# FortiNet

{% hint style="info" %}
Um die RadSec-Funktion auf Ihrem FortiGate für WiFi (mit FortiAPs) zu verwenden, ist auf dem FortiGate die Firmware FortiOS **7.6.0** oder neuer erforderlich.
{% endhint %}

## Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen Ihre Access Points dem **RADIUS Server Certificate** vertrauen, und Ihr RADIUS-Server muss Ihrem **RadSec-Clientzertifikat**vertrauen. Um dies zu erreichen,

1. Laden Sie das Stammzertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download).
2. Erstellen Sie ein **RadSec-Clientzertifikat** für Ihre WAPs (zentral verwaltet über FortiGate). Wenn Sie **SCEPman Certificate Master**verwenden, ist der Prozess beschrieben [hier](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). FortiGate akzeptiert das **PKCS#12** Format für RadSec-Client-Zertifikate.

{% hint style="warning" %}
Stellen Sie sicher, dass Sie den Ablauf Ihres **RadSec-Clientzertifikat** überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

3. Fügen Sie das Root-Zertifikat der CA hinzu, die das **RadSec-Clientzertifikat** für Ihre RADIUS-Instanz ausgestellt hat, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots#add) und wählen Sie **RadSec** unter **Verwenden für**.\
   Falls die **RadSec-Clientzertifikat** von SCEPman ausgestellt wurde und Sie dem SCEPman Root CA bereits für die Client-Authentifizierung vertrauen, bearbeiten Sie einfach das vertrauenswürdige SCEPman Root CA-Zertifikat und wählen Sie **Beides** unter **Verwenden für**. 

## FortiGate-Konfiguration

{% hint style="info" %}
Die folgenden Einstellungen sind erforderlich, um eine funktionale RadSec-Verbindung mit unserem Dienst herzustellen. Konfigurieren Sie alle anderen Einstellungen nach Belieben.
{% endhint %}

### Über die Benutzeroberfläche

Um RadSec auf Ihrer FortiGate-Benutzeroberfläche zu konfigurieren, befolgen Sie bitte die folgenden Schritte:

* Erstellen Sie einen neuen **RADIUS-Server** und fügen Sie Ihre [RadSec-Server-IP-Adresse](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#radsec-tcp) unter **IP/Name**aus. Für den **Geheimnis**hinzu, verwenden Sie "radsec".

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0Aq2mpufCt5CMz5QZr5K/2023-08-28%2010_56_04-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

* Importieren Sie das [Root-CA Ihres RADIUS-Server-Zertifikats](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download) zur FortiGate **Zertifikate** unter **System > Certificates > Import > CA Certificate**. Die importierte Root-CA wird unter **Remote CA Certificate**.

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/VnLTR6XLeYAOTtSby2E8/2023-08-28%2010_57_07-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

* Importieren Sie das **RadSec-Clientzertifikat** zu Ihrer FortiGate unter\
  **System > Certificates > Import > Certificate**.

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/bekG8GtK4PpFihiSJCYQ/2023-08-28%2010_58_54-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/HzhDdnDjaSYaI14MiQhx/2023-08-29%2009_36_11-FortiGate.png" alt=""><figcaption></figcaption></figure>

* Ändern Sie die RADIUS-Serverkonfiguration auf Ihrer FortiGate so, dass sie als RadSec-Client-Zertifikat verwendet wird.
* Falls aktiviert, deaktivieren Sie bitte die **server-identity-check** in Ihrer FortiGate-RADIUS-Serverkonfiguration.

### Über die Befehlszeile

Um RadSec auf Ihrer FortiGate über die Befehlszeile zu konfigurieren, verwenden Sie bitte die folgenden Anweisungen:

#### RADIUS-Serverkonfiguration

```python
config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Benennen Sie die Root-CA Ihres RADIUS-Server-Zertifikats
set ca-cert "CA_Cert"

# Benennen Sie das RadSec-Client-Zertifikat
set client-cert "certificate-fortigate"
```

#### WiFi-SSID-Konfiguration

```python
config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end
```

### Referenzen

Link zur FortiGate-Dokumentation für die RadSec-Konfiguration:\
<https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client>