Servereinstellungen

Ports & IP-Adressen

Übersicht

RADIUSaaS betreibt einen RadSec-Dienst, um seinen Nutzern eine sichere cloudbasierte Authentifizierung bereitzustellen. Zusätzlich bietet RADIUSaaS für jene Kunden, die RadSec in ihrer Netzwerkumgebung nicht verwenden können, z. B. aufgrund von Hardware- oder Softwareeinschränkungen, RADIUS-Proxies an, die die Protokollkonvertierung von RADIUS zu RadSec übernehmen.

Sowohl der RadSec- als auch der RADIUS-Dienst bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und -diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste arbeiten auf ihren jeweils registrierten Ports.

RadSec / TCP

RadSec DNS

Der DNS-Eintrag, über den der RadSec-Dienst erreicht werden kann.

Server-IP-Adressen

Dies ist die öffentliche IP-Adresse des RadSec-Dienstes.

RadSec-Ports

Dies ist der registrierte Port für RadSec: 2083

Failover & Redundanz

Für Fälle, in denen Kunden höhere Redundanzanforderungen haben, können mehrere RadSec-Endpunkte für Ihre Instanz konfiguriert werden, wodurch zusätzliche IP-Adressen bereitgestellt werden. Bitte beachten Sie, dass für diesen Service zusätzliche Kosten anfallen.

In dieser Konfiguration sind die beiden RadSec-IP-Adressen in Reihenfolge der Priorität aufgeführt. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es in der Regel zwei weitere Male und wechselt dann zur nächsten. Für weitere Informationen zur Failover-Fähigkeit Ihres Meraki- (oder eines anderen) Systems konsultieren Sie bitte Ihre eigenen Ressourcen.

RadSec-Einstellungen

Maximale TLS-Version

Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die minimale Version ist auf 1.2 festgelegt, die Standard-Maximalversion ist auf 1.3 gesetzt.

TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, einschließlich des Post-Handshake-Authentifizierungsmechanismus, mit dem zusätzliche Anmeldeinformationen vor Abschluss des Handshakes angefordert werden können. Dies ist wichtig für die Verifikationsprüfungen der RadSec-Zertifikate, die im nächsten Punkt behandelt werden.

Widerrufsprüfung für RadSec-Zertifikate

Für den ordnungsgemäßen RadSec-Betrieb stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Implementierungen verwenden typischerweise gegenseitiges TLS (mTLS), bei dem sich beide Peers während des TLS-Handshakes gegenseitig mit X.509-Zertifikaten authentifizieren. Die RADIUSaaS-Implementierung erzwingt mTLS.

Um die Gültigkeit und den Widerrufsstatus eines RadSec-Client-Zertifikats festzustellen, muss das Zertifikat vom Client als Teil des TLS-Authentifizierungsprozesses vorgelegt werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (z. B. über CRL oder OCSP) durchgeführt werden.

TLS 1.2

TLS 1.2 unterstützt die gegenseitige TLS-Authentifizierung während des initialen Handshakes mittels des CertificateRequest, Certificate, und CertificateVerify Nachrichten. Wenn die Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Client-Zertifikat vorgelegt, validiert und auf Widerruf geprüft, bevor die TLS-Sitzung hergestellt und bevor RADIUS-Datenverkehr ausgetauscht wird.

TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Renegotiation. Infolgedessen können einige RadSec-Client-Implementierungen den initialen Handshake abschließen, ohne ein Client-Zertifikat vorzulegen. Dieses Verhalten ist implementierungsabhängig und keine Einschränkung des TLS-1.2-Protokolls.

TLS 1.3

TLS 1.3 bietet ein deterministischeres und strafferes Modell für die gegenseitige TLS-Authentifizierung. Wenn die Client-Authentifizierung angefordert wird, wird das RadSec-Client-Zertifikat als Teil des initialen Handshakes ausgetauscht und vor der Herstellung der TLS-Verbindung validiert. Dies ermöglicht dem RadSec-Server, das Client-Zertifikat einschließlich seines Widerrufsstatus sofort zu überprüfen und den Handshake abzubrechen, wenn das Zertifikat ungültig oder widerrufen ist. Daher ermöglicht TLS 1.3 eine strengere und vorhersehbarere Durchsetzung der gegenseitigen TLS-Authentifizierung für RadSec-Verbindungen.

RADIUS / UDP

Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen RADIUS-Proxykonfiguriert haben. Für jeden Proxy steht eine separate öffentliche IP-Adresse zur Verfügung. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen ausschließlich das RADIUS-Protokoll und lauschen daher auf den Ports 1812/1813.

Server-IP-Adressen und Standort

Geostandort des RADIUS-Proxys bzw. der RADIUS-Proxies sowie die jeweiligen öffentlichen IP-Adressen.

Shared Secrets

Das Shared Secret für den jeweiligen RADIUS-Proxy. Standardmäßig werden alle RADIUS-Proxies mit demselben Shared Secret initialisiert.

Ports

Dieser Abschnitt zeigt die Standardports für den RADIUS-Authentifizierungsdienst (1812) und den RADIUS-Accounting-Dienst (1813).

Failover & Redundanz

Proxy-Redundanz

Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxies wie hier.

beschrieben ein.

RadSec-Dienst-Redundanz für Proxies

Bei der Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxies automatisch so konfiguriert, dass sie eine Verbindung zu allen verfügbaren RadSec-Instanzen herstellen. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst.

Serverzertifikate

Kunden-CA Standardmäßig generiert RADIUSaaS ein RADIUS-Serverzertifikat Serverzertifikate, das von einer Zertifizierungsstelle (CA) signiert wird, die in unserem Dienst ausschließlich für diesen Zweck verfügbar ist. Wir bezeichnen diese als die

. Die Kunden-CA ist für jeden Kunden einzigartig.

1. Um Ihre Kunden-CA zu erstellen, führen Sie bitte folgende einfache Schritte aus: Navigieren Sie zu > Einstellungen

2. Servereinstellungen Klicken Sie

3. Hinzufügen Wählen Sie

4. Lassen Sie RaaS eine CA für Sie erstellen Klicken Sie auf

5. Speichern

Nach der Erstellung sehen Sie ein neues Zertifikat unter Serverzertifikate verfügbar.

Eigenes Zertifikat mitbringen Falls Sie dieKunden-CA

nicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen.

Vom SCEPman ausgestelltes Serverzertifikat

1. Bitte folgen Sie diesen Schritten, um SCEPman Certificate Master zur Generierung eines neuen Serverzertifikats zu nutzen:

2. Navigieren Sie zu Ihrem SCEPman Certificate Master-Webportal.

3. Wählen Sie links Zertifikat anfordern Wählen Sie (Web) Server

4. Wählen Sie links Zertifikat anfordern oben im

5. Formular hier Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Generieren Sie ein Serverzertifikat wie beschrieben und geben Sie jede gewünschte FQDN an. Wir empfehlen, den SAN des Standard-Serverzertifikats anzupassen, z. B..

6. radsec-<Ihr RADIUSaaS-Instanzname>.radius-as-a-service.com Setzen Sie das Download-Dateiformat auf

7. Wählen Sie links Zertifikat anfordern PEM Zertifikatskette einschließen

8. und laden Sie das Zertifikat herunter. Senden Sie

Erstellen Sie ein neues Serverzertifikat Laden Sie das neue Serverzertifikat hoch zu

RADIUSaaS Um Ihr in den obigen Schritten erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zur > Navigieren Sie zu > Einstellungen > Klicken Sie RADIUSaaS-Instanz

1. Hinzufügen dann PEM- oder PKCS#12-codiertes Zertifikat

2. (Wenn Sie in Schritt 5 PKCS#12 ausgewählt haben, enthält dies sowohl öffentlichen als auch privaten Schlüssel)

3. Ziehen Sie Ihre Zertifikatdatei per Drag & Drop oder klicken Sie, um sie auszuwählen Geben Sie das Passwort Ihres

4. Servereinstellungen Klicken Sie auf

Dokumentation

Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Unterbrechungen des Dienstes zu vermeiden. Da Zertifikate von Zeit zu Zeit ablaufen oder sich Ihre Präferenz hinsichtlich der zu verwendenden Zertifikate ändert, ist es wichtig, dass Sie das Zertifikat, das Ihr Server verwendet, kontrollieren können. Die Aktiv Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das Zertifikat zu ändern, das Ihr Server verwendet, erweitern Sie die Zeile des Zertifikats, das Sie auswählen möchten, und klicken Sie.

Aktivieren

Herunterladen Um Ihr Serverzertifikat

1. Servereinstellungen herunterzuladen, haben Sie zwei Optionen: CA-Zertifikat herunterladen oben. Dadurch wird direkt das vertrauenswürdige Root-CA des aktuell aktiven

2. Serverzertifikats heruntergeladen. Klicken Sie auf das Download-

Symbol in der entsprechenden Zeile. Option 2 öffnet einen Dialog, der den vollständigen Zertifikatspfad anzeigt. Das Root-Zertifikat

Anzeige des Root-Zertifikats in Grün Für beide Optionen ist das heruntergeladene Root-Zertifikat in Base64 (PEM) kodiert. Falls Ihr Gerät (z. B. WiFi-Controller) eine Binärkodierung (DER) benötigt, können Sie es mit:

openssl x509 -inform pem -in <HERUNTERGELADENE_DATEI> -outform der -out <KONVERTIERTE_DATEI>

Löschen openssl x509 -inform pem -in <HERUNTERGELADENE_DATEI> -outform der -out <KONVERTIERTE_DATEI> Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie

und bestätigen Sie Ihre Auswahl.

Lassen Sie das RADIUS-Serverzertifikat nicht ablaufen. Es würde die Authentifizierung unterbrechen.

Screenshot, der den Zertifikatsablauf zeigt

Wenn das Dreieck neben dem aktiven RADIUS-Serverzertifikat angezeigt wird, folgen Sie dieser Anleitung, um es zu aktualisieren:

Gilt für Version 3.0 und höher

1. Die Einstellung zur SCEPman-Verbindung ist dafür ausgelegt, Ihre RaaS-Instanz direkt mit Ihrer SCEPman-Instanz zu verbinden. Wenn Sie diese Verbindung konfigurieren, führt RaaS die folgende Aufgabe aus:

2. Erstellen und Aktivieren eines neuen Serverzertifikats

Es wird dieses Serverzertifikat einschließlich des Erneuerungsprozesses verwalten.

1. Um diese Verbindung herzustellen, führen Sie folgende Schritte aus:

2. Kopieren Sie das angezeigte API-Token. Navigieren Sie zu Ihrem SCEPman App Service gemäß dieser Anleitung und erstellen Sie eine neue Umgebungsvariable namens AppConfig:RADIUSaaSValidation:Token

3. und verwenden Sie das zuvor kopierte Token als Wert.

4. Wenden Sie Ihre Einstellungen an und starten Sie Ihren App Service neu.

1. Servereinstellungen Geben Sie die URL Ihrer SCEPman-Instanz in das Feld SCEPman-URL ein.Verbindung einrichten

2. . Diese Aktion deaktiviert das aktuelle Serverzertifikat, sodass das neu erstellte Zertifikat verwaltet werden kann.

1. Nach Abschluss der Einrichtung erscheinen zwei neue Schaltflächen und ersetzen die vorherigen.Zertifikat rotieren . Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den beiden verfügbaren Slots.Serverzertifikat- upload0 . Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den beiden verfügbaren Slots.und.

2. upload1 Verbindung löschen.