circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Servereinstellungen

Servereinstellungen sind verfügbar unter https://YOURNAME.radius-as-a-service.com/settings/server

hashtag
Ports & IP-Adressen

hashtag
Übersicht

RADIUSaaS betreibt einen RadSec-Dienst, um seinen Nutzern sichere cloudbasierte Authentifizierung bereitzustellen. Zusätzlich bietet RADIUSaaS für Kunden, die RadSec in ihrer Netzwerkumgebung nicht nutzen können, z. B. aufgrund von Hardware- und Softwareeinschränkungen, RADIUS-Proxys an, die die Protokollkonvertierung von RADIUS zu RadSec übernehmen.

Sowohl der RadSec- als auch der RADIUS-Dienst bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und -diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste arbeiten auf ihren registrierten, jeweils eigenen Ports.

hashtag
RadSec / TCP

Anzeige von RadSec-IP und Port

hashtag
RadSec DNS

Der DNS-Eintrag, über den der RadSec-Dienst erreichbar ist.

hashtag
Server-IP-Adressen

Dies ist die öffentliche IP-Adresse des RadSec-Dienstes.

hashtag
RadSec-Ports

Dies ist der registrierte Port für RadSec: 2083

hashtag
Failover & Redundanz

In Fällen, in denen Kunden höhere Redundanzanforderungen haben, können mehrere RadSec-Endpunkte für Ihre Instanz konfiguriert werden, wodurch zusätzliche IP-Adressen bereitgestellt werden. Bitte beachten Sie, dass für diesen Dienst zusätzliche Kosten anfallen.

Anzeige von zwei öffentlichen IP-Adressen, eine für jeden der RadSec-Dienste.
circle-info

Es ist wichtig zu beachten, dass RADIUSaaS kein Failover bereitstellt zwischen RadSec-Endpunkten. Stattdessen wird dieses Failover typischerweise auf Ihrer Netzwerkausrüstung implementiert, wie im untenstehenden Beispiel mit Meraki gezeigt.

Es wird empfohlen, Ihr Failover-Szenario mit IP-Adressen statt mit DNS zu konfigurieren, um bessere Sichtbarkeit und geringere Abhängigkeit von einem zusätzlichen Dienst (DNS) zu gewährleisten.

In dieser Konfiguration sind die beiden RadSec-IP-Adressen in der Reihenfolge der Präferenz aufgeführt. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es typischerweise noch zwei weitere Male und wechselt dann zur nächsten. Weitere Informationen zur Failover-Fähigkeit Ihres Meraki-(oder anderen) Systems finden Sie in Ihren eigenen Ressourcen.

Anzeige mehrerer RadSec-Server in Prioritätsreihenfolge (Meraki).

hashtag
RadSec-Einstellungen

circle-info

Die folgenden Einstellungen steuern bestimmte Aspekte der RadSec-Verbindung zu Ihrer RADIUSaaS-Instanz.

hashtag
Maximale TLS-Version

Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die minimale Version ist fest auf 1.2 gesetzt, die standardmäßige maximale Version ist 1.3.

TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, einschließlich des Post-Handshake-Authentifizierungsmechanismus, der das Anfordern zusätzlicher Anmeldeinformationen vor dem Abschluss des Handshakes ermöglicht. Dies ist wichtig für die Überprüfungsprüfungen der RadSec-Zertifikate, die im nächsten Abschnitt besprochen werden.

hashtag
Widerrufsprüfung für RadSec-Zertifikate

circle-info

Diese Einstellung legt fest, ob für alle RadSec-Verbindungen eine Widerrufsprüfung durchgeführt werden soll. Die Methode zur Überprüfung des Widerrufs unterscheidet sich leicht von der für Client-Authentifizierungszertifikate.

Für den ordnungsgemäßen Betrieb von RadSec stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Deployments verwenden typischerweise mutual TLS (mTLS), bei dem sich beide Endpunkte während des TLS-Handshakes gegenseitig mit X.509-Zertifikaten authentifizieren. Die RADIUSaaS-Implementierung erzwingt mTLS.

Um die Gültigkeit und den Widerrufsstatus eines RadSec-Clientzertifikats festzustellen, muss das Zertifikat vom Client im Rahmen des TLS-Authentifizierungsprozesses vorgelegt werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (z. B. über CRL oder OCSP) durchgeführt werden.

hashtag
TLS 1.2

TLS 1.2 unterstützt die gegenseitige TLS-Authentifizierung während des initialen Handshakes mithilfe der CertificateRequest, Certificate, und CertificateVerify Nachrichten. Wenn die Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Clientzertifikat vorgelegt, validiert und auf Widerruf geprüft, bevor die TLS-Sitzung hergestellt wird und bevor RADIUS-Datenverkehr ausgetauscht wird.

TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Renegotiation. Infolgedessen können einige RadSec-Clientimplementierungen den initialen Handshake abschließen, ohne ein Clientzertifikat vorzulegen. Dieses Verhalten ist implementierungsabhängig und keine Einschränkung des TLS 1.2-Protokolls.

circle-info

Um das oben beschriebene Verhalten abzumildern, wird die Widerrufsprüfung für RadSec-Zertifikate Einstellung deaktiviert, wenn die maximale TLS-Version auf 1.2 gesetzt ist. Bitte beachten Sie, dass Sie sie später manuell wieder aktivieren können.

hashtag
TLS 1.3

TLS 1.3 bietet ein deterministischeres und schlankeres Modell für gegenseitige TLS-Authentifizierung. Wenn die Client-Authentifizierung angefordert wird, wird das RadSec-Clientzertifikat im Rahmen des initialen Handshakes ausgetauscht und validiert, bevor die TLS-Verbindung hergestellt wird. Dies ermöglicht dem RadSec-Server, das Clientzertifikat sofort zu verifizieren, einschließlich seines Widerrufsstatus, und den Handshake zu beenden, falls das Zertifikat ungültig oder widerrufen ist. Dadurch ermöglicht TLS 1.3 eine strengere und besser vorhersagbare Durchsetzung der gegenseitigen TLS-Authentifizierung für RadSec-Verbindungen.

circle-info

Die Widerrufsprüfung für RadSec-Zertifikate Einstellung wird automatisch aktiviert, wenn die maximale TLS-Version auf 1.3 gesetzt ist.

hashtag
RADIUS / UDP

Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen RADIUS-Proxykonfiguriert haben. Für jeden Proxy steht eine separate öffentliche IP-Adresse zur Verfügung. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen ausschließlich das RADIUS-Protokoll und hören daher auf den Ports 1812/1813.

hashtag
Server-IP-Adressen und Standort

circle-exclamation

Diese IP-Adressen hören nur auf RADIUS über UDP-Ports 1812/1813.

Geo-Standort des/de r RADIUS-Proxy/Proxys sowie die jeweilige(n) öffentliche(n) IP-Adresse(n).

hashtag
Shared Secrets

Das Shared Secret für den jeweiligen RADIUS-Proxy. Standardmäßig werden alle RADIUS-Proxys mit demselben Shared Secret initialisiert.

Anzeige der Änderung von Shared Secrets pro Proxy

hashtag
Ports

Dieser Abschnitt zeigt die Standardports für die RADIUS-Authentifizierung (1812) und das RADIUS-Accounting (1813).

hashtag
Failover & Redundanz

hashtag
Proxy-Redundanz

Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxys wie beschrieben ein hier.

hashtag
RadSec-Dienst-Redundanz für Proxys

Bei Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxys automatisch so konfiguriert, dass sie sich mit allen verfügbaren RadSec-Instanzen verbinden. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst.

hashtag
Serverzertifikate

hashtag
Customer-CA

Standardmäßig generiert RADIUSaaS eine RADIUS-Serverzertifikat signiert von einer Zertifizierungsstelle (CA), die auf unserem Dienst ausschließlich zu diesem Zweck zur Verfügung steht. Wir bezeichnen sie als die Customer-CA. Die Customer-CA ist für jeden Kunden einzigartig.

Um Ihre Customer-CA zu erstellen, folgen Sie diesen einfachen Schritten:

  1. Navigieren Sie zu Einstellungen > Server-Einstellungen

  2. Klicken Sie Hinzufügen

  3. Wählen Sie Lassen Sie RaaS eine CA für Sie erstellen

  4. Klicken Sie auf Speichern

  5. Nach der Erstellung sehen Sie ein neues Zertifikat unter Serverzertifikate verfügbar.

hashtag
Eigenes Zertifikat hochladen

Falls Sie die Customer-CAnicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen.

hashtag
Von SCEPman ausgestelltes Serverzertifikat

Bitte folgen Sie diesen Schritten, um SCEPman Certificate Master zu nutzen, um ein neues Serverzertifikat zu erstellen:

  1. Navigieren Sie zu Ihrem SCEPman Certificate Master Webportal.

  2. Wählen Sie links „Request Certificate“

  3. Wählen Sie (Web-)Server oben im

  4. Wählen Sie Formular

  5. Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Erzeugen Sie ein Serverzertifikat wie beschrieben hierarrow-up-right und geben Sie jeden gewünschten FQDN an. Wir empfehlen, das SAN des Standard-Serverzertifikats anzupassen, z. B. radsec-<Ihr RADIUSaaS-Instanzname>.radius-as-a-service.com.

  6. Setzen Sie das Download-Dateiformat auf PEM

  7. Wählen Sie Zertifikatkette einbeziehen und laden Sie das Zertifikat herunter.

  8. Senden Sie die Anfrage, um das neue Serverzertifikat herunterzuladen.

circle-exclamation

Wichtig: Notieren Sie sich vorübergehend das Passwort, da es vom Certificate Master nicht wiederhergestellt werden kann.

Erstellen Sie ein neues Serverzertifikat

hashtag
Laden Sie das neue Serverzertifikat hoch zu RADIUSaaS

Um Ihr im obigen Schritt erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zur RADIUSaaS-Instanz > Einstellungen > Server-Einstellungen > Hinzufügen dann

  1. Wählen Sie PEM- oder PKCS#12-kodiertes Zertifikat (Wenn Sie in Schritt 5 PKCS#12 ausgewählt haben, enthält dies sowohl öffentlichen als auch privaten Schlüssel)

  2. Ziehen Sie Ihre Zertifikatsdatei per Drag & Drop oder klicken Sie, um sie auszuwählen

  3. Geben Sie das Passwort Ihres Privaten Schlüssels

  4. Klicken Sie Speichern

circle-info

Bitte beachten Sie: Standardmäßig stellt SCEPman Certificate Master Zertifikate mit einer Gültigkeit von 730 Tagen aus. Wenn Sie dies ändern möchten, beziehen Sie sich bitte auf SCEPmans Dokumentationarrow-up-right.

hashtag
Zertifikatsaktivierung

circle-exclamation

Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Unterbrechungen des Dienstes zu vermeiden.

Da Zertifikate gelegentlich ablaufen oder sich Ihre Präferenz bezüglich der zu verwendenden Zertifikate ändert, ist es wichtig, dass Sie das Zertifikat, das Ihr Server verwendet, steuern können. Die Aktiv Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das vom Server verwendete Zertifikat zu ändern, klappen Sie die Zeile des gewünschten Zertifikats auf und klicken Sie Aktivieren.

hashtag
Herunterladen

Um Ihr Serverzertifikat herunterzuladen, haben Sie zwei Optionen:

  1. Klicken Sie CA-Zertifikat herunterladen oben. Dies lädt direkt das vertrauenswürdige Stamm-CA des aktuell aktiven Serverzertifikats herunter.

  2. Klicken Sie auf das Download- Symbol in der entsprechenden Zeile.

Option 2 öffnet einen Dialog, der den vollständigen Zertifikatspfad zeigt. Das Stammzertifikat wird stets grün markiert sein.

Anzeige des Stammzertifikats in Grün

Bei beiden Optionen ist das heruntergeladene Stammzertifikat base64-kodiert (PEM). Falls Ihr Gerät (z. B. WiFi-Controller) eine binäre Kodierung (DER) benötigt, können Sie es mit OpenSSLarrow-up-right:

hashtag
Löschen

Um ein Zertifikat zu löschen, klappen Sie die entsprechende Zeile auf, klicken Sie Löschen und bestätigen Sie Ihre Auswahl.

hashtag
Zertifikatsablauf

triangle-exclamation

Lassen Sie das RADIUS-Serverzertifikat nicht ablaufen. Es wird die Authentifizierung unterbrechen.

Zertifikate laufen von Zeit zu Zeit ab. Fünf Monate bevor Ihr Zertifikat abläuft, zeigt Ihr Dashboard einen Hinweis, indem ein Warnsymbol daneben angezeigt wird.

Screenshot zeigt Zertifikatsablauf

Wenn das Dreieck neben dem aktiven RADIUS-Serverzertifikat angezeigt wird, folgen Sie dieser Anleitung, um es zu aktualisieren:

Erneuerung des Serverzertifikatschevron-right

Zuletzt aktualisiert

War das hilfreich?