# Ruckus

{% hint style="info" %}
Die folgende Anleitung wurde mit Ruckus erstellt **Virtual SmartZone Essentials** Version **6.1.2.0.441**.
{% endhint %}

## Zertifikate vorbereiten

Um eine gültige RadSec-Verbindung herzustellen, müssen Ihre Access Points dem **RADIUS Server Certificate** vertrauen, und Ihr RADIUS-Server muss Ihrem **RadSec-Clientzertifikat**vertrauen. Um dies zu erreichen,

1. Laden Sie das Stammzertifikat der CA herunter, die Ihr aktives **RADIUS Server Certificate** ausgestellt hat, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download).
2. Erstellen Sie ein **RadSec-Clientzertifikat** für Ihre Ruckus SmartZone. Wenn Sie **SCEPman Certificate Master**verwenden, ist der Prozess beschrieben [hier](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). 
3. **Teilen Sie das generierte Zertifikat** in den privaten Schlüssel (in diesem Beispiel "priv.key" genannt) und das Zertifikat ("clientcert.cer" genannt) auf. Falls das **RadSec-Clientzertifikat** im **PKCS#12/.pfx** Format heruntergeladen wurde, kann dies z. B. mit OpenSSL einfach durchgeführt werden:\
   \
   Privater Schlüssel:\
   `openssl pkcs12 -in <your-radsec-client-cert>.pfx -nocerts -nodes -out priv.key`\
   \
   Zertifikat ohne privaten Schlüssel:\
   `openssl pkcs12 -in <your-radsec-client-cert>.pfx -clcerts -nokeys -out clientcert.cer`&#x20;

Je nach Ihrer Ruckus-Firmware-Version kann es notwendig sein, den Abschnitt mit den Bag-Attributen aus Ihren Zertifikats- und privaten Schlüsseldateien zu entfernen. Dieser Abschnitt sieht wie im folgenden Beispiel aus:

```
Attribute
    localKeyID: 52 70 EB 96 89 23 90 F9 D5 0E 06 82 5C EC F7 63 30 44 F1 A9 
    friendlyName: Certificate from SCEPman
Key Attributes: <No Attributes>
```

{% hint style="warning" %}
Stellen Sie sicher, dass Sie den Ablauf Ihres **RadSec-Clientzertifikat** überwachen und es rechtzeitig erneuern, um Dienstunterbrechungen zu vermeiden.
{% endhint %}

3. Fügen Sie das Root-Zertifikat der CA hinzu, die das **RadSec-Clientzertifikat** für Ihre RADIUS-Instanz ausgestellt hat, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots#add) und wählen Sie **RadSec** unter **Verwenden für**. \
   Falls das **RadSec-Clientzertifikat** von SCEPman ausgestellt wurde und Sie dem SCEPman Root CA bereits für die Client-Authentifizierung vertrauen, bearbeiten Sie einfach das vertrauenswürdige SCEPman Root CA-Zertifikat und wählen Sie **Beides** unter **Verwenden für**.&#x20;

## Ruckus SmartZone (SZ) Konfiguration

{% hint style="info" %}
Im Folgenden wird Ruckus SZ als **Authentifizierungsproxy**konfiguriert, d. h. RADIUS-Authentifizierungsanfragen werden von den WAPs an die Ruckus SZ weitergeleitet und zentral an RADIUSaaS weitergeleitet.
{% endhint %}

Allgemeine Informationen zum Importieren von Zertifikaten in die Ruckus SmartZone finden Sie in deren Dokumentation:

{% embed url="<https://docs.commscope.com/bundle/sz-700-controlleradminguide-sz300sz144vsz/page/GUID-5EA43C47-3B01-4908-B5B6-0961CF283504.html>" %}

1. Importieren Sie das Root-Zertifikat der CA, die Ihr **RADIUS Server Certificate** ausgestellt hat (während Schritt 1 heruntergeladen [hier](#prepare-certificates)), indem Sie zu **Administration >** **System > Certificates > SZ Trusted CA Certificates/Chain (external)**.
2. Klicken Sie auf **Importieren**navigieren und einen **Namen** sowie einen optionalen **Beschreibung** für Ihr RADIUS-CA-Zertifikat angeben und die Zertifikatdatei hochladen, indem Sie auf **Durchsuchen** neben **Root CA Certificate**klicken. Falls Sie Ihr eigenes **RADIUS Server Certificate** verwenden und es von einer Zwischen-CA ausgestellt wurde, laden Sie bitte auch alle Zwischenzertifikate unter **Intermediate CA Certificates**.<br>

   <figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FAZCF72Q5flkuuziNfqO1%2FScreenshot_2024-08-21_at_12_54_18.jpg?alt=media&#x26;token=8b235815-5598-4aa0-92d3-1aac31b68810" alt="" width="375"><figcaption></figcaption></figure>
3. anschließend auf **Validate** und **OK**.
4. Importieren Sie Ihr **RadSec-Clientzertifikat** (erhalten in Schritt 3 [hier](#prepare-certificates)), indem Sie zu **Administration >** **System > Certificates > SZ as Client Certificate**.
5. Klicken Sie auf **Importieren** und geben Sie einen **Namen** sowie einen optionalen **Beschreibung** für Ihr **RadSec-Clientzertifikat**an. Laden Sie dann den öffentlichen Teil Ihres **RadSec-Clientzertifikat** hoch, indem Sie auf **Durchsuchen** neben **Client Certificate**klicken. Laden Sie schließlich den privaten Schlüssel hoch, indem Sie auf **Durchsuchen** neben **Privaten Schlüssels**.<br>

   <figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FUpPaaObb5SSDUhQnqoQM%2FScreenshot_2024-08-21_at_13_10_30.jpg?alt=media&#x26;token=6c1869ef-6304-4f2d-9d17-e15d7a7e068b" alt=""><figcaption></figcaption></figure>
6. Für die RADIUS-Serverkonfiguration navigieren Sie zu **Security > Authentication > Proxy (SZ Authenticator)**.
7. Klicken Sie auf **Erstellen** und geben Sie einen **Namen**, optionalen **Friendly Name** und **Beschreibung** für das RADIUS-Profil an.
8. Wählen Sie **RADIUS** als **Dienstprotokoll**.
9. Unter **RADIUS Service Options**, konfigurieren Sie die folgenden Einstellungen:

| **Verschlüsselung**                       | Aktivieren                                                                                                                                                                                                                                                                                                                                                                                                |
| ----------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **CN/SAN Idenity**                        | <p>Geben Sie das CN/SAN-Attribut Ihres <strong>RADIUS Server Certificate</strong>. </p><p><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FdCLBHFKCJZj1uZdxaCgS%2Fimage.png?alt=media&#x26;token=be2354b0-4b68-47f5-8820-37d84231a9ee" alt="Showing SAN to be used as Certificate server name" data-size="original"></p> |
| **OCSP Validation**                       | <p>Standard: Deaktiviert<br>Falls Sie Ihr eigenes <strong>RADIUS Server Certificate</strong> verwenden und die CA, die es ausgestellt hat, dessen Widerruf erlaubt, geben Sie hier die OCSP-Responder-URL Ihrer CA an.</p>                                                                                                                                                                                |
| **Client Certificate**                    | Wählen Sie den **RadSec-Clientzertifikat** zuvor in Ruckus SZ hochgeladen.                                                                                                                                                                                                                                                                                                                                |
| **Serverzertifikats**                     | Deaktivieren                                                                                                                                                                                                                                                                                                                                                                                              |
| **RFC5580 Out of Band Location Delivery** | Deaktivieren                                                                                                                                                                                                                                                                                                                                                                                              |

10. Als Nächstes unter **Primary Server**für die **IP Address/FQDN** wählen Sie entweder die IP-Adresse oder den DNS-Namen Ihres [RadSec-Dienstendpunkts](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#properties)aus. Für den **Port** wählen Sie **2083**. <br>

    <figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F2Sy3yfp75uRGxmdtUD6n%2FScreenshot_2024-08-21_at_13_29_21.jpg?alt=media&#x26;token=352eba23-1727-48bf-8917-86af18318c99" alt=""><figcaption></figcaption></figure>
11. Klicken Sie auf **OK**.