# FortiNet

{% hint style="info" %}
Para usar la función RadSec en su FortiGate para WiFi (con FortiAPs), se requiere el firmware FortiOS **7.6.0** o posterior en el FortiGate.
{% endhint %}

## Preparar certificados

Para establecer una conexión RadSec válida, sus puntos de acceso deben confiar en el **certificado de servidor RADIUS** y su servidor RADIUS debe confiar en su **Certificado de cliente RadSec**. Para lograr esto,

1. Descargue el certificado raíz de la CA que ha emitido su **certificado de servidor RADIUS** como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#download).
2. Cree un **Certificado de cliente RadSec** para sus WAPs (gestionados centralmente a través de FortiGate). Si está usando **SCEPman Certificate Master**, el proceso se describe [aquí](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). FortiGate acepta el **PKCS#12** formato para certificados de cliente RadSec.

{% hint style="warning" %}
Asegúrese de vigilar la expiración de su **Certificado de cliente RadSec** y renovarlo a tiempo para evitar interrupciones del servicio.
{% endhint %}

3. Agregue el certificado raíz de la CA que ha emitido el **Certificado de cliente RadSec** a su instancia de RADIUS como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots#add) y seleccione **RadSec** en **Usar para**.\
   En caso de que el **Certificado de cliente RadSec** haya sido emitido por SCEPman y ya confíe en la CA raíz de SCEPman para la autenticación de clientes, simplemente edite el certificado de CA raíz de SCEPman de confianza y seleccione **Ambos** en **Usar para**. 

## Configuración de FortiGate

{% hint style="info" %}
Las siguientes configuraciones son necesarias para establecer una conexión RadSec funcional con nuestro servicio. Configure cualquier otra configuración a su discreción.
{% endhint %}

### A través de la interfaz de usuario

Para configurar RadSec en la interfaz de usuario de su FortiGate, siga estos pasos:

* Cree un nuevo **Servidor RADIUS** y añada su [dirección IP del servidor RadSec](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#radsec-tcp) en **IP/Nombre**. Para el **Secreto**, use "radsec".

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/0Aq2mpufCt5CMz5QZr5K/2023-08-28%2010_56_04-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

* Importe el [CA raíz de su certificado de servidor RADIUS](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#download) en el FortiGate **Certificados** en **System > Certificates > Import > CA Certificate**. La CA raíz importada aparecerá en **Remote CA Certificate**.

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/VnLTR6XLeYAOTtSby2E8/2023-08-28%2010_57_07-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

* Importe el **Certificado de cliente RadSec** en su FortiGate en\
  **System > Certificates > Import > Certificate**.

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/bekG8GtK4PpFihiSJCYQ/2023-08-28%2010_58_54-Medienwiedergabe.png" alt=""><figcaption></figcaption></figure>

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/HzhDdnDjaSYaI14MiQhx/2023-08-29%2009_36_11-FortiGate.png" alt=""><figcaption></figcaption></figure>

* Modifique la configuración del servidor RADIUS en su FortiGate para usarlo como certificado de cliente RadSec.
* Si está habilitado, desactive por favor el **server-identity-check** en la configuración del servidor RADIUS de su FortiGate.

### A través de la línea de comandos

Para configurar RadSec en su FortiGate usando la línea de comandos, utilice los siguientes conjuntos de instrucciones:

#### Configuración del servidor RADIUS

```python
config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nombre de la CA raíz de su certificado de servidor RADIUS
set ca-cert "CA_Cert"

# Nombre del certificado de cliente RadSec
set client-cert "certificate-fortigate"
```

#### Configuración del SSID de WiFi

```python
config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end
```

### Referencias

Enlace a la documentación de FortiGate para la configuración de RadSec:\
<https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client>