Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.
Ctrlk

Configuración del servidor

La configuración del servidor está disponible en https://YOURNAME.radius-as-a-service.com/settings/server

Puertos y direcciones IP

Resumen

RADIUSaaS opera un servicio RadSec para proporcionar autenticación segura basada en la nube para sus usuarios. Además, para aquellos clientes que no puedan utilizar RadSec en su entorno de red, por ejemplo, debido a limitaciones de hardware y software, RADIUSaaS ofrece proxies RADIUS, que gestionan la conversión de protocolo de RADIUS a RadSec.

Tanto el servicio RadSec como el servicio RADIUS ofrecen una dirección IP pública que permite que sus dispositivos y servicios de red se comuniquen con nuestro servicio desde cualquier lugar a través de Internet. Estos servicios operan en sus puertos registrados únicos.

RadSec / TCP

Mostrando IP y puerto de RadSec

DNS de RadSec

La entrada DNS a través de la cual se puede acceder al servicio RadSec.

Direcciones IP del servidor

Esta es la dirección IP pública del servicio RadSec.

Puertos de RadSec

Este es el puerto registrado para RadSec: 2083

Conmutación por error y redundancia

En los casos en que los clientes requieran mayores niveles de redundancia, se pueden configurar varios puntos de conexión RadSec para su instancia, proporcionando direcciones IP adicionales. Tenga en cuenta que este servicio tiene un coste adicional.

Mostrando dos direcciones IP públicas, una para cada uno de los servicios RadSec.

Es importante señalar que RADIUSaaS NO proporciona conmutación por error entre puntos de conexión RadSec. En su lugar, esta conmutación por error normalmente se implementa en su equipo de red, como se muestra en el ejemplo siguiente usando Meraki.

Se recomienda configurar su escenario de conmutación por error utilizando direcciones IP en lugar de DNS para tener mejor visibilidad y depender menos de un servicio adicional (DNS).

En esta configuración, las dos direcciones IP de RadSec se enumeran por orden de preferencia. Cuando Meraki no puede الوصول a una de las direcciones IP, normalmente lo intentará dos veces más y pasará a la siguiente. Para obtener más información sobre la capacidad de conmutación por error de su sistema Meraki (u otro), consulte sus propios recursos.

Mostrando varios servidores RadSec por orden de prioridad (Meraki).

Configuración de RadSec

Las siguientes opciones controlan ciertos aspectos de la conexión RadSec a su instancia de RADIUSaaS.

Versión máxima de TLS

Esta opción controla la versión máxima de TLS para su interfaz RadSec. La versión mínima está fijada en 1.2 y el máximo predeterminado está establecido en 1.3.

TLS 1.3 ofrece varias ventajas sobre 1.2, incluido el mecanismo de autenticación posterior al intercambio de mensajes, que permite solicitar credenciales adicionales antes de completar el intercambio. Esto es importante para la configuración de comprobación de revocación de certificados RadSec que se comenta a continuación.

Comprobación de revocación de certificados RadSec

Esta opción determina si debe realizarse una comprobación de revocación para todas las conexiones RadSec. El método para verificar la comprobación de revocación difiere ligeramente del utilizado para los certificados de autenticación de cliente.

Para que RadSec funcione correctamente, los dispositivos de red como puntos de acceso, conmutadores y servidores VPN establecen una conexión protegida por TLS con el servidor RadSec. Las implementaciones de RadSec suelen usar TLS mutuo (mTLS), en el que ambos pares se autentican entre sí mediante certificados X.509 durante el intercambio TLS. La implementación de RADIUSaaS aplica mTLS.

Para determinar la validez y el estado de revocación de un certificado de cliente RadSec, el cliente debe presentar el certificado como parte del proceso de autenticación TLS. Solo después de recibir el certificado pueden realizarse las comprobaciones de revocación (por ejemplo, mediante CRL u OCSP).

TLS 1.2

TLS 1.2 admite autenticación TLS mutua durante el intercambio inicial utilizando los mensajes CertificateRequest, Certificate, y CertificateVerify . Cuando la autenticación de cliente es necesaria y se aplica correctamente, el certificado de cliente RadSec se presenta, valida y comprueba su revocación antes de que se establezca la sesión TLS y antes de que se intercambie cualquier tráfico RADIUS.

Sin embargo, TLS 1.2 también permite la autenticación opcional del cliente y admite la renegociación. Como resultado, algunas implementaciones de cliente RadSec pueden completar el intercambio inicial sin presentar un certificado de cliente. Este comportamiento es específico de la implementación y no una limitación del protocolo TLS 1.2.

Para mitigar el comportamiento anterior, la Comprobación de revocación de certificados RadSec opción se desactiva cuando la versión máxima de TLS se establece en 1.2. Tenga en cuenta que puede reactivarla manualmente más adelante.

TLS 1.3

TLS 1.3 ofrece un modelo más determinista y simplificado para la autenticación TLS mutua. Cuando se solicita autenticación de cliente, el certificado de cliente RadSec se intercambia como parte del intercambio inicial y se valida antes de que se establezca la conexión TLS. Esto permite al servidor RadSec verificar inmediatamente el certificado del cliente, incluido su estado de revocación, y fallar el intercambio si el certificado es inválido o ha sido revocado. Como resultado, TLS 1.3 permite una aplicación más estricta y predecible de la autenticación TLS mutua para las conexiones RadSec.

La Comprobación de revocación de certificados RadSec opción se activa automáticamente cuando la versión máxima de TLS se establece en 1.3.

RADIUS / UDP

Esta sección está disponible cuando ha configurado al menos un RADIUS Proxy. Para cada proxy, hay disponible una dirección IP pública independiente. Las direcciones IP públicas de esta sección solo admiten el protocolo RADIUS y, por tanto, escuchan en los puertos 1812/1813.

Direcciones IP del servidor y ubicación

Estas direcciones IP solo escuchan en RADIUS a través de los puertos UDP 1812/1813.

Geolocalización del/los proxy(s) RADIUS, así como de la(s) respectiva(s) dirección(es) IP pública(s).

Secretos compartidos

El secreto compartido para el respectivo proxy RADIUS. De forma predeterminada, todos los proxies RADIUS se inicializan con el mismo secreto compartido.

Mostrando el cambio de secretos compartidos por proxy

Puertos

Esta sección muestra los puertos estándar para los servicios de autenticación RADIUS (1812) y contabilidad RADIUS (1813).

Conmutación por error y redundancia

Redundancia de proxy

Tenga en cuenta que un único proxy de RADIUSaaS no proporciona redundancia. Para garantizar la redundancia, configure varios proxies de RADIUSaaS como se describe aquí.

Redundancia del servicio RadSec para proxies

Al usar RADIUSaaS con varias instancias RadSec, los proxies se configuran automáticamente para conectarse a todas las instancias RadSec disponibles. Un proxy de RADIUSaaS priorizará la conexión con el servicio RadSec regional más cercano. Si ese servicio no está disponible, cambiará a otro servicio RadSec disponible.

Certificados del servidor

CA del cliente

De forma predeterminada, RADIUSaaS genera un Certificado de servidor RADIUS firmado por una Autoridad de Certificación (CA) que está disponible en nuestro servicio únicamente para este propósito. Nos referimos a ella como la CA del cliente. La CA del cliente es única para cada cliente.

Para crear su CA del cliente, siga estos sencillos pasos:

  1. Navegue hasta Configuración > Configuración del servidor

  2. Haga clic en Agregar

  3. Elija Permitir que RaaS cree una CA para usted

  4. Haga clic en Guardar

  5. Después de la creación, verá un nuevo certificado disponible en Certificados del servidor

Use su propio certificado

En caso de que no quiera usar la CA del cliente, puede cargar hasta dos de sus propios certificados.

Certificado de servidor emitido por SCEPman

Siga estos pasos para aprovechar SCEPman Certificate Master para generar un nuevo certificado de servidor:

  1. Navegue hasta el portal web de SCEPman Certificate Master.

  2. Seleccione Solicitar certificado a la izquierda

  3. Seleccione (Web) Server en la parte superior

  4. Seleccione Formulario

  5. Introduzca todos los nombres alternativos del sujeto (SAN) para los que el certificado debe ser válido, separados por comas, punto y coma o saltos de línea. Genere un certificado de servidor como se describe aquí y proporcione cualquier FQDN que desee. Recomendamos adaptar el SAN del certificado de servidor predeterminado, por ejemplo radsec-<your RADIUSaaS instance name>.radius-as-a-service.com.

  6. Establezca el Formato de archivo de descarga en PEM

  7. Seleccione Incluir cadena de certificados y descargue el certificado.

  8. Asegúrese de incluir tanto la autenticación de servidor como la de cliente para el EKU.

  9. Envíe la solicitud para descargar el nuevo certificado de servidor.

Importante: Tome nota temporal de la contraseña, ya que no se puede recuperar de Certificate Master.

Cargue el nuevo certificado de servidor en RADIUSaaS

Para agregar su certificado de servidor creado en los pasos anteriores, navegue hasta instancia de RADIUSaaS > Configuración > Configuración del servidor > Agregar, luego

  1. Elija Certificado codificado en PEM o PKCS#12 (Si seleccionó PKCS#12 en el paso 5, este contiene tanto la clave pública como la privada)

  2. Arrastre y suelte su archivo de certificado o haga clic para buscarlo

  3. Introduzca la contraseña de su Clave privada

  4. Haga clic en Guardar

Tenga en cuenta: De forma predeterminada, SCEPman Certificate Master emite certificados válidos durante 730 días. Si desea cambiar esto, consulte la documentación de SCEPman.

Activación del certificado

Asegúrese de supervisar la caducidad de su certificado de servidor y renovarlo a tiempo para evitar interrupciones del servicio.

Dado que los certificados caducan de vez en cuando o cambian sus preferencias sobre qué certificados desea utilizar, es importante que pueda controlar el certificado que está utilizando su servidor. La columna Activo le muestra el certificado que su servidor está utilizando actualmente. Para cambiar el certificado que usa su servidor, expanda la fila del certificado que desea elegir y haga clic en Activar.

Descargar

Para descargar su Certificado de servidor, tiene dos opciones:

  1. Haga clic en Descargar certificado CA en la parte superior. Esto descargará directamente la CA raíz de confianza del certificado de servidor activo actualmente.

  2. Haga clic en el icono de descarga en la fila correspondiente.

La opción 2 abrirá un cuadro de diálogo que muestra la ruta completa del certificado. El certificado raíz siempre estará marcado en verde.

Mostrando el certificado raíz en verde

Para ambas opciones, el certificado raíz descargado está codificado en base64 (PEM). En caso de que su dispositivo (por ejemplo, un controlador WiFi) necesite una codificación binaria (DER), puede convertirla usando OpenSSL:

Eliminar

Para eliminar un certificado, expanda la fila correspondiente, haga clic en Eliminar y confirme su elección.

Caducidad del certificado

No permita que caduque el certificado del servidor RADIUS. Esto romperá la autenticación.

Los certificados caducan de vez en cuando. Cinco meses antes de que su certificado vaya a caducar, su panel le dará una pista mostrando un símbolo de advertencia junto a él.

Captura de pantalla que muestra la caducidad del certificado

Si el triángulo se muestra junto al certificado de servidor RADIUS activo, siga esta guía para actualizarlo:

Renovación del certificado del servidor

Conexión SCEPman

Solo edición empresarial de SCEPman

Aplicable a la versión 3.0 y superiores

La configuración de Conexión SCEPman está diseñada para conectar directamente su instancia de RaaS con su instancia de SCEPman. Cuando configure esta conexión, RaaS realizará la siguiente tarea:

  1. Crear y activar un nuevo certificado de servidor

  2. Gestionará este certificado de servidor, incluido el proceso de renovación.

Para establecer esta conexión, siga estos pasos:

  1. Copie el token de API mostrado.

  2. Navegue hasta su servicio de aplicaciones de SCEPman según esta guía y cree una nueva variable de entorno llamada AppConfig:RADIUSaaSValidation:Token usando como valor el token copiado anteriormente.

  3. Aplique su configuración y reinicie su servicio de aplicaciones.

  4. Introduzca la URL de su instancia de SCEPman en el campo URL de SCEPman.

  1. Haga clic en Configurar conexión. Esta acción desactiva el certificado de servidor actual para que se pueda administrar el certificado recién creado.

  2. Una vez completada la configuración, aparecerán dos botones nuevos que sustituirán a los anteriores.

  1. Rotar certificado. Este botón rotará y activará su certificado de servidor entre las dos ranuras disponibles. Certificado del servidor-upload0 y Certificado del servidor-upload1.

  2. Eliminar conexión. Este botón eliminará la conexión configurada previamente. Tenga en cuenta que esta acción no se puede deshacer. Cuando elimine la conexión, el token también se eliminará. Si desea configurar la conexión más adelante, deberá seguir los pasos anteriores.

Última actualización

¿Te fue útil?