# Paramètres du serveur ## Adresses de ports et d’IP ### Vue d’ensemble RADIUSaaS exploite un service RadSec afin de fournir une authentification cloud sécurisée à ses utilisateurs. En outre, pour les clients qui ne peuvent pas utiliser RadSec dans leur environnement réseau, par exemple en raison de limitations matérielles et logicielles, RADIUSaaS fournit des proxys RADIUS qui assurent la conversion du protocole de RADIUS vers RadSec. Les services RadSec et RADIUS fournissent tous deux une adresse IP publique permettant à vos équipements et services réseau de communiquer avec notre service depuis n’importe où via Internet. Ces services fonctionnent sur leurs ports enregistrés uniques. ## RadSec / TCP

#### **DNS RadSec** L’entrée DNS par laquelle le service RadSec peut être atteint. #### **Adresses IP du serveur** Voici l’adresse IP publique du service RadSec. #### **Ports RadSec** Voici le port enregistré pour RadSec : 2083 ### Basculement et redondance Dans les cas où les clients ont besoin de niveaux de redondance plus élevés, plusieurs points de terminaison RadSec peuvent être configurés pour votre instance, fournissant des adresses IP supplémentaires. Veuillez noter que ce service entraîne un coût supplémentaire.

Affichage de deux adresses IP publiques, une pour chacun des services RadSec.

{% hint style="info" %} Il est important de noter que RADIUSaaS **ne fournit PAS de basculement** entre les points de terminaison RadSec. À la place, ce basculement est généralement mis en œuvre sur votre équipement réseau, comme montré dans l’exemple ci-dessous utilisant Meraki. Il est recommandé de configurer votre scénario de basculement à l’aide d’adresses IP plutôt que du DNS, pour une meilleure visibilité et une moindre dépendance à un service supplémentaire (DNS). {% endhint %} Dans cette configuration, les deux adresses IP RadSec sont listées par ordre de préférence. Lorsque Meraki ne parvient pas à atteindre l’une des adresses IP, il essaie généralement encore deux fois puis passe à la suivante. Pour plus d’informations concernant la capacité de basculement de votre système Meraki (ou autre), veuillez consulter vos propres ressources.

Affichage de plusieurs serveurs RadSec par ordre de priorité (Meraki).

## Paramètres RadSec {% hint style="info" %} Les paramètres suivants contrôlent certains aspects de la connexion RadSec à votre instance RADIUSaaS. {% endhint %} ### Version TLS maximale Ce paramètre contrôle la version TLS maximale pour votre interface RadSec. La version minimale est fixée à 1.2, la version maximale par défaut est définie sur 1.3. TLS 1.3 offre plusieurs avantages par rapport à 1.2, notamment le mécanisme d’authentification après handshake, qui permet de demander des informations d’identification supplémentaires avant de terminer le handshake. Ceci est important pour le paramètre de vérification des certificats RadSec discuté ensuite. ### Vérification de révocation des certificats RadSec {% hint style="info" %} Ce paramètre détermine si une vérification de révocation doit être effectuée pour toutes les connexions RadSec. La méthode de vérification de la révocation diffère légèrement de celle utilisée pour les certificats d’authentification client. {% endhint %} Pour un fonctionnement correct de RadSec, les équipements réseau tels que les points d’accès, les commutateurs et les serveurs VPN établissent une connexion protégée par TLS avec le serveur RadSec. Les déploiements RadSec utilisent généralement le TLS mutuel (mTLS), où les deux pairs s’authentifient mutuellement à l’aide de certificats X.509 pendant le handshake TLS. L’implémentation de RADIUSaaS impose le mTLS. Pour déterminer la validité et l’état de révocation d’un certificat client RadSec, le certificat doit être présenté par le client dans le cadre du processus d’authentification TLS. Ce n’est qu’une fois le certificat reçu que les vérifications de révocation (par exemple via CRL ou OCSP) peuvent être effectuées. #### **TLS 1.2** TLS 1.2 prend en charge l’authentification TLS mutuelle lors du handshake initial à l’aide des messages `CertificateRequest`, `Certificate`et `CertificateVerify` . Lorsque l’authentification client est requise et correctement appliquée, le certificat client RadSec est présenté, validé et vérifié pour sa révocation avant l’établissement de la session TLS et avant tout échange de trafic RADIUS. \ Cependant, TLS 1.2 autorise également l’authentification client facultative et prend en charge la renégociation. Par conséquent, certaines implémentations client RadSec peuvent terminer le handshake initial sans présenter de certificat client. Ce comportement est spécifique à l’implémentation et non une limitation du protocole TLS 1.2. {% hint style="info" %} Pour atténuer le comportement ci-dessus, le **Vérification de révocation des certificats RadSec** paramètre est désactivé lorsque la version TLS maximale est définie sur 1.2. Veuillez noter que vous pouvez le réactiver manuellement plus tard. {% endhint %} #### **TLS 1.3** TLS 1.3 fournit un modèle plus déterministe et plus fluide pour l’authentification TLS mutuelle. Lorsque l’authentification client est demandée, le certificat client RadSec est échangé dans le cadre du handshake initial et validé avant l’établissement de la connexion TLS.\ Cela permet au serveur RadSec de vérifier immédiatement le certificat client, y compris son état de révocation, et d’échouer le handshake si le certificat est invalide ou révoqué. Par conséquent, TLS 1.3 permet une application plus stricte et plus prévisible de l’authentification TLS mutuelle pour les connexions RadSec. {% hint style="info" %} Le **Vérification de révocation des certificats RadSec** paramètre est automatiquement activé lorsque la version TLS maximale est définie sur 1.3. {% endhint %}

## RADIUS / UDP Cette section est disponible lorsque vous avez configuré au moins un [proxy RADIUS](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-proxy). Pour chaque proxy, une adresse IP publique distincte est disponible. Les adresses IP publiques de cette section prennent en charge uniquement le protocole RADIUS et écoutent donc sur les ports 1812/1813.

### **Adresses IP du serveur et emplacement** {% hint style="warning" %} Ces adresses IP écoutent uniquement [RADIUS](https://docs.radiusaas.com/fr/details#what-is-radius) sur les ports UDP 1812/1813. {% endhint %} Géolocalisation du ou des proxys RADIUS ainsi que de la ou des adresses IP publiques correspondantes. ### **Secrets partagés** Le secret partagé pour le proxy RADIUS correspondant. Par défaut, tous les proxys RADIUS sont initialisés avec le même secret partagé.

Affichage de la modification des secrets partagés par proxy

### **Ports** Cette section affiche les ports standard pour les services d’authentification RADIUS (1812) et de comptabilisation RADIUS (1813). ### **Basculement et redondance** #### Redondance des proxys Notez qu’un seul proxy RADIUSaaS ne fournit pas de redondance. Pour garantir la redondance, configurez plusieurs proxys RADIUSaaS comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings-proxy#load-balancing). #### Redondance du service RadSec pour les proxys Lors de l’utilisation de RADIUSaaS avec plusieurs instances RadSec, les proxys sont automatiquement configurés pour se connecter à toutes les instances RadSec disponibles. Un proxy RADIUSaaS donnera la priorité à la connexion au service RadSec régional le plus proche. Si ce service n’est pas disponible, il basculera vers un autre service RadSec disponible. ## Certificats du serveur ### Customer-CA Par défaut, RADIUSaaS génère un **certificat de serveur RADIUS** signé par une autorité de certification (CA) disponible sur notre service uniquement à cette fin. Nous l’appelons le **Customer-CA**. La Customer-CA est unique pour chaque client. Pour créer votre Customer-CA, suivez ces étapes simples : 1. Accédez à **Paramètres** > **Paramètres du serveur** 2. Cliquez sur **Ajouter** 3. Choisissez **Laissez RaaS créer une CA pour vous** 4. Cliquez sur **Enregistrer** 5. Après la création, vous verrez un nouveau certificat disponible sous Certificats du serveur

### Utiliser votre propre certificat Dans le cas où vous ne souhaitez pas utiliser le **Customer CA**, vous pouvez téléverser jusqu’à deux de vos propres certificats. #### Certificat de serveur émis par SCEPman Veuillez suivre ces étapes pour utiliser SCEPman Certificate Master afin de générer un nouveau certificat de serveur : 1. Accédez au portail web de SCEPman Certificate Master. 2. Sélectionnez Request Certificate à gauche 3. Sélectionnez **(Web) Server** en haut 4. Sélectionnez **Formulaire** 5. Saisissez tous les Subject Alternative Names (SAN) pour lesquels le certificat doit être valide, séparés par des virgules, des points-virgules ou des sauts de ligne. Générez un certificat de serveur comme décrit [ici](https://docs.scepman.com/certificate-deployment/certificate-master/tls-server-certificate-pkcs-12) et fournissez n’importe quel FQDN souhaité. Nous recommandons d’adapter le SAN du certificat de serveur par défaut, par exemple `radsec-.radius-as-a-service.com`. 6. Définissez le **Format du fichier de téléchargement** sur **PEM** 7. Sélectionnez **Inclure la chaîne de certificats** et téléchargez le certificat. 8. **Soumettez** la demande pour télécharger le nouveau certificat de serveur. {% hint style="warning" %} **Important**: Prenez temporairement note du mot de passe, car il ne peut pas être récupéré depuis Certificate Master. {% endhint %}

### Téléchargez le nouveau certificat de serveur vers **RADIUSaaS** Pour ajouter le certificat de serveur créé aux étapes ci-dessus, accédez à **instance RADIUSaaS** > **Paramètres** > **Paramètres du serveur** > **Ajouter** puis 8. Choisissez **Certificat encodé PEM ou PKCS#12** (Si vous avez sélectionné PKCS#12 à l’étape 5, cela contient à la fois la clé publique et la clé privée) 9. Glissez-déposez votre fichier de certificat ou cliquez pour le parcourir 10. Saisissez le mot de passe de votre **clé privée** 11. Cliquez sur **Enregistrer**

{% hint style="info" %} Veuillez noter : par défaut, SCEPman Certificate Master émet des certificats valables 730 jours. Si vous souhaitez modifier cela, veuillez consulter la [documentation](https://docs.scepman.com/advanced-configuration/application-settings/certificates#appconfig-validityperioddays). {% endhint %} ### Activation du certificat {% hint style="warning" %} Veillez à surveiller l’expiration de votre certificat de serveur et à le renouveler en temps voulu afin d’éviter toute interruption de service. {% endhint %} Comme les certificats expirent de temps à autre ou que votre préférence concernant les certificats à utiliser peut changer, il est important de pouvoir contrôler le certificat utilisé par votre serveur. La colonne **Actif** vous indique le certificat actuellement utilisé par votre serveur. Pour changer le certificat utilisé, développez la ligne du certificat que vous souhaitez choisir et cliquez sur **Activer**. ### Télécharger Pour télécharger votre **certificat de serveur,** vous avez deux options : 1. Cliquez sur **Télécharger le certificat CA** en haut. Cela téléchargera directement la **racine CA de confiance** du certificat de serveur **actif** actuellement. 2. Cliquez sur l’icône de **téléchargement** dans la ligne correspondante.

**L’option 2** ouvrira une boîte de dialogue affichant le chemin complet du certificat. Le **certificat racine** sera toujours marqué en vert.

Pour les deux options, le certificat racine téléchargé est encodé en base64 (PEM). Si votre appareil (par exemple un contrôleur WiFi) nécessite un encodage binaire (DER), vous pouvez le convertir à l’aide de [OpenSSL](https://openssl.org/): ```sh openssl x509 -inform pem -in -outform der -out ``` ### Supprimer Pour supprimer un certificat, développez la ligne correspondante, cliquez sur **Supprimer** et confirmez votre choix. ### Expiration du certificat {% hint style="danger" %} Ne laissez pas expirer le certificat du serveur RADIUS. Cela rompra l’authentification. {% endhint %} Les certificats expirent de temps à autre. Cinq mois avant l’expiration de votre certificat, votre tableau de bord vous donnera un indice en affichant un symbole d’avertissement à côté de celui-ci. ![Capture d’écran montrant l’expiration du certificat](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/vyZwJeKE1HD6XpnxGymy/image.png) Si le triangle est affiché à côté du certificat actif du serveur RADIUS, suivez ce guide pour le mettre à jour : {% content-ref url="../../configuration/renew-certificate" %} [renew-certificate](https://docs.radiusaas.com/fr/configuration/renew-certificate) {% endcontent-ref %} ## Connexion SCEPman {% hint style="warning" %} Uniquement SCEPman Enterprise Edition Applicable à la version 3.0 et supérieure {% endhint %} Le paramètre de connexion SCEPman est conçu pour connecter directement votre instance RaaS à votre instance SCEPman. Lorsque vous configurez cette connexion, RaaS effectuera la tâche suivante : 1. Créer et activer un nouveau certificat de serveur 2. Il gérera ce certificat de serveur, y compris le processus de renouvellement.

#### Pour établir cette connexion, suivez ces étapes : 1. Copiez le jeton API affiché. 2. Accédez à votre App Service SCEPman conformément au [ceci](https://docs.scepman.com/scepman-configuration/application-settings#convenient-configuration-in-the-app-service-configuration) guide et créez une nouvelle variable d’environnement appelée [AppConfig:RADIUSaaSValidation:Token](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/radiusaas) en utilisant le jeton précédemment copié comme valeur. 3. Appliquez vos paramètres et redémarrez votre App Service. 4. Saisissez l’URL de votre instance SCEPman dans le champ URL SCEPman.

5. Cliquez sur **Configurer la connexion**. Cette action désactive le certificat de serveur actuel afin que le nouveau certificat créé puisse être géré. 6. Une fois la configuration terminée, deux nouveaux boutons apparaîtront et remplaceront les précédents.

1. **Faire pivoter le certificat**. Ce bouton fera pivoter et activera votre certificat de serveur entre les deux emplacements disponibles. *Certificatsur-**upload0*** et *Certificatsur-**upload1***. 2. **Supprimer la connexion.** Ce bouton supprimera la connexion que vous avez précédemment configurée. Veuillez noter que cette action est irréversible. Lorsque vous supprimez la connexion, le jeton sera également supprimé. Si vous souhaitez configurer la connexion ultérieurement, vous devrez recommencer les étapes ci-dessus. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.