# Servereinstellungen ## Ports & IP-Adressen ### Übersicht RADIUSaaS betreibt einen RadSec-Dienst, um eine sichere cloudbasierte Authentifizierung für seine Nutzer bereitzustellen. Darüber hinaus bietet RADIUSaaS für Kunden, die RadSec in ihrer Netzwerkumgebung nicht nutzen können, z. B. aufgrund von Hardware- und Softwareeinschränkungen, RADIUS-Proxys an, die die Protokollumwandlung von RADIUS zu RadSec übernehmen. Sowohl der RadSec- als auch der RADIUS-Dienst bieten öffentliche IP-Adressen, die es Ihren Netzwerkgeräten und Diensten ermöglichen, von überall über das Internet mit unserem Dienst zu kommunizieren. Diese Dienste laufen auf ihren jeweils eigenen registrierten Ports. ## RadSec / TCP

#### **RadSec-DNS** Der DNS-Eintrag, über den der RadSec-Dienst erreicht werden kann. #### **Server-IP-Adressen** Dies ist die öffentliche IP-Adresse des RadSec-Dienstes. #### **RadSec-Ports** Dies ist der registrierte Port für RadSec: 2083 ### Failover & Redundanz In Fällen, in denen Kunden höhere Redundanzstufen benötigen, können für Ihre Instanz mehrere RadSec-Endpunkte konfiguriert werden, wodurch zusätzliche IP-Adressen bereitgestellt werden. Bitte beachten Sie, dass für diesen Dienst zusätzliche Kosten anfallen.

Anzeige von zwei öffentlichen IP-Adressen, eine für jeden der RadSec-Dienste.

{% hint style="info" %} Es ist wichtig zu beachten, dass RADIUSaaS **kein Failover bereitstellt** zwischen RadSec-Endpunkten. Stattdessen wird dieses Failover typischerweise auf Ihren Netzwerkgeräten implementiert, wie im folgenden Beispiel mit Meraki gezeigt. Es wird empfohlen, Ihr Failover-Szenario mithilfe von IP-Adressen statt DNS zu konfigurieren, um eine bessere Übersicht und eine geringere Abhängigkeit von einem zusätzlichen Dienst (DNS) zu haben. {% endhint %} In dieser Konfiguration sind die beiden RadSec-IP-Adressen in Reihenfolge der Präferenz aufgeführt. Wenn Meraki eine der IP-Adressen nicht erreichen kann, versucht es normalerweise noch zweimal und wechselt dann zur nächsten. Weitere Informationen zur Failover-Fähigkeit Ihres Meraki- (oder anderen) Systems entnehmen Sie bitte Ihren eigenen Unterlagen.

Anzeige mehrerer RadSec-Server in Prioritätsreihenfolge (Meraki).

## RadSec-Einstellungen {% hint style="info" %} Die folgenden Einstellungen steuern bestimmte Aspekte der RadSec-Verbindung zu Ihrer RADIUSaaS-Instanz. {% endhint %} ### Maximale TLS-Version Diese Einstellung steuert die maximale TLS-Version für Ihre RadSec-Schnittstelle. Die minimale Version ist fest auf 1.2 gesetzt, die standardmäßige maximale Version ist auf 1.3 eingestellt. TLS 1.3 bietet gegenüber 1.2 mehrere Vorteile, einschließlich des Post-Handshake-Authentifizierungsmechanismus, der es ermöglicht, vor Abschluss des Handshakes zusätzliche Anmeldeinformationen anzufordern. Dies ist wichtig für die im nächsten Abschnitt besprochenen Verifizierungsprüfungen für RadSec-Zertifikatseinstellungen. ### Widerrufsprüfung für RadSec-Zertifikate {% hint style="info" %} Diese Einstellung bestimmt, ob für alle RadSec-Verbindungen eine Widerrufsprüfung durchgeführt werden soll. Die Methode zur Überprüfung der Widerrufsprüfung unterscheidet sich geringfügig von der für Client-Authentifizierungszertifikate verwendeten Methode. {% endhint %} Für einen ordnungsgemäßen RadSec-Betrieb stellen Netzwerkgeräte wie Access Points, Switches und VPN-Server eine TLS-geschützte Verbindung zum RadSec-Server her. RadSec-Bereitstellungen verwenden typischerweise Mutual TLS (mTLS), wobei sich beide Kommunikationspartner während des TLS-Handshakes anhand von X.509-Zertifikaten gegenseitig authentifizieren. Die RADIUSaaS-Implementierung erzwingt mTLS. Um die Gültigkeit und den Widerrufsstatus eines RadSec-Clientzertifikats zu bestimmen, muss das Zertifikat vom Client als Teil des TLS-Authentifizierungsprozesses vorgelegt werden. Erst nachdem das Zertifikat empfangen wurde, können Widerrufsprüfungen (zum Beispiel über CRL oder OCSP) durchgeführt werden. #### **TLS 1.2** TLS 1.2 unterstützt Mutual-TLS-Authentifizierung während des anfänglichen Handshakes mithilfe der `CertificateRequest`, `Certificate`und `CertificateVerify` Nachrichten. Wenn Client-Authentifizierung erforderlich und korrekt durchgesetzt wird, wird das RadSec-Clientzertifikat vor dem Aufbau der TLS-Sitzung und vor dem Austausch von RADIUS-Datenverkehr vorgelegt, validiert und auf Widerruf geprüft. \ TLS 1.2 erlaubt jedoch auch optionale Client-Authentifizierung und unterstützt Neuverhandlungen. Dadurch können einige RadSec-Clientimplementierungen den ersten Handshake abschließen, ohne ein Clientzertifikat vorzulegen. Dieses Verhalten ist implementierungsspezifisch und keine Einschränkung des TLS-1.2-Protokolls. {% hint style="info" %} Um das oben genannte Verhalten zu entschärfen, wird die **Widerrufsprüfung für RadSec-Zertifikate** Einstellung deaktiviert, wenn die maximale TLS-Version auf 1.2 gesetzt ist. Bitte beachten Sie, dass Sie sie später manuell wieder aktivieren können. {% endhint %} #### **TLS 1.3** TLS 1.3 bietet ein deterministischeres und schlankeres Modell für die Mutual-TLS-Authentifizierung. Wenn Client-Authentifizierung angefordert wird, wird das RadSec-Clientzertifikat als Teil des anfänglichen Handshakes ausgetauscht und vor dem Aufbau der TLS-Verbindung validiert.\ Dadurch kann der RadSec-Server das Clientzertifikat, einschließlich seines Widerrufsstatus, sofort überprüfen und den Handshake fehlschlagen lassen, wenn das Zertifikat ungültig oder widerrufen ist. Dadurch ermöglicht TLS 1.3 eine strengere und besser vorhersehbare Durchsetzung der Mutual-TLS-Authentifizierung für RadSec-Verbindungen. {% hint style="info" %} Die **Widerrufsprüfung für RadSec-Zertifikate** Die Einstellung wird automatisch aktiviert, wenn die maximale TLS-Version auf 1.3 gesetzt ist. {% endhint %}

## RADIUS / UDP Dieser Abschnitt ist verfügbar, wenn Sie mindestens einen [RADIUS Proxy](https://docs.radiusaas.com/de/admin-portal/settings/settings-proxy)konfiguriert haben. Für jeden Proxy ist eine separate öffentliche IP-Adresse verfügbar. Die öffentlichen IP-Adressen in diesem Abschnitt unterstützen ausschließlich das RADIUS-Protokoll und lauschen daher auf den Ports 1812/1813.

### **Server-IP-Adressen und Standort** {% hint style="warning" %} Diese IP-Adressen lauschen nur auf [RADIUS](https://docs.radiusaas.com/de/details#what-is-radius) über UDP-Ports 1812/1813. {% endhint %} Geolokalisierung des/der RADIUS Proxy/Proxys sowie der jeweiligen öffentlichen IP-Adresse(n). ### **Gemeinsame Geheimnisse** Das gemeinsame Geheimnis für den jeweiligen RADIUS Proxy. Standardmäßig werden alle RADIUS Proxys mit demselben gemeinsamen Geheimnis initialisiert.

Anzeige der Änderung gemeinsamer Geheimnisse pro Proxy

### **Ports** Dieser Abschnitt zeigt die Standardports für die RADIUS-Authentifizierungsdienste (1812) und RADIUS-Abrechnungsdienste (1813) an. ### **Failover & Redundanz** #### Proxy-Redundanz Beachten Sie, dass ein einzelner RADIUSaaS-Proxy keine Redundanz bietet. Um Redundanz sicherzustellen, richten Sie mehrere RADIUSaaS-Proxys ein, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings-proxy#load-balancing). #### RadSec-Dienst-Redundanz für Proxys Bei Verwendung von RADIUSaaS mit mehreren RadSec-Instanzen werden Proxys automatisch so konfiguriert, dass sie sich mit allen verfügbaren RadSec-Instanzen verbinden. Ein RADIUSaaS-Proxy priorisiert die Verbindung zum nächstgelegenen regionalen RadSec-Dienst. Wenn dieser Dienst nicht verfügbar ist, wechselt er zu einem anderen verfügbaren RadSec-Dienst. ## Serverzertifikate ### Customer-CA Standardmäßig generiert RADIUSaaS ein **RADIUS Server Certificate** das von einer Zertifizierungsstelle (CA) signiert ist, die in unserem Dienst ausschließlich zu diesem Zweck verfügbar ist. Wir bezeichnen sie als die **Customer-CA**. Die Customer-CA ist für jeden Kunden eindeutig. Um Ihre Customer-CA zu erstellen, befolgen Sie diese einfachen Schritte: 1. Navigieren Sie zu **Einstellungen** > **Servereinstellungen** 2. Klicken Sie auf **Hinzufügen** 3. Wählen Sie **Lassen Sie RaaS eine CA für Sie erstellen** 4. Klicken Sie auf **Speichern** 5. Nach der Erstellung sehen Sie ein neues Zertifikat unter Server Certificates verfügbar

### Eigenes Zertifikat bereitstellen Falls Sie die **Customer CA**nicht verwenden möchten, können Sie bis zu zwei eigene Zertifikate hochladen. #### Von SCEPman ausgestelltes Serverzertifikat Bitte befolgen Sie diese Schritte, um den SCEPman Certificate Master zum Erzeugen eines neuen Serverzertifikats zu nutzen: 1. Navigieren Sie zu Ihrem SCEPman Certificate Master Webportal. 2. Wählen Sie links Zertifikat anfordern 3. Wählen Sie **(Web-)Server** oben 4. Wählen Sie **Formular** 5. Geben Sie alle Subject Alternative Names (SANs) ein, für die das Zertifikat gültig sein soll, getrennt durch Kommas, Semikolons oder Zeilenumbrüche. Erzeugen Sie ein Serverzertifikat wie beschrieben [hier](https://docs.scepman.com/certificate-deployment/certificate-master/tls-server-certificate-pkcs-12) und geben Sie einen beliebigen FQDN an. Wir empfehlen, das SAN des Standard-Serverzertifikats anzupassen, z. B. `radsec-.radius-as-a-service.com`. 6. Setzen Sie das **Download-Dateiformat** auf **PEM** 7. Wählen Sie **Zertifikatskette einschließen** und laden Sie das Zertifikat herunter. 8. **Senden Sie** die Anfrage, um das neue Serverzertifikat herunterzuladen. {% hint style="warning" %} **Wichtig**: Notieren Sie sich das Passwort vorübergehend, da es im Certificate Master nicht wiederhergestellt werden kann. {% endhint %}

### Laden Sie das neue Serverzertifikat hoch zu **RADIUSaaS** Um Ihr in den obigen Schritten erstelltes Serverzertifikat hinzuzufügen, navigieren Sie zu **RADIUSaaS-Instanz** > **Einstellungen** > **Servereinstellungen** > **Hinzufügen** dann 8. Wählen Sie **PEM- oder PKCS#12-kodiertes Zertifikat** (Wenn Sie in Schritt 5 PKCS#12 ausgewählt haben, enthält dies sowohl den öffentlichen als auch den privaten Schlüssel) 9. Ziehen Sie Ihre Zertifikatsdatei per Drag & Drop hierher oder klicken Sie, um sie zu durchsuchen 10. Geben Sie das Passwort Ihres **Privaten Schlüssels** 11. Klicken Sie auf **Speichern**

{% hint style="info" %} Bitte beachten Sie: Standardmäßig stellt SCEPman Certificate Master Zertifikate aus, die 730 Tage gültig sind. Wenn Sie dies ändern möchten, lesen Sie bitte die [Dokumentation](https://docs.scepman.com/advanced-configuration/application-settings/certificates#appconfig-validityperioddays). {% endhint %} ### Zertifikatsaktivierung {% hint style="warning" %} Stellen Sie sicher, dass Sie das Ablaufdatum Ihres Serverzertifikats überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu vermeiden. {% endhint %} Da Zertifikate von Zeit zu Zeit ablaufen oder sich Ihre Präferenz für die zu verwendenden Zertifikate ändern kann, ist es wichtig, dass Sie das Zertifikat steuern können, das Ihr Server verwendet. Die **Aktiv** Spalte zeigt Ihnen das Zertifikat, das Ihr Server derzeit verwendet. Um das Zertifikat zu ändern, das Ihr Server verwendet, erweitern Sie die Zeile des gewünschten Zertifikats und klicken Sie auf **Aktivieren**. ### Herunterladen Um Ihr **Serverzertifikat,** herunterzuladen, haben Sie zwei Möglichkeiten: 1. Klicken Sie auf **CA-Zertifikat herunterladen** oben. Dadurch wird direkt das **vertrauenswürdige Root-CA** des derzeit **aktiven** Serverzertifikats heruntergeladen. 2. Klicken Sie auf das **Download** Symbol in der entsprechenden Zeile.

**Option 2** öffnet ein Dialogfeld, das den vollständigen Zertifikatspfad anzeigt. Das **Root-Zertifikat** wird immer grün markiert sein.

Für beide Optionen ist das heruntergeladene Root-Zertifikat in Base64 (PEM) kodiert. Falls Ihr Gerät (z. B. ein WiFi-Controller) eine binäre Kodierung (DER) benötigt, können Sie es mit [OpenSSL](https://openssl.org/): ```sh openssl x509 -inform pem -in -outform der -out ``` ### Löschen Um ein Zertifikat zu löschen, erweitern Sie die entsprechende Zeile, klicken Sie **Löschen** und bestätigen Sie Ihre Auswahl. ### Zertifikatsablauf {% hint style="danger" %} Lassen Sie das RADIUS Server Certificate nicht ablaufen. Dadurch wird die Authentifizierung unterbrochen. {% endhint %} Zertifikate laufen von Zeit zu Zeit ab. Fünf Monate bevor Ihr Zertifikat abläuft, zeigt Ihr Dashboard Ihnen einen Hinweis, indem es ein Warnsymbol daneben anzeigt. ![Screenshot mit Anzeige des Zertifikatsablaufs](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/vyZwJeKE1HD6XpnxGymy/image.png) Wenn das Dreieck neben dem aktiven RADIUS Server Certificate angezeigt wird, befolgen Sie diese Anleitung, um es zu aktualisieren: {% content-ref url="../../konfiguration/renew-certificate" %} [renew-certificate](https://docs.radiusaas.com/de/konfiguration/renew-certificate) {% endcontent-ref %} ## SCEPman-Verbindung {% hint style="warning" %} Nur SCEPman Enterprise Edition Gilt für Version 3.0 und höher {% endhint %} Die Einstellung SCEPman Connection ist dafür ausgelegt, Ihre RaaS-Instanz direkt mit Ihrer SCEPman-Instanz zu verbinden. Wenn Sie diese Verbindung konfigurieren, führt RaaS die folgende Aufgabe aus: 1. Ein neues Serverzertifikat erstellen und aktivieren 2. Es verwaltet dieses Serverzertifikat einschließlich des Erneuerungsprozesses.

#### Um diese Verbindung herzustellen, befolgen Sie diese Schritte: 1. Kopieren Sie das angezeigte API-Token. 2. Navigieren Sie zu Ihrem SCEPman App Service gemäß [diesem](https://docs.scepman.com/scepman-configuration/application-settings#convenient-configuration-in-the-app-service-configuration) Anleitung und erstellen Sie eine neue Umgebungsvariable mit dem Namen [AppConfig:RADIUSaaSValidation:Token](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/radiusaas) unter Verwendung des zuvor kopierten Tokens als Wert. 3. Übernehmen Sie Ihre Einstellungen und starten Sie Ihren App Service neu. 4. Geben Sie die URL Ihrer SCEPman-Instanz im Feld SCEPman URL ein.

5. Klicken Sie auf **Verbindung einrichten**. Diese Aktion deaktiviert das aktuelle Serverzertifikat, damit das neu erstellte Zertifikat verwaltet werden kann. 6. Nach Abschluss der Einrichtung werden zwei neue Schaltflächen angezeigt und die bisherigen ersetzt.

1. **Zertifikat rotieren**. Diese Schaltfläche rotiert und aktiviert Ihr Serverzertifikat zwischen den verfügbaren zwei Slots. *Serverzertifikat-**upload0*** und *Serverzertifikat-**upload1***. 2. **Verbindung löschen.** Diese Schaltfläche löscht Ihre zuvor konfigurierte Verbindung. Bitte beachten Sie, dass diese Aktion nicht rückgängig gemacht werden kann. Wenn Sie die Verbindung löschen, wird auch das Token gelöscht. Falls Sie die Verbindung zu einem späteren Zeitpunkt erneut einrichten möchten, müssen Sie die obigen Schritte erneut durchlaufen. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/de/admin-portal/settings/settings-server.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.