Configuración del servidor
La configuración del servidor está disponible en https://YOURNAME.radius-as-a-service.com/settings/server
Puertos y direcciones IP
Descripción general
RADIUSaaS opera un servicio RadSec para proporcionar autenticación segura basada en la nube para sus usuarios. Además, para aquellos clientes que no pueden utilizar RadSec en su entorno de red, por ejemplo, debido a limitaciones de hardware y software, RADIUSaaS proporciona proxies RADIUS, que manejan la conversión de protocolo de RADIUS a RadSec.
Tanto el servicio RadSec como el servicio RADIUS ofrecen direcciones IP públicas que permiten que sus dispositivos y servicios de red se comuniquen con nuestro servicio desde cualquier lugar a través de Internet. Estos servicios operan en sus puertos registrados únicos.
RadSec / TCP
DNS de RadSec
La entrada DNS a través de la cual se puede acceder al servicio RadSec.
Direcciones IP del servidor
Esta es la dirección IP pública del servicio RadSec.
Puertos de RadSec
Este es el puerto registrado para RadSec: 2083
Conmutación por error y redundancia
En los casos en que los clientes requieran niveles más altos de redundancia, se pueden configurar múltiples puntos de conexión RadSec para su instancia, proporcionando direcciones IP adicionales. Tenga en cuenta que hay un coste adicional por este servicio.
Es importante tener en cuenta que RADIUSaaS NO proporciona conmutación por error entre puntos de conexión RadSec. En su lugar, esta conmutación por error normalmente se implementa en su equipo de red, como se muestra en el ejemplo siguiente usando Meraki.
Se recomienda configurar su escenario de conmutación por error utilizando direcciones IP en lugar de DNS para obtener una mejor visibilidad y depender menos de un servicio adicional (DNS).
En esta configuración, las dos direcciones IP de RadSec se enumeran en orden de preferencia. Cuando Meraki no puede الوصول a una de las direcciones IP, normalmente lo intentará dos veces más y pasará a la siguiente. Para obtener más información sobre la capacidad de conmutación por error de su sistema Meraki (u otro), consulte sus propios recursos.
Configuración de RadSec
Las siguientes configuraciones controlan ciertos aspectos de la conexión RadSec a su instancia de RADIUSaaS.
Versión máxima de TLS
Esta configuración controla la versión máxima de TLS para su interfaz RadSec. La versión mínima está fijada en 1.2 y la máxima predeterminada está establecida en 1.3.
TLS 1.3 ofrece varias ventajas frente a 1.2, incluido el mecanismo de autenticación posterior al handshake, que permite solicitar credenciales adicionales antes de completar el handshake. Esto es importante para la siguiente configuración de comprobación de revocación para certificados RadSec.
Comprobación de revocación para certificados RadSec
Esta configuración determina si debe realizarse una comprobación de revocación para todas las conexiones RadSec. El método para verificar la comprobación de revocación difiere ligeramente del utilizado para los certificados de autenticación de clientes.
Para un funcionamiento adecuado de RadSec, los dispositivos de red como puntos de acceso, conmutadores y servidores VPN establecen una conexión protegida por TLS con el servidor RadSec. Las implementaciones de RadSec suelen usar TLS mutuo (mTLS), donde ambos pares se autentican entre sí usando certificados X.509 durante el handshake de TLS. La implementación de RADIUSaaS aplica mTLS.
Para determinar la validez y el estado de revocación de un certificado de cliente RadSec, el certificado debe ser presentado por el cliente como parte del proceso de autenticación TLS. Solo después de recibir el certificado pueden realizarse comprobaciones de revocación (por ejemplo, mediante CRL u OCSP).
TLS 1.2
TLS 1.2 admite autenticación TLS mutua durante el handshake inicial usando los mensajes CertificateRequest, Certificatey CertificateVerify Cuando la autenticación de cliente es obligatoria y se aplica correctamente, el certificado de cliente RadSec se presenta, valida y comprueba su revocación antes de establecer la sesión TLS y antes de intercambiar cualquier tráfico RADIUS.
Sin embargo, TLS 1.2 también permite la autenticación opcional de cliente y admite la renegociación. Como resultado, algunas implementaciones de cliente RadSec pueden completar el handshake inicial sin presentar un certificado de cliente. Este comportamiento es específico de la implementación y no una limitación del protocolo TLS 1.2.
Para mitigar el comportamiento anterior, la Comprobación de revocación para certificados RadSec configuración se desactiva cuando la versión máxima de TLS se establece en 1.2. Tenga en cuenta que puede reactivarla manualmente más adelante.
TLS 1.3
TLS 1.3 proporciona un modelo más determinista y simplificado para la autenticación TLS mutua. Cuando se solicita la autenticación de cliente, el certificado de cliente RadSec se intercambia como parte del handshake inicial y se valida antes de establecer la conexión TLS. Esto permite que el servidor RadSec verifique inmediatamente el certificado de cliente, incluido su estado de revocación, y que falle el handshake si el certificado no es válido o está revocado. Como resultado, TLS 1.3 permite una aplicación más estricta y predecible de la autenticación TLS mutua para conexiones RadSec.
El Comprobación de revocación para certificados RadSec la configuración se habilita automáticamente cuando la versión máxima de TLS se establece en 1.3.
RADIUS / UDP
Esta sección está disponible cuando ha configurado al menos un RADIUS Proxy. Para cada proxy, hay disponible una dirección IP pública separada. Las direcciones IP públicas de esta sección solo admiten el protocolo RADIUS y, por tanto, escuchan en los puertos 1812/1813.
Direcciones IP del servidor y ubicación
Estas direcciones IP solo escuchan en RADIUS a través de los puertos UDP 1812/1813.
Geolocalización del/de los RADIUS Proxy, así como de la(s) respectiva(s) dirección(es) IP pública(s).
Secretos compartidos
El secreto compartido para el RADIUS Proxy respectivo. De forma predeterminada, todos los RADIUS Proxy se inicializan con el mismo secreto compartido.
Puertos
Esta sección muestra los puertos estándar para los servicios de autenticación RADIUS (1812) y contabilidad RADIUS (1813).
Conmutación por error y redundancia
Redundancia de proxy
Tenga en cuenta que un único proxy de RADIUSaaS no proporciona redundancia. Para garantizar la redundancia, configure varios proxies de RADIUSaaS como se describe aquí.
Redundancia del servicio RadSec para proxies
Cuando se usa RADIUSaaS con varias instancias RadSec, los proxies se configuran automáticamente para conectarse a todas las instancias RadSec disponibles. Un proxy de RADIUSaaS priorizará la conexión con el servicio RadSec regional más cercano. Si ese servicio no está disponible, cambiará a otro servicio RadSec disponible.
Certificados del servidor
Customer-CA
De forma predeterminada, RADIUSaaS genera un certificado de servidor RADIUS firmado por una Autoridad de Certificación (CA) que está disponible en nuestro servicio únicamente para este propósito. Nos referimos a ella como la Customer-CA. La Customer-CA es única para cada cliente.
Para crear su Customer-CA, siga estos sencillos pasos:
Navegue a Configuración > Configuración del servidor
Haga clic en Agregar
Elija Permita que RaaS cree una CA para usted
Haga clic en Guardar
Tras la creación, verá un nuevo certificado disponible en Certificados del servidor
Use su propio certificado
En caso de que no desee usar la Customer CA, puede cargar hasta dos de sus propios certificados.
certificado de servidor emitido por SCEPman
Siga estos pasos para aprovechar SCEPman Certificate Master para generar un nuevo certificado de servidor:
Vaya al portal web de SCEPman Certificate Master.
Seleccione Solicitar certificado en la izquierda
Seleccione (Web) Server en la parte superior
Seleccione Formulario
Introduzca todos los nombres alternativos del sujeto (SAN) para los que el certificado será válido, separados por comas, puntos y coma o saltos de línea. Genere un certificado de servidor como se describe aquí e indique cualquier FQDN que desee. Recomendamos adaptar el SAN del certificado de servidor predeterminado, por ejemplo
radsec-<nombre de su instancia RADIUSaaS>.radius-as-a-service.com.Establezca el Formato del archivo de descarga en PEM
Seleccione Incluir cadena de certificados y descargue el certificado.
Envíe la solicitud para descargar el nuevo certificado de servidor.
Importante: Tome nota temporal de la contraseña, ya que no se puede recuperar de Certificate Master.
Cargue el nuevo certificado de servidor en RADIUSaaS
Para agregar el certificado de servidor creado en los pasos anteriores, vaya a instancia de RADIUSaaS > Configuración > Configuración del servidor > Agregar luego
Elija Certificado codificado en PEM o PKCS#12 (Si seleccionó PKCS#12 en el paso 5, esto contiene tanto la clave pública como la privada)
Arrastre y suelte el archivo de su certificado o haga clic para buscarlo
Introduzca la contraseña de su Clave privada
Haga clic en Guardar
Tenga en cuenta: De forma predeterminada, SCEPman Certificate Master emite certificados válidos durante 730 días. Si desea cambiar esto, consulte la documentación.
Activación del certificado
Asegúrese de supervisar la caducidad de su certificado de servidor y renovarlo a tiempo para evitar interrupciones del servicio.
Como los certificados expiran de vez en cuando o cambia su preferencia sobre qué certificados le gustaría usar, es importante que pueda controlar el certificado que está usando su servidor. La columna Activo le muestra el certificado que su servidor está usando actualmente. Para cambiar el certificado que usa su servidor, expanda la fila del certificado que desea elegir y haga clic en Activar.
Descargar
Para descargar su certificado de servidor, tiene dos opciones:
Haga clic en Descargar certificado CA en la parte superior. Esto descargará directamente la CA raíz de confianza del certificado de servidor activo actualmente.
Haga clic en el icono de descarga en la fila correspondiente.
La opción 2 abrirá un diálogo que muestra la ruta completa del certificado. El certificado raíz siempre se marcará en verde.
Para ambas opciones, el certificado raíz descargado está codificado en base64 (PEM). En caso de que su dispositivo (por ejemplo, un controlador WiFi) necesite una codificación binaria (DER), puede convertirlo usando OpenSSL:
Eliminar
Para eliminar un certificado, expanda la fila correspondiente, haga clic en Eliminar y confirme su elección.
Expiración del certificado
No permita que caduque el certificado del servidor RADIUS. Romperá la autenticación.
Los certificados caducan de vez en cuando. Cinco meses antes de que su certificado vaya a caducar, su panel le dará una pista mostrando un signo de advertencia junto a él.
Si aparece el triángulo junto al certificado de servidor RADIUS activo, siga esta guía para actualizarlo:
Renovación del certificado del servidorConexión SCEPman
Solo SCEPman Enterprise Edition
Aplicable a la versión 3.0 y superior
La configuración de Conexión SCEPman está diseñada para conectar directamente su instancia de RaaS con su instancia de SCEPman. Cuando configure esta conexión, RaaS realizará la siguiente tarea:
Crear y activar un nuevo certificado de servidor
Gestionará este certificado de servidor, incluido el proceso de renovación.
Para establecer esta conexión, siga estos pasos:
Copie el token API mostrado.
Vaya a su App Service de SCEPman según la este guía y cree una nueva variable de entorno llamada AppConfig:RADIUSaaSValidation:Token usando el token copiado anteriormente como valor.
Aplique su configuración y reinicie su App Service.
Introduzca la URL de su instancia de SCEPman en el campo URL de SCEPman.
Haga clic en Configurar conexión. Esta acción desactiva el certificado de servidor actual para que el certificado recién creado pueda ser gestionado.
Una vez completada la configuración, aparecerán dos nuevos botones que reemplazarán a los anteriores.
Rotar certificado. Este botón rotará y activará su certificado de servidor entre los dos espacios disponibles. Certificado del servidor-carga0 y Certificado del servidor-carga1.
Eliminar conexión. Este botón eliminará la conexión configurada previamente. Tenga en cuenta que esta acción no se puede deshacer. Cuando elimine la conexión, el token también se eliminará. Si desea configurar la conexión más adelante, deberá seguir nuevamente los pasos anteriores.
Última actualización
¿Te fue útil?