# FortiNet

{% hint style="info" %}
Um die RadSec-Funktion auf Ihrem FortiGate für WiFi (mit FortiAPs) zu verwenden, ist auf dem FortiGate die Firmware FortiOS **7.6.0** oder neuer erforderlich.
{% endhint %}

## Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen Ihre Access Points dem **RADIUS Server Certificate** vertrauen, und Ihr RADIUS-Server muss Ihrem **RadSec-Clientzertifikat**vertrauen. Um dies zu erreichen,

1. Laden Sie das Stammzertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie beschrieben [hier](/de/admin-portal/settings/settings-server.md#download).
2. Erstellen Sie ein **RadSec-Clientzertifikat** für Ihre WAPs (zentral verwaltet über FortiGate). Wenn Sie **SCEPman Certificate Master**verwenden, ist der Prozess beschrieben [hier](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). FortiGate akzeptiert das **PKCS#12** Format für RadSec-Client-Zertifikate.

{% hint style="warning" %}
Stellen Sie sicher, dass Sie den Ablauf Ihres **RadSec-Clientzertifikat** überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

3. Fügen Sie das Root-Zertifikat der CA hinzu, die das **RadSec-Clientzertifikat** für Ihre RADIUS-Instanz ausgestellt hat, wie beschrieben [hier](/de/admin-portal/settings/trusted-roots.md#add) und wählen Sie **RadSec** unter **Verwenden für**.\
   Falls die **RadSec-Clientzertifikat** von SCEPman ausgestellt wurde und Sie dem SCEPman Root CA bereits für die Client-Authentifizierung vertrauen, bearbeiten Sie einfach das vertrauenswürdige SCEPman Root CA-Zertifikat und wählen Sie **Beides** unter **Verwenden für**.&#x20;

## FortiGate-Konfiguration

{% hint style="info" %}
Die folgenden Einstellungen sind erforderlich, um eine funktionale RadSec-Verbindung mit unserem Dienst herzustellen. Konfigurieren Sie alle anderen Einstellungen nach Belieben.
{% endhint %}

### Über die Benutzeroberfläche

Um RadSec auf Ihrer FortiGate-Benutzeroberfläche zu konfigurieren, befolgen Sie bitte die folgenden Schritte:

* Erstellen Sie einen neuen **RADIUS-Server** und fügen Sie Ihre [RadSec-Server-IP-Adresse](/de/admin-portal/settings/settings-server.md#radsec-tcp) unter **IP/Name**aus. Für den **Geheimnis**hinzu, verwenden Sie "radsec".

<figure><img src="/files/cb21a35857ad2bc5efe7de933da292e9d0a2b3bf" alt=""><figcaption></figcaption></figure>

* Importieren Sie das [Root-CA Ihres RADIUS-Server-Zertifikats](/de/admin-portal/settings/settings-server.md#download) zur FortiGate **Zertifikate** unter **System > Certificates > Import > CA Certificate**. Die importierte Root-CA wird unter **Remote CA Certificate**.

<figure><img src="/files/d261afd4bc7c0dc09f20709dba4ce7d5c90b4153" alt=""><figcaption></figcaption></figure>

* Importieren Sie das **RadSec-Clientzertifikat** zu Ihrer FortiGate unter\
  **System > Certificates > Import > Certificate**.

<figure><img src="/files/57b00223e3c7bf4b4ee3b9a3dd3c6084b58cb54d" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/3ff402e98f81df1c982f22989397d0348e75e949" alt=""><figcaption></figcaption></figure>

* Ändern Sie die RADIUS-Serverkonfiguration auf Ihrer FortiGate so, dass sie als RadSec-Client-Zertifikat verwendet wird.
* Falls aktiviert, deaktivieren Sie bitte die **server-identity-check** in Ihrer FortiGate-RADIUS-Serverkonfiguration.

### Über die Befehlszeile

Um RadSec auf Ihrer FortiGate über die Befehlszeile zu konfigurieren, verwenden Sie bitte die folgenden Anweisungen:

#### RADIUS-Serverkonfiguration

```python
config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Benennen Sie die Root-CA Ihres RADIUS-Server-Zertifikats
set ca-cert "CA_Cert"

# Benennen Sie das RadSec-Client-Zertifikat
set client-cert "certificate-fortigate"
```

#### WiFi-SSID-Konfiguration

```python
config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end
```

### Referenzen

Link zur FortiGate-Dokumentation für die RadSec-Konfiguration:\
<https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/de/konfiguration/access-point-setup/radsec-available/fortinet.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.