# Renovación del certificado del servidor

Un certificado de servidor es esencial para proteger tanto el túnel interno EAP-TLS como el túnel externo TLS RadSec en RADIUSaaS. Para evitar fallos de autenticación, asegúrate de renovar tu certificado antes de que expire.

### **Tu certificado de servidor puede ser uno de los dos tipos siguientes:**

1. [Customer-CA](https://docs.radiusaas.com/admin-portal/settings/settings-server#customer-ca). Este viene con tu RADIUSaaS y ofrece una larga caducidad de 20 años. Actualmente no hay forma de crear una nueva Customer-CA junto con la existente. Esto significa que la Customer-CA existente y próxima a caducar deberá eliminarse antes de que se pueda crear una nueva. Crear una nueva Customer-CA también generará un nuevo certificado raíz que deberá volver a implementarse en tus clientes. Por favor, sigue [este ](#deploying-the-new-server-certificate)artículo para implementar tu nueva Customer-CA y hacer referencia a ella mediante la política WiFi de tu MDM.&#x20;
2. Usar un certificado propio (BYO) con tu propia PKI, p. ej. [Certificado de servidor emitido por SCEPman](https://docs.radiusaas.com/admin-portal/settings/settings-server#scepman-issued-server-certificate). Los certificados de servidor de SCEPman caducan cada dos años, así que asegúrate de establecer un recordatorio para evitar tiempos de inactividad. Al usar un certificado BYO, se asume que el **certificado raíz de la CA** y el **FQDN (Subject y SAN)** permanecerán sin cambios respecto al certificado que expira. Por lo tanto, no es necesario volver a implementar el certificado.

## Crear un nuevo certificado

### Customer-CA integrada

Este tipo de certificado es válido durante 20 años y no puede renovarse antes de su expiración. Sin embargo, puede eliminarse y crearse uno nuevo siguiendo [este ](https://docs.radiusaas.com/admin-portal/settings/settings-server#customer-ca)la guía.

### Certificado BYO

Si quieres usar tu propio certificado, por ejemplo: un certificado de servidor emitido por SCEPman, entonces sigue [este ](https://docs.radiusaas.com/admin-portal/settings/settings-server#bring-your-own-certificate)el enlace para crear un certificado de servidor antes de la expiración en SCEPman o en tu PKI preferida. &#x20;

## Implementar el nuevo certificado de servidor

#### Perfiles de Intune <a href="#intune-profiles" id="intune-profiles"></a>

Si estás renovando la Customer-CA o una CA BYO con un root y un FQDN diferentes de los anteriores, entonces sigue los pasos a continuación para volver a implementar este certificado en tus clientes; de lo contrario, si estás utilizando un certificado BYO sin cambios en el certificado raíz de la CA ni en el FQDN (Subject y SAN), ¡puedes omitir este paso!

1. Implementa el nuevo **certificado de servidor/certificado raíz de confianza** en tus clientes como se describe [aquí](https://docs.radiusaas.com/profile-deployment/jamf-pro/server-trust) mediante la creación de un **nuevo** perfil.
2. Actualiza tus **existentes** perfiles WiFi o cableados
   * Si has usado el asistente de Intune para la creación de tus perfiles de red, edita todos los perfiles relevantes **añadiendo un segundo certificado de servidor de confianza**. No olvides añadir un segundo nombre de servidor en **Certificate server names** en caso de que el nuevo certificado tenga un dominio diferente.
   * Si has usado un perfil personalizado para la creación de tus perfiles de red, vuelve a descargar el XML generado por RADIUSaaS desde [aquí](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml)y reemplázalo en tu perfil existente. Ambos thumbprints del certificado de servidor se incluyen automáticamente en el XML.
3. Espera **hasta que todos tus clientes** hayan recibido los perfiles actualizados.

<figure><img src="https://1614783686-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FECU6EjwxgkZzSfGxcw1I%2Fimage.png?alt=media&#x26;token=ee6d6189-ad58-4eb5-9729-ed2dbd005afb" alt=""><figcaption><p>Ejemplo: perfil WiFi actualizado de Windows 10 con dos certificados de servidor RADIUS de confianza y dominios diferentes.</p></figcaption></figure>

## Infraestructura WiFi y LAN <a href="#wifi-and-lan-infrastructure" id="wifi-and-lan-infrastructure"></a>

Si estás usando [RadSec](https://docs.radiusaas.com/details#what-is-radsec)sube el nuevo **certificado de servidor** a tus puntos de acceso o al dispositivo del switch de red.

## Activar el nuevo certificado de servidor

Por último, cuando estés listo para cambiar al nuevo certificado, actívalo como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server#certificate-activation).