADIUS-Protokoll und lauschen daher auf den Ports 1812/1813.

Server-IP-Adressen und Standort

Geo-Standort des/der RADIUS-Proxy/Proxys sowie die jeweiligen öffentlichen IP-Adressen.

Shared Secrets

Das Shared Secret für den jeweiligen RADIUS-Proxy. Standardmäßig werden alle RADIUS-Proxys mit demselben Shared Secret initialisiert.

Ports

Dieser Abschnitt zeigt die Standardports für den RADIUS-Authentifizierungsdienst (1812) und den RADIUS-Accounting-Dienst (1813).

Failover & Redundanz

Proxy-Redundanz

Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxys wie hier.

beschrieben ein.

RadSec-Dienst-Redundanz für Proxys

Bei Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxys automatisch so konfiguriert, dass sie sich mit allen verfügbaren RadSec-Instanzen verbinden. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst.

Server-Zertifikate

Customer-CA Standardmäßig generiert RADIUSaaS ein RADIUS-Serverzertifikat Server-Zertifikatedas von einer Zertifizierungsstelle (CA) signiert ist, die ausschließlich für diesen Zweck in unserem Dienst verfügbar ist. Wir bezeichnen sie als die

. Die Customer-CA ist für jeden Kunden einzigartig.

1. Um Ihre Customer-CA zu erstellen, folgen Sie diesen einfachen Schritten: Navigieren Sie zu > Einstellungen

2. Servereinstellungen Klicken Sie

3. Hinzufügen Wählen Sie

4. Lassen Sie RaaS eine CA für Sie erstellen Klicken Sie auf

5. Speichern

Nach der Erstellung sehen Sie ein neues Zertifikat unter Server-Zertifikate verfügbar.

Eigenes Zertifikat verwenden Falls Sie dieCustomer-CA

nicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen.

Vom SCEPman ausgestelltes Serverzertifikat

1. Bitte folgen Sie diesen Schritten, um SCEPman Certificate Master zu nutzen, um ein neues Serverzertifikat zu erzeugen:

2. Navigieren Sie zu Ihrem SCEPman Certificate Master Webportal.

3. Wählen Sie links Request Certificate Wählen Sie (Web) Server

4. Wählen Sie links Request Certificate oben

5. Formular hier Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Erstellen Sie ein Serverzertifikat wie beschrieben und geben Sie beliebige FQDNs an, die Sie wünschen. Wir empfehlen, den SAN des Standardserverzertifikats anzupassen, z. B..

6. radsec-<Ihr RADIUSaaS-Instanzname>.radius-as-a-service.com Setzen Sie das Download-Dateiformat auf

7. Wählen Sie links Request Certificate PEM Certificate Chain einschließen

8. und laden Sie das Zertifikat herunter. Senden Sie

Erstellen Sie ein neues Serverzertifikat Laden Sie das neue Serverzertifikat hoch zu

RADIUSaaS Um Ihr in den oben genannten Schritten erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zu > Navigieren Sie zu > Einstellungen > Klicken Sie RADIUSaaS-Instanz

1. Hinzufügen dann PEM- oder PKCS#12-codiertes Zertifikat

2. (Wenn Sie in Schritt 5 PKCS#12 gewählt haben, enthält dies sowohl den öffentlichen als auch den privaten Schlüssel)

3. Ziehen Sie Ihre Zertifikatdatei per Drag & Drop oder klicken Sie, um danach zu suchen Geben Sie das Passwort Ihres

4. Servereinstellungen Klicken Sie auf

Dokumentation

Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu vermeiden. Da Zertifikate gelegentlich ablaufen oder sich Ihre Präferenz hinsichtlich der zu verwendenden Zertifikate ändert, ist es wichtig, dass Sie das Zertifikat, das Ihr Server verwendet, steuern können. Die Aktiv Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das vom Server verwendete Zertifikat zu ändern, erweitern Sie die Zeile des gewünschten Zertifikats und klicken Sie.

Aktivieren

Herunterladen Um Ihr Serverzertifikat

1. Servereinstellungen herunterzuladen, haben Sie zwei Optionen: Laden Sie das CA-Zertifikat herunter oben. Dadurch wird direkt das vertrauenswürdige Root-CA des derzeit aktiven

2. Serverzertifikats heruntergeladen. Klicken Sie auf das Download-

Symbol in der entsprechenden Zeile. Option 2 öffnet einen Dialog, der den vollständigen Zertifikatspfad anzeigt. Das Root-Zertifikat

Anzeige des Root-Zertifikats in Grün Für beide Optionen ist das heruntergeladene Root-Zertifikat in Base64 (PEM) codiert. Falls Ihr Gerät (z. B. WiFi-Controller) eine binäre Kodierung (DER) benötigt, können Sie es mit:

openssl x509 -inform pem -in <HERUNTERGELADENE_DATEI> -outform der -out <KONVERTIERTE_DATEI>

Löschen openssl x509 -inform pem -in <HERUNTERGELADENE_DATEI> -outform der -out <KONVERTIERTE_DATEI> Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie

und bestätigen Sie Ihre Auswahl.

Lassen Sie das RADIUS-Serverzertifikat nicht ablaufen. Es wird die Authentifizierung unterbrechen.

Screenshot zeigt Zertifikatsablauf

Wenn das Dreieck neben dem aktiven RADIUS-Serverzertifikat angezeigt wird, folgen Sie dieser Anleitung, um es zu aktualisieren:

SCEPman-Verbindung

1. Die SCEPman-Verbindungseinstellung ist dazu gedacht, Ihre RaaS-Instanz direkt mit Ihrer SCEPman-Instanz zu verbinden. Wenn Sie diese Verbindung konfigurieren, führt RaaS die folgenden Aufgaben aus:

2. Erstellen und aktivieren eines neuen Serverzertifikats

Es verwaltet dieses Serverzertifikat einschließlich des Erneuerungsprozesses.

1. Um diese Verbindung herzustellen, folgen Sie diesen Schritten:

2. Kopieren Sie das angezeigte API-Token. Navigieren Sie zu Ihrem SCEPman App Service gemäß dieser Anleitung und erstellen Sie eine neue Umgebungsvariable namens AppConfig:RADIUSaaSValidation:Token

3. unter Verwendung des zuvor kopierten Tokens als Wert.

4. Wenden Sie Ihre Einstellungen an und starten Sie Ihren App Service neu.

1. Servereinstellungen Geben Sie die URL Ihrer SCEPman-Instanz im Feld SCEPman URL ein.Verbindung einrichten

2. . Diese Aktion deaktiviert das aktuelle Serverzertifikat, sodass das neu erstellte Zertifikat verwaltet werden kann.

1. Nach Abschluss der Einrichtung erscheinen zwei neue Schaltflächen und ersetzen die vorherigen.Zertifikat rotieren . Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den beiden verfügbaren Slots.Serverzertifikat- upload0 . Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den beiden verfügbaren Slots.und.

2. upload1 Verbindung löschen.