# RadSec

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FSPYhaqJKWvpS6cxKGAbt%2Fimage.png?alt=media&#x26;token=68f6fd36-1ac8-46d4-bb0a-afcdfdb87892" alt=""><figcaption><p>Anzeige des TLS-Outer-Tunnels und der erforderlichen Zertifikate</p></figcaption></figure>

Bevor Ihre Access Points in der Lage sind, ein gültiges **RadSec-Verbindung** (was als mTLS-Verbindung betrachtet werden kann), müssen unabhängig vom Hersteller des Access Points die folgenden Anforderungen erfüllt sein.

* Access Points benötigen ein gültiges **Client-Zertifikat** (üblicherweise als „RadSec Client Certificate“ oder „RadSec Certificate“ bezeichnet). Dieses Client-Zertifikat muss die **EKU Client Authentication** (1.3.6.1.5.5.7.3.2) und **nicht Server Authentication**.
* Access Points müssen **der CA vertrauen** die das **RADIUS Server Certificate**.
* RADIUSaaS muss **der CA vertrauen** die das **RadSec-Client-Zertifikat** auf Ihren Access Points ausgestellt hat.

{% hint style="info" %}
Das RadSec-Protokoll erfordert ein Shared Secret zur Berechnung der MD5-Integritätsprüfungen.\
Die [RadSec-RFC](https://datatracker.ietf.org/doc/html/rfc6614) definiert dieses Shared Secret als den literalen String „radsec“.&#x20;
{% endhint %}