Ajustes del servidor
Los ajustes del servidor están disponibles en https://YOURNAME.radius-as-a-service.com/settings/server
Puertos y Direcciones IP
Resumen
RADIUSaaS opera un servicio RadSec para proporcionar autenticación segura basada en la nube para sus usuarios. Además, para aquellos clientes que no puedan utilizar RadSec en su entorno de red, por ejemplo debido a limitaciones de hardware y software, RADIUSaaS proporciona proxies RADIUS que manejan la conversión de protocolo de RADIUS a RadSec.
Tanto RadSec como el servicio RADIUS ofrecen una dirección IP pública que permite que sus dispositivos y servicios de red se comuniquen con nuestro servicio desde cualquier lugar a través de Internet. Estos servicios operan en sus puertos registrados únicos.
RadSec / TCP
DNS de RadSec
La entrada DNS a través de la cual se puede acceder al servicio RadSec.
Direcciones IP del Servidor
Esta es la dirección IP pública del servicio RadSec.
Puertos RadSec
Este es el puerto registrado para RadSec: 2083
Conmutación por fallo y Redundancia
En casos donde los clientes requieren niveles más altos de redundancia, se pueden configurar múltiples endpoints RadSec para su instancia proporcionando direcciones IP adicionales. Tenga en cuenta que hay un costo adicional por este servicio.
Es importante notar que RADIUSaaS NO proporciona conmutación por fallo entre endpoints RadSec. En su lugar, esta conmutación por fallo normalmente se implementa en su equipo de red como se muestra en el ejemplo siguiente usando Meraki.
Se recomienda configurar su escenario de conmutación por fallo usando direcciones IP en lugar de DNS para una mejor visibilidad y menor dependencia de un servicio adicional (DNS).
En esta configuración, las dos direcciones IP de RadSec están listadas en orden de preferencia. Cuando Meraki no puede alcanzar una de las direcciones IP, típicamente intentará dos veces más y pasará a la siguiente. Para más información sobre la capacidad de conmutación por fallo de su sistema Meraki (u otro), por favor consulte sus propios recursos.
Ajustes de RadSec
Los siguientes ajustes controlan ciertos aspectos de la conexión RadSec a su instancia RADIUSaaS.
Versión TLS Máxima
Este ajuste controla la versión TLS máxima para su interfaz RadSec. La versión mínima está fijada en 1.2, la máxima por defecto está establecida en 1.3.
TLS 1.3 ofrece varias ventajas sobre 1.2, incluyendo el mecanismo de autenticación posterior al handshake, que permite solicitar credenciales adicionales antes de completar el handshake. Esto es importante para las comprobaciones de verificación de los certificados RadSec que se discuten a continuación.
Comprobación de Revocación para Certificados RadSec
Este ajuste determina si debe realizarse una comprobación de revocación para todas las conexiones RadSec. El método para verificar la revocación difiere ligeramente del usado para los certificados de autenticación de clientes.
Para el correcto funcionamiento de RadSec, los dispositivos de red como puntos de acceso, switches y servidores VPN establecen una conexión protegida por TLS al servidor RadSec. Las implementaciones RadSec típicamente usan TLS mutuo (mTLS), donde ambos pares se autentican mutuamente usando certificados X.509 durante el handshake TLS. La implementación de RADIUSaaS hace cumplir mTLS.
Para determinar la validez y el estado de revocación de un certificado de cliente RadSec, el certificado debe ser presentado por el cliente como parte del proceso de autenticación TLS. Solo después de que se recibe el certificado pueden realizarse las comprobaciones de revocación (por ejemplo, mediante CRL u OCSP).
TLS 1.2
TLS 1.2 admite la autenticación TLS mutua durante el handshake inicial usando el CertificateRequest, Certificate, y CertificateVerify mensajes. Cuando la autenticación del cliente es requerida y se hace cumplir correctamente, el certificado del cliente RadSec se presenta, valida y comprueba su revocación antes de que la sesión TLS se establezca y antes de que se intercambie cualquier tráfico RADIUS.
Sin embargo, TLS 1.2 también permite la autenticación opcional del cliente y soporta la renegociación. Como resultado, algunas implementaciones de cliente RadSec pueden completar el handshake inicial sin presentar un certificado de cliente. Este comportamiento es específico de la implementación y no una limitación del protocolo TLS 1.2.
Para mitigar el comportamiento anterior, el Comprobación de Revocación para Certificados RadSec ajuste se desactiva cuando la versión TLS máxima se establece en 1.2. Tenga en cuenta que puede reactivarlo manualmente más adelante.
TLS 1.3
TLS 1.3 proporciona un modelo más determinista y optimizado para la autenticación TLS mutua. Cuando se solicita la autenticación del cliente, el certificado del cliente RadSec se intercambia como parte del handshake inicial y se valida antes de que la conexión TLS se establezca. Esto permite al servidor RadSec verificar inmediatamente el certificado del cliente, incluido su estado de revocación, y fallar el handshake si el certificado es inválido o revocado. Como resultado, TLS 1.3 permite una aplicación más estricta y predecible de la autenticación TLS mutua para las conexiones RadSec.
El Comprobación de Revocación para Certificados RadSec ajuste se habilita automáticamente cuando la versión TLS máxima se establece en 1.3.
RADIUS / UDP
Esta sección está disponible cuando ha configurado al menos un Proxy RADIUS. Para cada proxy, está disponible una dirección IP pública separada. Las direcciones IP públicas en esta sección soportan únicamente el protocolo RADIUS y por lo tanto escuchan en los puertos 1812/1813.
Direcciones IP del Servidor y Ubicación
Estas direcciones IP solo escuchan en RADIUS sobre los puertos UDP 1812/1813.
Geoubicación del/los Proxy(s) RADIUS así como la(s) respectiva(s) dirección(es) IP pública(s).
Secretos Compartidos
El secreto compartido para el respectivo Proxy RADIUS. Por defecto, todos los proxies RADIUS se inicializan con el mismo secreto compartido.
Puertos
Esta sección muestra los puertos estándar para los servicios de autenticación RADIUS (1812) y contabilización RADIUS (1813).
Conmutación por fallo y Redundancia
Redundancia de Proxy
Tenga en cuenta que un solo Proxy RADIUSaaS no proporciona redundancia. Para asegurar redundancia, configure múltiples Proxies RADIUSaaS como se describe aquí.
Redundancia del Servicio RadSec para Proxies
Cuando se usa RADIUSaaS con múltiples instancias RadSec, los proxies se configuran automáticamente para conectar con todas las instancias RadSec disponibles. Un Proxy RADIUSaaS priorizará la conexión al Servicio RadSec regional más cercano. Si ese servicio no está disponible, cambiará a otro Servicio RadSec disponible.
Certificados del Servidor
CA del Cliente
Por defecto, RADIUSaaS genera una Certificado de Servidor RADIUS firmado por una Autoridad de Certificación (CA) que está disponible en nuestro servicio exclusivamente para este propósito. Nos referimos a ella como la CA del Cliente. La CA del cliente es única para cada cliente.
Para crear su CA del cliente, siga estos sencillos pasos:
Navegue a Ajustes > Ajustes del Servidor
Haga clic Agregar
Elija Permitir que RaaS cree una CA para usted
Haga clic en Guardar
Después de la creación, verá un nuevo certificado disponible en Certificados del Servidor
Traiga su propio certificado
En caso de que no desee usar la CA del Cliente, puede subir hasta dos de sus propios certificados.
Certificado de servidor emitido por SCEPman
Por favor, siga estos pasos para aprovechar SCEPman Certificate Master para generar un nuevo certificado de servidor:
Navegue a su portal web SCEPman Certificate Master.
Seleccione Solicitar Certificado en la izquierda
Seleccione (Web) Servidor en la parte superior
Seleccione Formulario
Introduzca todos los Nombres Alternativos de Sujeto (SANs) para los que el certificado será válido separados por comas, punto y coma o saltos de línea. Genere un certificado de servidor como se describe aquí y proporcione cualquier FQDN que desee. Recomendamos adaptar el SAN del certificado de servidor por defecto, por ejemplo
radsec-<nombre de su instancia RADIUSaaS>.radius-as-a-service.com.Establezca el Formato de archivo para descargar a PEM
Seleccione Incluir Cadena de Certificados y descargue el certificado.
Enviar la solicitud para descargar el nuevo certificado de servidor.
Importante: Tome nota temporal de la contraseña ya que no puede recuperarse desde Certificate Master.
Suba el nuevo certificado de servidor a RADIUSaaS
Para agregar su certificado de servidor creado en los pasos anteriores, navegue a instancia RADIUSaaS > Ajustes > Ajustes del Servidor > Agregar luego
Elija Certificado codificado en PEM o PKCS#12 (Si seleccionó PKCS#12 en el paso 5, esto contiene tanto la clave pública como la privada)
Arrastre y suelte su archivo de certificado o haga clic para buscarlo
Ingrese la contraseña de su Clave Privada
Haga clic Guardar
Tenga en cuenta: Por defecto, SCEPman Certificate Master emite certificados válidos por 730 días. Si desea cambiar esto, por favor consulte la documentación.
Activación de certificado
Asegúrese de monitorizar la caducidad de su certificado de servidor y renovarlo a tiempo para evitar interrupciones del servicio.
Como los certificados caducan con el tiempo o su preferencia sobre qué certificados desea usar cambia, es importante que pueda controlar el certificado que su servidor está usando. La Activa columna le muestra el certificado que su servidor está usando actualmente. Para cambiar el certificado que su servidor está usando, expanda la fila del certificado que desea elegir y haga clic Activar.
Descargar
Para descargar su Certificado de Servidor, tiene dos opciones:
Haga clic Descargar Certificado CA en la parte superior. Esto descargará directamente la CA raíz de confianza del certificado de servidor activo
Actualmente. Haga clic en el icono de descarga
en la fila correspondiente. Opción 2 abrirá un diálogo mostrando la ruta completa del certificado. El certificado raíz
Mostrando el certificado raíz en verde Para ambas opciones, el certificado raíz descargado está codificado en base64 (PEM). En caso de que su dispositivo (por ejemplo, controlador WiFi) necesite una codificación binaria (DER), puede convertirlo usando:
openssl x509 -inform pem -in <ARCHIVO_DESCARGADO> -outform der -out <ARCHIVO_CONVERTIDO>
Eliminar openssl x509 -inform pem -in <ARCHIVO_DESCARGADO> -outform der -out <ARCHIVO_CONVERTIDO> Para eliminar un certificado, expanda la fila correspondiente, haga clic
y confirme su elección.
Caducidad del Certificado
No permita que el Certificado del Servidor RADIUS caduque. Romperá la autenticación.
Captura de pantalla mostrando la caducidad del certificado. Si el triángulo se muestra junto al Certificado de Servidor RADIUS activo, siga esta guía para actualizarlo:
Renovación del certificado del servidorÚltima actualización
¿Te fue útil?