# Allgemeine Anleitung {% stepper %} {% step %} ### PKI-Einrichtung {% hint style="warning" %} Dies ist ein **verpflichtender** Schritt. Kann weggelassen werden, wenn Sie RADIUSaaS mit [nur nutzername-/passwortbasierter Authentifizierung](https://docs.radiusaas.com/de/admin-portal/users) verwenden. {% endhint %} Richten Sie Ihre PKI so ein, dass die notwendigen Clientauthentifizierungszertifikate automatisch auf Ihre Endgeräte verteilt werden. Wenn Sie eine der unten aufgeführten PKIs verwenden, folgen Sie bitte stattdessen den entsprechenden Anleitungen: {% content-ref url="scenario-based-guides/microsoft-cloud-pki" %} [microsoft-cloud-pki](https://docs.radiusaas.com/de/konfiguration/get-started/scenario-based-guides/microsoft-cloud-pki) {% endcontent-ref %} {% endstep %} {% step %} ### Einrichtung vertrauenswürdiger CA(s) {% hint style="warning" %} Dies ist ein **verpflichtender** Schritt. {% endhint %} Teilen Sie Ihrer RADIUSaaS-Instanz mit, welche Clientauthentifizierungszertifikate zur Authentifizierung zugelassen werden und wie geprüft werden kann, ob diese Zertifikate noch gültig sind: {% content-ref url="../../admin-portal/settings/trusted-roots" %} [trusted-roots](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots) {% endcontent-ref %} {% endstep %} {% step %} ### RADIUS-Serverzertifikat-Konfiguration {% hint style="warning" %} Dies ist ein **verpflichtender** Schritt. {% endhint %} {% hint style="info" %} Für Kunden, die **SCEPman** als PKI nutzen, empfehlen wir, die [SCEPman-Integration](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#scepman-connection) zu verwenden, um den **RADIUS Server Certificate** Lebenszyklus vollständig zu automatisieren. {% endhint %} Da Endgeräte während der Netzwerkauthentifizierung eine TLS-Verbindung zu RADIUSaaS aufbauen, muss RADIUSaaS dem Client ein Serverzertifikat präsentieren (der **RADIUS Server Certificate**). Dieses Zertifikat kann direkt aus dem **RADIUSaaS Admin Portal** generiert oder importiert werden, wenn Sie bereits ein geeignetes Zertifikat besitzen (**BYO** ). Dasselbe Serverzertifikat wird bei Bedarf auch verwendet, um die RadSec-Verbindung zu Ihren Authentifizierungsgeräten (WLAN-Zugangspunkte, Switches, VPN-Gateways) abzusichern. Falls Sie gerne das **integrierte** [**Customer CA**](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#customer-ca)verwenden möchten, dessen einziger Zweck es ist, die **RADIUS Server Certificate**auszustellen, ist in diesem Schritt keine weitere Aktion erforderlich. Falls Sie lieber Ihr eigenes TLS-Serverzertifikat verwenden möchten, ausgestellt von Ihrer bevorzugten CA, folgen Sie bitte [diesen Schritten](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#bring-your-own-certificate). {% endstep %} {% step %} ### Konfiguration der Netzwerkausrüstung {% hint style="warning" %} Dies ist ein **verpflichtender** Schritt. {% endhint %} ### RadSec Wenn Ihre Netzwerkausrüstung das **RadSec** Protokoll unterstützt, folgen Sie den untenstehenden Schritten: #### **WLAN-Zugangspunkte** Für einige beliebte Hersteller haben wir exemplarische Schritt-für-Schritt-Anleitungen zur Einrichtung der RadSec-Verbindung erstellt [hier](https://docs.radiusaas.com/de/konfiguration/access-point-setup/radsec-available). Auch wenn wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte: 1. Importieren Sie Ihr aktives **RADIUS Server Certificate** in Ihre WLAN-Infrastruktur. 2. Fügen Sie das CA-Zertifikat, von dem Ihre APs ihr **RadSec-Verbindungszertifikat** erhalten haben, zu Ihrer **Liste vertrauenswürdiger Zertifikate** hinzu, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots#add). 3. Erstellen Sie ein neues RADIUS-Profil. 4. Legen Sie die IP-Adresse und den Port Ihres Servers in Ihrem RADIUS-Profil fest. Verwenden Sie dafür die [öffentliche RadSec-IP-Adresse](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#properties) und den Standard-RadSec-Port (2083). 5. Setzen Sie das **Gemeinsames Geheimnis** auf „radsec“, falls zutreffend. 6. Weisen Sie das erstellte Profil Ihren SSID(s) zu. #### Verkabelte (LAN-)Switches Derzeit haben wir noch keine Beispielanleitungen für Netzwerk-Switches vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WLAN-Zugangspunkte. Falls Sie auf Schwierigkeiten stoßen, [kontaktieren Sie uns bitte](https://www.radius-as-a-service.com/help/). ### RADIUS Wenn Ihre Netzwerkausrüstung **RadSec nicht unterstützt**, müssen Sie zunächst Proxys bereitstellen, die die Protokollkonvertierung von [RADIUS](https://docs.radiusaas.com/de/details#what-is-radius) auf [RadSec](https://docs.radiusaas.com/de/details#what-is-radsec) : {% content-ref url="../../admin-portal/settings/settings-proxy" %} [settings-proxy](https://docs.radiusaas.com/de/admin-portal/settings/settings-proxy) {% endcontent-ref %} Anschließend fahren Sie mit der Konfiguration Ihrer Ausrüstung fort: #### **WLAN-Zugangspunkte** Für einige beliebte Hersteller haben wir exemplarische Schritt-für-Schritt-Anleitungen vorbereitet [hier](https://docs.radiusaas.com/de/konfiguration/access-point-setup/proxy-needed). Auch wenn wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte: 1. Erstellen Sie ein neues RADIUS-Profil. 2. Konfigurieren Sie einen externen RADIUS-Server: * Konfigurieren Sie als Server-IP-Adresse die IP-Adresse Ihres [**Proxy**](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#properties-1)**.** * Übernehmen Sie das Shared Secret aus Ihrem [**Servereinstellungen**](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#radius-udp) Seite. * Konfigurieren Sie die Standardports für RADIUS-Authentifizierung (1812) und Accounting (1813 - optional). 3. Weisen Sie das erstellte Profil Ihren SSID(s) zu. #### **Verkabelte (LAN-)Switches** Derzeit haben wir noch keine Beispielanleitungen für Switch-Appliances vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WLAN-Zugangspunkte. Falls Sie auf Schwierigkeiten stoßen, [kontaktieren Sie uns bitte](https://www.radius-as-a-service.com/help/). {% endstep %} {% step %} ### MDM-Profile {% hint style="warning" %} Dies ist ein **verpflichtender** Schritt. {% endhint %} {% hint style="success" %} **Für Jamf Pro** Wir empfehlen dringend, alle für 802.1X relevanten Payloads in einem **einzigen** Konfigurationsprofil in Jamf Pro zu konfigurieren - und ein Konfigurationsprofil pro Zuweisungstyp (Computer, Geräte, Benutzer). {% endhint %} ### Serverzertifikats Um Vertrauen zwischen Ihren Endgeräten und dem Serverzertifikat herzustellen, das RADIUSaaS bei der Authentifizierung präsentiert, konfigurieren Sie ein vertrauenswürdiges Zertifikatsprofil in Ihrer bevorzugten MDM-Lösung. Laden Sie dazu zunächst das Root-CA-Zertifikat herunter, das Ihr derzeit aktives **RADIUS Server Certificate** ausgestellt hat, wie beschrieben [hier](https://docs.radiusaas.com/de/admin-portal/settings/settings-server#download). {% hint style="danger" %} Achten Sie beim Herunterladen des relevanten Zertifikats darauf, **nur** **Download** das **Root-CA-** Zertifikat Ihres derzeit aktiven RADIUS-Serverzertifikats (grün hervorgehoben) herunterzuladen - nicht die gesamte Kette oder das RADIUS-Serverzertifikat selbst! {% endhint %} Fahren Sie fort und verteilen Sie dieses Zertifikat per MDM: #### **Microsoft Intune** {% content-ref url="../../profilbereitstellung/microsoft-intune/trusted-root" %} [trusted-root](https://docs.radiusaas.com/de/profilbereitstellung/microsoft-intune/trusted-root) {% endcontent-ref %} #### Jamf Pro {% content-ref url="../../profilbereitstellung/jamf-pro/server-trust" %} [server-trust](https://docs.radiusaas.com/de/profilbereitstellung/jamf-pro/server-trust) {% endcontent-ref %} ### WLAN-Profil Um ein WLAN-Profil in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen: #### **Microsoft Intune** {% content-ref url="../../profilbereitstellung/microsoft-intune/wifi-profile" %} [wifi-profile](https://docs.radiusaas.com/de/profilbereitstellung/microsoft-intune/wifi-profile) {% endcontent-ref %} #### **Jamf Pro** {% content-ref url="../../profilbereitstellung/jamf-pro/wifi-profile" %} [wifi-profile](https://docs.radiusaas.com/de/profilbereitstellung/jamf-pro/wifi-profile) {% endcontent-ref %} ### Verkabeltes (LAN-)Profil Um ein verkabeltes (LAN-)Profil für Ihre stationären Geräte in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen: #### **Microsoft Intune** {% content-ref url="../../profilbereitstellung/microsoft-intune/wired-profile" %} [wired-profile](https://docs.radiusaas.com/de/profilbereitstellung/microsoft-intune/wired-profile) {% endcontent-ref %} #### **Jamf Pro** {% content-ref url="../../profilbereitstellung/jamf-pro/wired-profile" %} [wired-profile](https://docs.radiusaas.com/de/profilbereitstellung/jamf-pro/wired-profile) {% endcontent-ref %} {% endstep %} {% step %} ### Berechtigungen und technische Ansprechpartner {% endstep %} {% step %} ### Regeln {% hint style="info" %} Dies ist ein **optionale** Schritt. {% endhint %} Wenn Sie zusätzliche Regeln konfigurieren möchten, zum Beispiel um VLAN-IDs zuzuweisen oder Authentifizierungsanforderungen auf bestimmte vertrauenswürdige CAs oder WLAN-Zugangspunkte zu beschränken, sehen Sie sich bitte die RADIUSaaS-Regel-Engine an. {% content-ref url="../../admin-portal/settings/rules" %} [rules](https://docs.radiusaas.com/de/admin-portal/settings/rules) {% endcontent-ref %} {% endstep %} {% endstepper %} {% content-ref url="../../admin-portal/settings/rules" %} [rules](https://docs.radiusaas.com/de/admin-portal/settings/rules) {% endcontent-ref %}