# Ruckus

{% hint style="info" %}
Le guide suivant a été créé à l’aide de Ruckus **Virtual SmartZone Essentials** version **6.1.2.0.441**.
{% endhint %}

## Préparer les certificats

Pour établir une connexion RadSec valide, vos points d’accès doivent faire confiance au **certificat de serveur RADIUS** et votre serveur RADIUS doit faire confiance à votre **certificat client RadSec**. Pour y parvenir,

1. Téléchargez le certificat racine de l’AC qui a émis votre **certificat de serveur RADIUS** comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#download).
2. Créez un **certificat client RadSec** pour votre Ruckus SmartZone. Si vous utilisez **SCEPman Certificate Master**, le processus est décrit [ici](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). 
3. **Scindez le certificat généré** en la clé privée (nommée « priv.key » dans cet exemple) et le certificat (nommé « clientcert.cer »). Si le **certificat client RadSec** a été téléchargé au **format PKCS#12/.pfx** , cela peut être facilement fait, par exemple à l’aide d’OpenSSL :\
   \
   Clé privée :\
   `openssl pkcs12 -in <your-radsec-client-cert>.pfx -nocerts -nodes -out priv.key`\
   \
   Certificat sans clé privée :\
   `openssl pkcs12 -in <your-radsec-client-cert>.pfx -clcerts -nokeys -out clientcert.cer`&#x20;

Selon la version du firmware Ruckus, il peut être nécessaire de supprimer la section des attributs de sac de vos fichiers de certificat et de clé privée. Cette section ressemble à l’exemple suivant :

```
Attributs
    localKeyID: 52 70 EB 96 89 23 90 F9 D5 0E 06 82 5C EC F7 63 30 44 F1 A9 
    friendlyName: Certificate from SCEPman
Attributs de clé : <Aucun attribut>
```

{% hint style="warning" %}
Veillez à surveiller l’expiration de votre **certificat client RadSec** et à le renouveler à temps afin d’éviter toute interruption de service.
{% endhint %}

3. Ajoutez le certificat racine de l’AC qui a émis le **certificat client RadSec** à votre instance RADIUS comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots#add) et sélectionnez **RadSec** sous **Utiliser pour**. \
   Si le **certificat client RadSec** a été émis par SCEPman et que vous faites déjà confiance à l’AC racine SCEPman pour l’authentification des clients, modifiez simplement le certificat AC racine SCEPman approuvé et sélectionnez **Les deux** sous **Utiliser pour**.&#x20;

## Configuration de Ruckus SmartZone (SZ)

{% hint style="info" %}
Dans ce qui suit, Ruckus SZ est configuré comme un **proxy d’authentification**, c’est-à-dire que les requêtes d’authentification RADIUS sont acheminées des WAP vers Ruckus SZ et transmises de manière centralisée à RADIUSaaS.
{% endhint %}

Pour des informations générales sur la manière d’importer des certificats dans Ruckus SmartZone, veuillez consulter leur documentation :

{% embed url="<https://docs.commscope.com/bundle/sz-700-controlleradminguide-sz300sz144vsz/page/GUID-5EA43C47-3B01-4908-B5B6-0961CF283504.html>" %}

1. Importez le certificat racine de l’AC qui a émis votre **certificat de serveur RADIUS** (téléchargé lors de l’étape 1 [ici](#prepare-certificates)) en naviguant vers **Administration >** **Système > Certificats > Certificats/Chaîne des AC approuvées par SZ (externe)**.
2. Cliquez sur **Importer**, fournissez un **Nom** et éventuellement un **Description** pour votre certificat d’AC RADIUS et téléversez le fichier du certificat en cliquant sur **Parcourir** à côté de **Certificat de l’AC racine**. Si vous apportez votre propre **certificat de serveur RADIUS** et s’il a été émis par une AC intermédiaire, veuillez également téléverser tous les certificats intermédiaires sous **Certificats d’AC intermédiaires**.<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FAZCF72Q5flkuuziNfqO1%2FScreenshot_2024-08-21_at_12_54_18.jpg?alt=media&#x26;token=8b235815-5598-4aa0-92d3-1aac31b68810" alt="" width="375"><figcaption></figcaption></figure>
3. Ensuite, cliquez sur **Valider** et **OK**.
4. Importez votre **certificat client RadSec** (obtenu à l’étape 3 [ici](#prepare-certificates)) en naviguant vers **Administration >** **Système > Certificats > SZ en tant que certificat client**.
5. Cliquez sur **Importer** et fournissez un **Nom** et éventuellement un **Description** pour votre **certificat client RadSec**. Téléversez ensuite la partie publique de votre **certificat client RadSec** en cliquant sur **Parcourir** à côté de **Client Certificate**. Enfin, téléversez la clé privée en cliquant sur **Parcourir** à côté de **clé privée**.<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FUpPaaObb5SSDUhQnqoQM%2FScreenshot_2024-08-21_at_13_10_30.jpg?alt=media&#x26;token=6c1869ef-6304-4f2d-9d17-e15d7a7e068b" alt=""><figcaption></figcaption></figure>
6. Pour la configuration du serveur RADIUS, accédez à **Sécurité > Authentification > Proxy (SZ Authenticator)**.
7. Cliquez sur **Créer** et fournissez un **Nom**, facultatif **Nom convivial** et **Description** pour le profil RADIUS.
8. Sélectionnez **RADIUS** comme **Protocole de service**.
9. Sous **Options du service RADIUS**, configurez les paramètres suivants :

| **Chiffrement**                                  | Activer                                                                                                                                                                                                                                                                                                                                                                                                        |
| ------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Identité CN/SAN**                              | <p>Fournissez l’attribut CN/SAN de votre <strong>certificat de serveur RADIUS</strong>. </p><p><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FdCLBHFKCJZj1uZdxaCgS%2Fimage.png?alt=media&#x26;token=be2354b0-4b68-47f5-8820-37d84231a9ee" alt="Showing SAN to be used as Certificate server name" data-size="original"></p> |
| **Validation OCSP**                              | <p>Par défaut : désactivé<br>Si vous apportez votre propre <strong>certificat de serveur RADIUS</strong> et que l’AC qui l’a émis autorise sa révocation, fournissez ici l’URL du répondeur OCSP de votre AC.</p>                                                                                                                                                                                              |
| **Client Certificate**                           | Sélectionnez le **certificat client RadSec** téléversé précédemment dans Ruckus SZ.                                                                                                                                                                                                                                                                                                                            |
| **Certificat du serveur**                        | Désactiver                                                                                                                                                                                                                                                                                                                                                                                                     |
| **Livraison de localisation hors bande RFC5580** | Désactiver                                                                                                                                                                                                                                                                                                                                                                                                     |

10. Ensuite, sous **Serveur principal**, pour le **Adresse IP/FQDN** choisissez soit l’adresse IP soit le nom DNS de votre [point de terminaison du service RadSec](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#properties). Pour le **Port** sélectionnez **2083**. <br>

    <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F2Sy3yfp75uRGxmdtUD6n%2FScreenshot_2024-08-21_at_13_29_21.jpg?alt=media&#x26;token=352eba23-1727-48bf-8917-86af18318c99" alt=""><figcaption></figcaption></figure>
11. Cliquez sur **OK**.