Meraki
Um die RadSec-Funktion auf Ihren Meraki-APs zu verwenden, ist die Firmware-Version MR 30.X oder später erforderlich.
Kunden haben berichtet Verzögerungen zwischen der Aktivierung der RadSec-Funktion im Meraki Dashboard und ihrer Funktionsfähigkeit.
Zertifikate vorbereiten
Die Meraki-Plattform erlaubt es Ihnen nicht, RadSec-Clientzertifikate von einer CA Ihrer Wahl zu erzeugen. Stattdessen müssen Sie die eingebaute Organisations-CA verwenden, die für Ihre Meraki-Organisation einzigartig ist.
Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives RADIUS-Serverzertifikat ausgestellt hat, wie beschrieben hier. Sie müssen diese später in Ihre Meraki-Konsole hochladen.
Meraki-Konfiguration
Die folgenden Einstellungen sind die notwendigen Einstellungen, um eine funktionierende RadSec-Verbindung mit unserem Dienst herzustellen. Konfigurieren Sie alle anderen Einstellungen nach eigenem Ermessen.
Stellen Sie sicher, dass Sie die OCSP-Sperrprüfung des RadSec-Clientzertifikats deaktivieren wie in Schritt 7 dieses Leitfadens beschrieben.
Konfigurieren Sie den RADIUS-Server in Ihrem SSID
Wählen Sie den SSID für den Sie RADIUS-Authentifizierung konfigurieren möchten (oder navigieren Sie zu Wireless > Configure > SSIDs um zunächst eine neue SSID zu erstellen).
Im Sicherheit Abschnitt Ihrer SSID, wählen Sie Enterprise mit und im Dropdown mein RADIUS-Server:
Unter RADIUS, klicken Sie Server hinzufügen. Konfigurieren Sie den Host-IP oder FQDN so, dass sie der IP-Adresse oder dem DNS-Namen Ihres RadSec-Dienstendpunktsentspricht, setzen Sie Port auf 2083 und setzen Sie den Geheimnis Wert auf "radsec" und aktivieren Sie die RadSec Checkbox.
EAP-Timeouts konfigurieren
Konfigurieren Sie EAP-Parameter und Timeouts entsprechend diesem Referenzhandbuch, indem Sie zu Wireless > Radius > Erweiterte RADIUS-Einstellungen. Nach der Konfiguration sollte es ähnlich wie im Screenshot unten aussehen. Klicken Sie Speichern um die Einstellungen anzuwenden.
RadSec-Serverzertifikat hinzufügen
Um die erforderlichen Zertifikate hochzuladen und zu erzeugen, die die RadSec-Verbindung funktionsfähig machen, navigieren Sie zu Organisation > Zertifikate.
Klicken Sie in der oberen Tabelle auf Zertifikat hochladen und geben Sie das Root-Zertifikat der CA an, die Ihr RADIUS-Serverzertifikatsigniert hat, welches Sie bereits in diesem Schrittheruntergeladen haben sollten. Ihre Meraki-APs vertrauen jetzt Ihrem RADIUS-Server.
Organisations-CA erstellen
Unter RadSec-AP-Zertifikate, erstellen Sie zuerst eine Organisations-CA hoch, indem Sie auf CA generieren. Diese CA ist einzigartig für Ihre Meraki-Organisation. Die Meraki-Plattform wird nun automatisch RadSec-Clientzertifikate für alle Ihre APs erzeugen, die von dieser CA signiert sind. Die Lebensdauer des Zertifikats ist sehr lang (> 50 Jahre), d. h. Sie müssen sich nicht um deren Erneuerung sorgen.
Laden Sie das Root-CA-Zertifikat Ihrer Organisations-CA Ihres Meraki-Systems herunter, indem Sie auf CA herunterladen.
klicken. Sie können keine RadSec-Clientzertifikate einer anderen CA bei Meraki hochladen. Stattdessen stellt die Organisations-CA, die für Ihre Organisation einzigartig ist, allen Ihren Access Points geeignete Zertifikate bereit.
Organisations-CA in RADIUSaaS vertrauen
Laden Sie nun das heruntergeladene CA-Zertifikat in Ihre Vertrauenswürdigen Zertifikate in Ihrer RADIUSaaS-Webkonsole hoch und wählen Sie RadSec unter Verwenden für.
Widerrufsprüfung für RadSec-Zertifikate deaktivieren
Deaktivieren Sie abschließend die Widerrufsprüfung für die RadSec-Clientzertifikate in Ihrer RADIUSaaS-Instanz (dies hat keine negativen Auswirkungen auf die Sicherheit, da die Meraki-Organisations-CA nicht zulässt, RadSec-Clientzertifikate zu widerrufen). Navigieren Sie daher zu Ihrer RADIUSaaS-Instanz und dann zu Einstellungen > Servereinstellungen und deaktivieren Sie das Kontrollkästchen Verifizierungsprüfung für RadSec-Zertifikate.
Konfiguration testen
Um zu testen, ob die Konfiguration funktioniert, können Sie einen Benutzer in Ihrem Portal hinzufügen und die Meraki-Testfunktion verwenden.
Quellen
Link zur Meraki-Dokumentation für die RadSec-Konfiguration: https://documentation.meraki.com/MR/Encryption_and_Authentication/MR_RADSec
Zuletzt aktualisiert
War das hilfreich?