# Configuración del servidor ## Puertos y direcciones IP ### Resumen RADIUSaaS opera un servicio RadSec para proporcionar autenticación segura basada en la nube para sus usuarios. Además, para aquellos clientes que no puedan utilizar RadSec en su entorno de red, por ejemplo, debido a limitaciones de hardware y software, RADIUSaaS ofrece proxies RADIUS, que gestionan la conversión de protocolo de RADIUS a RadSec. Tanto el servicio RadSec como el servicio RADIUS ofrecen una dirección IP pública que permite que sus dispositivos y servicios de red se comuniquen con nuestro servicio desde cualquier lugar a través de Internet. Estos servicios operan en sus puertos registrados únicos. ## RadSec / TCP

Mostrando IP y puerto de RadSec

#### **DNS de RadSec** La entrada DNS a través de la cual se puede acceder al servicio RadSec. #### **Direcciones IP del servidor** Esta es la dirección IP pública del servicio RadSec. #### **Puertos de RadSec** Este es el puerto registrado para RadSec: 2083 ### Conmutación por error y redundancia En los casos en que los clientes requieran mayores niveles de redundancia, se pueden configurar varios puntos de conexión RadSec para su instancia, proporcionando direcciones IP adicionales. Tenga en cuenta que este servicio tiene un coste adicional.

Mostrando dos direcciones IP públicas, una para cada uno de los servicios RadSec.

{% hint style="info" %} Es importante señalar que RADIUSaaS **NO proporciona conmutación por error** entre puntos de conexión RadSec. En su lugar, esta conmutación por error normalmente se implementa en su equipo de red, como se muestra en el ejemplo siguiente usando Meraki. Se recomienda configurar su escenario de conmutación por error utilizando direcciones IP en lugar de DNS para tener mejor visibilidad y depender menos de un servicio adicional (DNS). {% endhint %} En esta configuración, las dos direcciones IP de RadSec se enumeran por orden de preferencia. Cuando Meraki no puede الوصول a una de las direcciones IP, normalmente lo intentará dos veces más y pasará a la siguiente. Para obtener más información sobre la capacidad de conmutación por error de su sistema Meraki (u otro), consulte sus propios recursos.

Mostrando varios servidores RadSec por orden de prioridad (Meraki).

## Configuración de RadSec {% hint style="info" %} Las siguientes opciones controlan ciertos aspectos de la conexión RadSec a su instancia de RADIUSaaS. {% endhint %} ### Versión máxima de TLS Esta opción controla la versión máxima de TLS para su interfaz RadSec. La versión mínima está fijada en 1.2 y el máximo predeterminado está establecido en 1.3. TLS 1.3 ofrece varias ventajas sobre 1.2, incluido el mecanismo de autenticación posterior al intercambio de mensajes, que permite solicitar credenciales adicionales antes de completar el intercambio. Esto es importante para la configuración de comprobación de revocación de certificados RadSec que se comenta a continuación. ### Comprobación de revocación de certificados RadSec {% hint style="info" %} Esta opción determina si debe realizarse una comprobación de revocación para todas las conexiones RadSec. El método para verificar la comprobación de revocación difiere ligeramente del utilizado para los certificados de autenticación de cliente. {% endhint %} Para que RadSec funcione correctamente, los dispositivos de red como puntos de acceso, conmutadores y servidores VPN establecen una conexión protegida por TLS con el servidor RadSec. Las implementaciones de RadSec suelen usar TLS mutuo (mTLS), en el que ambos pares se autentican entre sí mediante certificados X.509 durante el intercambio TLS. La implementación de RADIUSaaS aplica mTLS. Para determinar la validez y el estado de revocación de un certificado de cliente RadSec, el cliente debe presentar el certificado como parte del proceso de autenticación TLS. Solo después de recibir el certificado pueden realizarse las comprobaciones de revocación (por ejemplo, mediante CRL u OCSP). #### **TLS 1.2** TLS 1.2 admite autenticación TLS mutua durante el intercambio inicial utilizando los mensajes `CertificateRequest`, `Certificate`, y `CertificateVerify` . Cuando la autenticación de cliente es necesaria y se aplica correctamente, el certificado de cliente RadSec se presenta, valida y comprueba su revocación antes de que se establezca la sesión TLS y antes de que se intercambie cualquier tráfico RADIUS. \ Sin embargo, TLS 1.2 también permite la autenticación opcional del cliente y admite la renegociación. Como resultado, algunas implementaciones de cliente RadSec pueden completar el intercambio inicial sin presentar un certificado de cliente. Este comportamiento es específico de la implementación y no una limitación del protocolo TLS 1.2. {% hint style="info" %} Para mitigar el comportamiento anterior, la **Comprobación de revocación de certificados RadSec** opción se desactiva cuando la versión máxima de TLS se establece en 1.2. Tenga en cuenta que puede reactivarla manualmente más adelante. {% endhint %} #### **TLS 1.3** TLS 1.3 ofrece un modelo más determinista y simplificado para la autenticación TLS mutua. Cuando se solicita autenticación de cliente, el certificado de cliente RadSec se intercambia como parte del intercambio inicial y se valida antes de que se establezca la conexión TLS.\ Esto permite al servidor RadSec verificar inmediatamente el certificado del cliente, incluido su estado de revocación, y fallar el intercambio si el certificado es inválido o ha sido revocado. Como resultado, TLS 1.3 permite una aplicación más estricta y predecible de la autenticación TLS mutua para las conexiones RadSec. {% hint style="info" %} La **Comprobación de revocación de certificados RadSec** opción se activa automáticamente cuando la versión máxima de TLS se establece en 1.3. {% endhint %}
## RADIUS / UDP Esta sección está disponible cuando ha configurado al menos un [RADIUS Proxy](/es/portal-de-administracion/settings/settings-proxy.md). Para cada proxy, hay disponible una dirección IP pública independiente. Las direcciones IP públicas de esta sección solo admiten el protocolo RADIUS y, por tanto, escuchan en los puertos 1812/1813.
### **Direcciones IP del servidor y ubicación** {% hint style="warning" %} Estas direcciones IP solo escuchan en [RADIUS](/es/details.md#what-is-radius) a través de los puertos UDP 1812/1813. {% endhint %} Geolocalización del/los proxy(s) RADIUS, así como de la(s) respectiva(s) dirección(es) IP pública(s). ### **Secretos compartidos** El secreto compartido para el respectivo proxy RADIUS. De forma predeterminada, todos los proxies RADIUS se inicializan con el mismo secreto compartido.

Mostrando el cambio de secretos compartidos por proxy

### **Puertos** Esta sección muestra los puertos estándar para los servicios de autenticación RADIUS (1812) y contabilidad RADIUS (1813). ### **Conmutación por error y redundancia** #### Redundancia de proxy Tenga en cuenta que un único proxy de RADIUSaaS no proporciona redundancia. Para garantizar la redundancia, configure varios proxies de RADIUSaaS como se describe [aquí](/es/portal-de-administracion/settings/settings-proxy.md#load-balancing). #### Redundancia del servicio RadSec para proxies Al usar RADIUSaaS con varias instancias RadSec, los proxies se configuran automáticamente para conectarse a todas las instancias RadSec disponibles. Un proxy de RADIUSaaS priorizará la conexión con el servicio RadSec regional más cercano. Si ese servicio no está disponible, cambiará a otro servicio RadSec disponible. ## Certificados del servidor ### CA del cliente De forma predeterminada, RADIUSaaS genera un **Certificado de servidor RADIUS** firmado por una Autoridad de Certificación (CA) que está disponible en nuestro servicio únicamente para este propósito. Nos referimos a ella como la **CA del cliente**. La CA del cliente es única para cada cliente. Para crear su CA del cliente, siga estos sencillos pasos: 1. Navegue hasta **Configuración** > **Configuración del servidor** 2. Haga clic en **Agregar** 3. Elija **Permitir que RaaS cree una CA para usted** 4. Haga clic en **Guardar** 5. Después de la creación, verá un nuevo certificado disponible en Certificados del servidor
### Use su propio certificado En caso de que no quiera usar la **CA del cliente**, puede cargar hasta dos de sus propios certificados. #### Certificado de servidor emitido por SCEPman Siga estos pasos para aprovechar SCEPman Certificate Master para generar un nuevo certificado de servidor: 1. Navegue hasta el portal web de SCEPman Certificate Master. 2. Seleccione Solicitar certificado a la izquierda 3. Seleccione **(Web) Server** en la parte superior 4. Seleccione **Formulario** 5. Introduzca todos los nombres alternativos del sujeto (SAN) para los que el certificado debe ser válido, separados por comas, punto y coma o saltos de línea. Genere un certificado de servidor como se describe [aquí](https://docs.scepman.com/certificate-deployment/certificate-master/tls-server-certificate-pkcs-12) y proporcione cualquier FQDN que desee. Recomendamos adaptar el SAN del certificado de servidor predeterminado, por ejemplo `radsec-.radius-as-a-service.com`. 6. Establezca el **Formato de archivo de descarga** en **PEM** 7. Seleccione **Incluir cadena de certificados** y descargue el certificado. 8. Asegúrese de incluir **tanto la autenticación de servidor como la de cliente** para el EKU. 9. **Envíe** la solicitud para descargar el nuevo certificado de servidor. {% hint style="warning" %} **Importante**: Tome nota temporal de la contraseña, ya que no se puede recuperar de Certificate Master. {% endhint %}
### Cargue el nuevo certificado de servidor en **RADIUSaaS** Para agregar su certificado de servidor creado en los pasos anteriores, navegue hasta **instancia de RADIUSaaS** > **Configuración** > **Configuración del servidor** > **Agregar,** luego 1. Elija **Certificado codificado en PEM o PKCS#12** (Si seleccionó PKCS#12 en el paso 5, este contiene tanto la clave pública como la privada) 2. Arrastre y suelte su archivo de certificado o haga clic para buscarlo 3. Introduzca la contraseña de su **Clave privada** 4. Haga clic en **Guardar**
{% hint style="info" %} Tenga en cuenta: De forma predeterminada, SCEPman Certificate Master emite certificados válidos durante 730 días. Si desea cambiar esto, consulte la [documentación de SCEPman](https://docs.scepman.com/advanced-configuration/application-settings/certificates#appconfig-validityperioddays). {% endhint %} ### Activación del certificado {% hint style="warning" %} Asegúrese de supervisar la caducidad de su certificado de servidor y renovarlo a tiempo para evitar interrupciones del servicio. {% endhint %} Dado que los certificados caducan de vez en cuando o cambian sus preferencias sobre qué certificados desea utilizar, es importante que pueda controlar el certificado que está utilizando su servidor. La columna **Activo** le muestra el certificado que su servidor está utilizando actualmente. Para cambiar el certificado que usa su servidor, expanda la fila del certificado que desea elegir y haga clic en **Activar**. ### Descargar Para descargar su **Certificado de servidor,** tiene dos opciones: 1. Haga clic en **Descargar certificado CA** en la parte superior. Esto descargará directamente la **CA raíz de confianza** del certificado de servidor **activo** actualmente. 2. Haga clic en el icono de **descarga** en la fila correspondiente.
**La opción 2** abrirá un cuadro de diálogo que muestra la ruta completa del certificado. El **certificado raíz** siempre estará marcado en verde.

Mostrando el certificado raíz en verde

Para ambas opciones, el certificado raíz descargado está codificado en base64 (PEM). En caso de que su dispositivo (por ejemplo, un controlador WiFi) necesite una codificación binaria (DER), puede convertirla usando [OpenSSL](https://openssl.org/): ```sh openssl x509 -inform pem -in -outform der -out ``` ### Eliminar Para eliminar un certificado, expanda la fila correspondiente, haga clic en **Eliminar** y confirme su elección. ### Caducidad del certificado {% hint style="danger" %} No permita que caduque el certificado del servidor RADIUS. Esto romperá la autenticación. {% endhint %} Los certificados caducan de vez en cuando. Cinco meses antes de que su certificado vaya a caducar, su panel le dará una pista mostrando un símbolo de advertencia junto a él. ![Captura de pantalla que muestra la caducidad del certificado](/files/c1fa25ed698972888181d8b0fcbf0986d43d8a28) Si el triángulo se muestra junto al certificado de servidor RADIUS activo, siga esta guía para actualizarlo: {% content-ref url="/pages/963c6537e7c0ecd1a0a4fe92bb8d24de7c2badd3" %} [Renovación del certificado del servidor](/es/configuracion/renew-certificate.md) {% endcontent-ref %} ## Conexión SCEPman {% hint style="warning" %} Solo edición empresarial de SCEPman Aplicable a la versión 3.0 y superiores {% endhint %} La configuración de Conexión SCEPman está diseñada para conectar directamente su instancia de RaaS con su instancia de SCEPman. Cuando configure esta conexión, RaaS realizará la siguiente tarea: 1. Crear y activar un nuevo certificado de servidor 2. Gestionará este certificado de servidor, incluido el proceso de renovación.
#### Para establecer esta conexión, siga estos pasos: 1. Copie el token de API mostrado. 2. Navegue hasta su servicio de aplicaciones de SCEPman según [esta](https://docs.scepman.com/scepman-configuration/application-settings#convenient-configuration-in-the-app-service-configuration) guía y cree una nueva variable de entorno llamada [AppConfig:RADIUSaaSValidation:Token](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/radiusaas) usando como valor el token copiado anteriormente. 3. Aplique su configuración y reinicie su servicio de aplicaciones. 4. Introduzca la URL de su instancia de SCEPman en el campo URL de SCEPman.
5. Haga clic en **Configurar conexión**. Esta acción desactiva el certificado de servidor actual para que se pueda administrar el certificado recién creado. 6. Una vez completada la configuración, aparecerán dos botones nuevos que sustituirán a los anteriores.
1. **Rotar certificado**. Este botón rotará y activará su certificado de servidor entre las dos ranuras disponibles. *Certificado del servidor-**upload0*** y *Certificado del servidor-**upload1***. 2. **Eliminar conexión.** Este botón eliminará la conexión configurada previamente. Tenga en cuenta que esta acción no se puede deshacer. Cuando elimine la conexión, el token también se eliminará. Si desea configurar la conexión más adelante, deberá seguir los pasos anteriores. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/es/portal-de-administracion/settings/settings-server.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.