Mostrando el túnel exterior TLS y los certificados requeridos
Antes de que sus puntos de acceso puedan establecer un **conexión RadSec** válido (lo que puede considerarse una conexión mTLS), deben cumplirse los siguientes requisitos independientemente del fabricante del punto de acceso.
* Los puntos de acceso requieren un válido **certificado de cliente** (normalmente denominado "RadSec Client Certificate" o "RadSec Certificate"). Este certificado de cliente debe tener el **EKU Autenticación de cliente** (1.3.6.1.5.5.7.3.2) y **no Autenticación de servidor**.
* Los puntos de acceso deben **confiar en la CA** que emitió el **certificado de servidor RADIUS**.
* RADIUSaaS debe **confiar en la CA** que emitió el **certificado de cliente RadSec** en sus puntos de acceso.
{% hint style="info" %}
El protocolo RadSec requiere un secreto compartido para calcular las comprobaciones de integridad MD5.\
El [RFC de RadSec](https://datatracker.ietf.org/doc/html/rfc6614#:~:text=to%20implement\).%0A%0A%20%20%204.-,start,-exchanging%20RADIUS%20datagrams) define este secreto compartido como la cadena literal "radsec".
{% endhint %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/es/configuracion/access-point-setup/radsec-available.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.