# RadSec

<figure><img src="/files/3eff2383529e56c8a5c9e1ad67f8628e7338759e" alt=""><figcaption><p>Affichage du tunnel externe TLS et des certificats requis</p></figcaption></figure>

Avant que vos points d’accès puissent établir un **connexion RadSec** valide (qui peut être considéré comme une connexion mTLS), les exigences suivantes doivent être remplies, quel que soit le fabricant du point d’accès.

* Les points d’accès nécessitent un **certificat client** valide (généralement appelé « certificat client RadSec » ou « certificat RadSec »). Ce certificat client doit avoir l’ **EKU Authentification du client** (1.3.6.1.5.5.7.3.2) et **pas Authentification du serveur**.
* Les points d’accès doivent **faire confiance à l’AC** qui a émis le **certificat de serveur RADIUS**.
* RADIUSaaS doit **faire confiance à l’AC** qui a émis le **certificat client RadSec** sur vos points d’accès.

{% hint style="info" %}
Le protocole RadSec nécessite un secret partagé pour calculer les contrôles d’intégrité MD5.\
Le [RFC RadSec](https://datatracker.ietf.org/doc/html/rfc6614#:~:text=to%20implement\).%0A%0A%20%20%204.-,start,-exchanging%20RADIUS%20datagrams) définit ce secret partagé comme la chaîne littérale « radsec ».&#x20;
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/fr/configuration/access-point-setup/radsec-available.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.