# UniFi

{% hint style="info" %}
Se ha añadido RADIUS sobre TLS (RADSEC) a **UniFi Network 8.4** y versiones más recientes. Asegúrese de que su controlador y sus dispositivos de red estén **actualizados** antes de seguir esta guía.
{% endhint %}

{% hint style="warning" %}
Los clientes han informado de **retrasos** entre la activación de la función RadSec en el Unify Dashboard y el momento en que comienza a funcionar.
{% endhint %}

## Preparar certificados

Para establecer una conexión RadSec válida, sus puntos de acceso deben confiar en el **certificado de servidor RADIUS** y su servidor RADIUS debe confiar en su **Certificado de cliente RadSec**. Para lograr esto,

1. Descargue el certificado raíz de la CA que ha emitido su **certificado de servidor RADIUS** como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#download).\
   En este ejemplo, SCEPman se utiliza como CA raíz y ha emitido el certificado del servidor RADIUS. Por lo tanto, descargamos el certificado de la CA raíz desde el portal de SCEPman:\
   \
   ![](https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fqcje6zykfUaJtZ2Mpn2J%2Fimage.png?alt=media\&token=2d4e54d1-79fa-40ff-8886-a3f23fa93eec)\
   A continuación, convierta su certificado a Base-64. Esto se puede hacer fácilmente mediante el Asistente de exportación de certificados de Windows, OpenSSL u otras herramientas:<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FPsfLYTHWwhFMHRC5e9v0%2Fimage.png?alt=media&#x26;token=9699aa03-c995-4dd6-9023-83ea4bcedc62" alt=""><figcaption></figcaption></figure>
2. Cree un **Certificado de cliente RadSec** para sus puntos de acceso. Si está utilizando **SCEPman Certificate Master**, el proceso se describe [aquí](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12).\
   En este ejemplo generamos un certificado en formato "PEM". Anote la contraseña, ya que la necesitaremos más adelante.<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FiiknhsyBtg1OMx5zokB4%2Fimage.png?alt=media&#x26;token=008eea9c-a5a8-4ad6-9b0c-d43eda7501f6" alt=""><figcaption></figcaption></figure>
3. Separe el certificado generado en la clave privada (llamada "priv.key" en este ejemplo) y el certificado (llamado "clientcert.cer"). Esto se puede hacer fácilmente mediante un editor de texto:<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fy4RgXqj46pwMDFObuQT0%2FScreenshot%202024-09-24%20101150.png?alt=media&#x26;token=e40c8932-f818-481e-af8c-ff8980dffea0" alt=""><figcaption></figcaption></figure>
4. Agregue el certificado raíz de la CA que ha emitido el **Certificado de cliente RadSec** a su instancia de RADIUS como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots#add) y seleccione **RadSec** en **Usar para**.\
   En caso de que el **Certificado de cliente RadSec** ha sido emitido por SCEPman (en este ejemplo) y ya confía en la CA raíz de SCEPman para la autenticación de clientes, simplemente edite el certificado de CA raíz de SCEPman de confianza y seleccione **Ambos** en **Usar para**:\ <br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FRC0VFYe5IAzWPOK6ZWrg%2Fimage.png?alt=media&#x26;token=7ea810cd-aa2e-49a0-a5c2-0508bc1f818f" alt=""><figcaption></figcaption></figure>

## Configuración de UniFi

{% hint style="info" %}
Las siguientes configuraciones son las necesarias para establecer una conexión RadSec funcional con nuestro servicio. Configure cualquier otra configuración a su discreción.
{% endhint %}

1. Vaya a su controlador de red de Unifi y abra **Configuración** **> Perfiles > RADIUS**.
2. Cree un nuevo perfil o actualice uno existente:<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F3ZiX4U8lG2ODqepWi9TR%2Fimage.png?alt=media&#x26;token=3f8e33a3-87a1-4628-9051-8f5c9f79f5c3" alt=""><figcaption></figcaption></figure>
3. Rellene la información requerida:
   1. **Compatibilidad con VLAN asignada por RADIUS**: opcional / si es necesario
   2. **Configuración de RADIUS**:
      1. **TLS**: active la casilla de verificación.
      2. **Servidores de autenticación**:\
         \- **Dirección/es IP del servidor**: proporcione la dirección IP de su [punto de conexión del servicio RadSec](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#properties).\
         \- **Puerto**: 2083.\
         \- **Secreto compartido**: `radsec`.
      3. **Certificado de cliente**: cargue el **Certificado de cliente RadSec** (obtenido en el paso 3 [aquí](#prepare-certificates)).
      4. **Clave privada**: cargue la clave privada de su **Certificado de cliente RadSec** (obtenido en el paso 3 [aquí](#prepare-certificates)).
      5. **Contraseña de la clave privada**: como se indicó.
      6. **Certificado CA**: cargue el certificado raíz de la CA que ha emitido su **certificado de servidor RADIUS** (obtenido en el paso 1 [aquí](#prepare-certificates)).
      7. **Contabilidad**: active la casilla de verificación.
      8. **Servidor de contabilidad RADIUS**:\
         \- **Dirección/es IP del servidor**: proporcione la dirección IP de su [punto de conexión del servicio RadSec](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#properties).\
         \- **Puerto**: 2083\
         \- **Secreto compartido**: `radsec`
      9. **Intervalo de actualización intermedia**: opcional / si es necesario<br>

         <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F7bVZwLVu65fJAw2ip9yW%2Fimage.png?alt=media&#x26;token=f4f95e73-62aa-493d-ad3a-b2aae7e7282d" alt=""><figcaption></figcaption></figure>
4. Asigne este perfil al perfil de WiFi deseado:<br>

   <figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FIYtSOpXKancg5DOguLnp%2Fimage.png?alt=media&#x26;token=9d545eb1-1f53-483d-b0bb-b96dce504ec3" alt=""><figcaption></figcaption></figure>
5. Deje que sus puntos de acceso tengan algo de tiempo para aplicar la nueva configuración:\
   \
   ![](https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FgLOTqgYBnWr21PwSxqwx%2Fimage.png?alt=media\&token=6db006ec-38eb-4b04-be4e-cabe263426ea)

### Referencia: Centro de ayuda de UniFi

[UniFi Gateway - Configuración de un servidor RADIUS](https://help.ui.com/hc/en-us/articles/360015268353-UniFi-Gateway-Configuring-a-RADIUS-Server)