FortiNet

Um die RadSec-Funktion auf Ihrem FortiGate für WiFi (mit FortiAPs) zu verwenden, ist auf dem FortiGate die Firmware FortiOS 7.6.0 oder neuer erforderlich.

Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen Ihre Access Points dem RADIUS-Serverzertifikat vertrauen und Ihr RADIUS-Server muss Ihrem RadSec-Client-Zertifikatvertrauen. Um dies zu erreichen,

Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives RADIUS-Serverzertifikat ausgestellt hat, wie beschrieben hier.
Erstellen Sie ein RadSec-Client-Zertifikat für Ihre WAPs (zentral über FortiGate verwaltet). Wenn Sie SCEPman Certificate Masterverwenden, ist der Prozess beschrieben hier. FortiGate akzeptiert das PKCS#12 Format für RadSec-Clientzertifikate.

Überwachen Sie unbedingt das Ablaufdatum Ihres RadSec-Client-Zertifikat und erneuern Sie es rechtzeitig, um Dienstunterbrechungen zu vermeiden.

Fügen Sie das Root-Zertifikat der CA hinzu, die das RadSec-Client-Zertifikat ausgestellt hat, zu Ihrer RADIUS-Instanz, wie beschrieben hier und wählen Sie RadSec unter Verwenden für. Falls die RadSec-Client-Zertifikat von SCEPman ausgestellt wurde und Sie bereits der SCEPman Root CA für die Client-Authentifizierung vertrauen, bearbeiten Sie einfach das vertrauenswürdige SCEPman Root CA-Zertifikat und wählen Beides unter Verwenden für.

FortiGate-Konfiguration

Die folgenden Einstellungen sind die notwendigen Einstellungen, um eine funktionierende RadSec-Verbindung mit unserem Dienst herzustellen. Konfigurieren Sie alle anderen Einstellungen nach eigenem Ermessen.

Über UI

Um RadSec in der FortiGate-Benutzeroberfläche zu konfigurieren, folgen Sie bitte diesen Schritten:

Erstellen Sie ein neues RADIUS-Server und fügen Sie Ihre RadSec-Server-IP-Adresse unter IP/Name. Für den Geheimnis, verwenden Sie "radsec".

Importieren Sie das Root-CA Ihres RADIUS-Serverzertifikats auf dem FortiGate Zertifikate unter System > Zertifikate > Importieren > CA-Zertifikat. Die importierte Root-CA wird unter Remote-CA-Zertifikat.

Importieren Sie das RadSec-Client-Zertifikat auf Ihrem FortiGate unter System > Zertifikate > Importieren > Zertifikat.

Ändern Sie die RADIUS-Serverkonfiguration auf Ihrem FortiGate, um es als RadSec-Clientzertifikat zu verwenden.
Falls aktiviert, deaktivieren Sie bitte die server-identity-check in Ihrer FortiGate-RADIUS-Serverkonfiguration.

Über die Befehlszeile

Um RadSec auf Ihrem FortiGate über die Befehlszeile zu konfigurieren, verwenden Sie bitte die folgenden Anweisungen:

RADIUS-Serverkonfiguration

config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Benennen Sie die Root-CA Ihres RADIUS-Serverzertifikats
set ca-cert "CA_Cert"

# Benennen Sie das RadSec-Clientzertifikat
set client-cert "certificate-fortigate"

WiFi-SSID-Konfiguration

config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end

Verweise

Link zur FortiGate-Dokumentation zur RadSec-Konfiguration: https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client

Zuletzt aktualisiert vor 1 Jahr

War das hilfreich?

Guten Tag

hashtagZertifikate vorbereiten

hashtagFortiGate-Konfiguration

hashtagÜber UI

hashtagÜber die Befehlszeile

hashtagRADIUS-Serverkonfiguration

hashtagWiFi-SSID-Konfiguration

hashtagVerweise

Zertifikate vorbereiten

FortiGate-Konfiguration

Über UI

Über die Befehlszeile

RADIUS-Serverkonfiguration

WiFi-SSID-Konfiguration

Verweise