# FortiNet

{% hint style="info" %}
Para usar la función RadSec en su FortiGate para WiFi (con FortiAPs), se requiere el firmware FortiOS **7.6.0** o posterior en el FortiGate.
{% endhint %}

## Preparar certificados

Para establecer una conexión RadSec válida, sus puntos de acceso deben confiar en el **certificado de servidor RADIUS** y su servidor RADIUS debe confiar en su **Certificado de cliente RadSec**. Para lograr esto,

1. Descargue el certificado raíz de la CA que ha emitido su **certificado de servidor RADIUS** como se describe [aquí](/es/portal-de-administracion/settings/settings-server.md#download).
2. Cree un **Certificado de cliente RadSec** para sus WAPs (gestionados centralmente a través de FortiGate). Si está usando **SCEPman Certificate Master**, el proceso se describe [aquí](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). FortiGate acepta el **PKCS#12** formato para certificados de cliente RadSec.

{% hint style="warning" %}
Asegúrese de vigilar la expiración de su **Certificado de cliente RadSec** y renovarlo a tiempo para evitar interrupciones del servicio.
{% endhint %}

3. Agregue el certificado raíz de la CA que ha emitido el **Certificado de cliente RadSec** a su instancia de RADIUS como se describe [aquí](/es/portal-de-administracion/settings/trusted-roots.md#add) y seleccione **RadSec** en **Usar para**.\
   En caso de que el **Certificado de cliente RadSec** haya sido emitido por SCEPman y ya confíe en la CA raíz de SCEPman para la autenticación de clientes, simplemente edite el certificado de CA raíz de SCEPman de confianza y seleccione **Ambos** en **Usar para**. 

## Configuración de FortiGate

{% hint style="info" %}
Las siguientes configuraciones son necesarias para establecer una conexión RadSec funcional con nuestro servicio. Configure cualquier otra configuración a su discreción.
{% endhint %}

### A través de la interfaz de usuario

Para configurar RadSec en la interfaz de usuario de su FortiGate, siga estos pasos:

* Cree un nuevo **Servidor RADIUS** y añada su [dirección IP del servidor RadSec](/es/portal-de-administracion/settings/settings-server.md#radsec-tcp) en **IP/Nombre**. Para el **Secreto**, use "radsec".

<figure><img src="/files/7027bae8044b31633e823e5e1f55945f6614413a" alt=""><figcaption></figcaption></figure>

* Importe el [CA raíz de su certificado de servidor RADIUS](/es/portal-de-administracion/settings/settings-server.md#download) en el FortiGate **Certificados** en **System > Certificates > Import > CA Certificate**. La CA raíz importada aparecerá en **Remote CA Certificate**.

<figure><img src="/files/2e00c31e8ffddad490b7dea42f4a513769a042e3" alt=""><figcaption></figcaption></figure>

* Importe el **Certificado de cliente RadSec** en su FortiGate en\
  **System > Certificates > Import > Certificate**.

<figure><img src="/files/e4bd4e71452abf6588b233411eacd9347e2d5ae4" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/614b79ade21b5555085481f04ef57dde96f5dee3" alt=""><figcaption></figcaption></figure>

* Modifique la configuración del servidor RADIUS en su FortiGate para usarlo como certificado de cliente RadSec.
* Si está habilitado, desactive por favor el **server-identity-check** en la configuración del servidor RADIUS de su FortiGate.

### A través de la línea de comandos

Para configurar RadSec en su FortiGate usando la línea de comandos, utilice los siguientes conjuntos de instrucciones:

#### Configuración del servidor RADIUS

```python
config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nombre de la CA raíz de su certificado de servidor RADIUS
set ca-cert "CA_Cert"

# Nombre del certificado de cliente RadSec
set client-cert "certificate-fortigate"
```

#### Configuración del SSID de WiFi

```python
config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end
```

### Referencias

Enlace a la documentación de FortiGate para la configuración de RadSec:\
<https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/es/configuracion/access-point-setup/radsec-available/fortinet.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.