Paramètres du serveur
Les paramètres du serveur sont disponibles à l'adresse https://YOURNAME.radius-as-a-service.com/settings/server
Ports et adresses IP
Aperçu
RADIUSaaS exploite un service RadSec pour fournir une authentification cloud sécurisée à ses utilisateurs. De plus, pour les clients qui ne peuvent pas utiliser RadSec dans leur environnement réseau, par exemple en raison de limitations matérielles ou logicielles, RADIUSaaS propose des proxies RADIUS qui gèrent la conversion de protocole de RADIUS vers RadSec.
Les services RadSec et RADIUS offrent une adresse IP publique permettant à vos appareils et services réseau de communiquer avec notre service depuis n'importe où via Internet. Ces services fonctionnent sur leurs ports enregistrés uniques.
RadSec / TCP
DNS RadSec
L'entrée DNS via laquelle le service RadSec est accessible.
Adresses IP du serveur
Ceci est l'adresse IP publique du service RadSec.
Ports RadSec
Ceci est le port enregistré pour RadSec : 2083
Basculement et redondance
Dans les cas où les clients exigent des niveaux de redondance plus élevés, plusieurs points de terminaison RadSec peuvent être configurés pour votre instance en fournissant des adresses IP supplémentaires. Veuillez noter qu'un coût supplémentaire s'applique pour ce service.
Il est important de noter que RADIUSaaS ne fournit PAS de basculement entre les points de terminaison RadSec. Au lieu de cela, ce basculement est généralement implémenté sur votre équipement réseau comme montré dans l'exemple ci-dessous utilisant Meraki.
Il est recommandé de configurer votre scénario de basculement en utilisant des adresses IP plutôt que le DNS pour une meilleure visibilité et une moindre dépendance à un service additionnel (DNS).
Dans cette configuration, les deux adresses IP RadSec sont listées par ordre de préférence. Lorsqu'un appareil Meraki est incapable d'atteindre l'une des adresses IP, il réessaiera généralement deux fois puis passera à la suivante. Pour plus d'informations concernant la capacité de basculement de votre système Meraki (ou autre), veuillez consulter vos propres ressources.
Paramètres RadSec
Les paramètres suivants contrôlent certains aspects de la connexion RadSec à votre instance RADIUSaaS.
Version TLS maximale
Ce paramètre contrôle la version TLS maximale pour votre interface RadSec. La version minimale est fixée à 1.2, la valeur maximale par défaut est définie à 1.3.
TLS 1.3 offre plusieurs avantages par rapport à 1.2, y compris le mécanisme d'authentification post-handshake, qui permet de demander des informations d'identification supplémentaires avant de compléter la poignée de main. Cela est important pour les vérifications des certificats RadSec évoquées ci-après.
Vérification de révocation des certificats RadSec
Ce paramètre détermine si une vérification de révocation doit être effectuée pour toutes les connexions RadSec. La méthode de vérification de la révocation diffère légèrement de celle utilisée pour les certificats d'authentification des clients.
Pour un fonctionnement correct de RadSec, des appareils réseau tels que points d'accès, commutateurs et serveurs VPN établissent une connexion protégée par TLS vers le serveur RadSec. Les déploiements RadSec utilisent typiquement le TLS mutuel (mTLS), où les deux pairs s'authentifient mutuellement à l'aide de certificats X.509 pendant la poignée de main TLS. L'implémentation RADIUSaaS impose le mTLS.
Pour déterminer la validité et l'état de révocation d'un certificat client RadSec, le certificat doit être présenté par le client dans le cadre du processus d'authentification TLS. Ce n'est qu'après la réception du certificat que des vérifications de révocation (par exemple via CRL ou OCSP) peuvent être effectuées.
TLS 1.2
TLS 1.2 prend en charge l'authentification mutuelle TLS lors de la poignée de main initiale en utilisant les CertificateRequest, Certificate, et CertificateVerify messages. Lorsque l'authentification du client est requise et correctement appliquée, le certificat client RadSec est présenté, validé et vérifié pour révocation avant l'établissement de la session TLS et avant tout échange de trafic RADIUS.
Cependant, TLS 1.2 permet également une authentification client optionnelle et prend en charge la renégociation. En conséquence, certaines implémentations clientes RadSec peuvent compléter la poignée de main initiale sans présenter de certificat client. Ce comportement est spécifique à l'implémentation et n'est pas une limitation du protocole TLS 1.2.
Pour atténuer le comportement ci-dessus, le Vérification de révocation des certificats RadSec paramètre est désactivé lorsque la version TLS maximale est définie sur 1.2. Veuillez noter que vous pouvez le réactiver manuellement ultérieurement.
TLS 1.3
TLS 1.3 fournit un modèle plus déterministe et simplifié pour l'authentification mutuelle TLS. Lorsque l'authentification du client est demandée, le certificat client RadSec est échangé dans le cadre de la poignée de main initiale et validé avant l'établissement de la connexion TLS. Cela permet au serveur RadSec de vérifier immédiatement le certificat client, y compris son statut de révocation, et d'échouer la poignée de main si le certificat est invalide ou révoqué. Par conséquent, TLS 1.3 permet une application plus stricte et plus prévisible de l'authentification mutuelle TLS pour les connexions RadSec.
Le Vérification de révocation des certificats RadSec paramètre est automatiquement activé lorsque la version TLS maximale est définie sur 1.3.
RADIUS / UDP
Cette section est disponible lorsque vous avez configuré au moins un Proxy RADIUS. Pour chaque proxy, une adresse IP publique séparée est disponible. Les adresses IP publiques dans cette section prennent en charge uniquement le protocole RADIUS et écoutent donc sur les ports 1812/1813.
Adresses IP du serveur et emplacement
Ces adresses IP écoutent uniquement sur RADIUS sur les ports UDP 1812/1813.
Géolocalisation du ou des proxy(s) RADIUS ainsi que l(es) adresse(s) IP publique(s) respective(s).
Secrets partagés
Le secret partagé pour le proxy RADIUS concerné. Par défaut, tous les proxies RADIUS sont initialisés avec le même secret partagé.
Ports
Cette section affiche les ports standard pour les services d'authentification RADIUS (1812) et de comptabilité RADIUS (1813).
Basculement et redondance
Redondance des proxies
Notez qu'un seul proxy RADIUSaaS ne fournit pas de redondance. Pour assurer la redondance, configurez plusieurs proxies RADIUSaaS comme décrit ici.
Redondance du service RadSec pour les proxies
Lors de l'utilisation de RADIUSaaS avec plusieurs instances RadSec, les proxies sont automatiquement configurés pour se connecter à toutes les instances RadSec disponibles. Un proxy RADIUSaaS priorisera la connexion au service RadSec régional le plus proche. Si ce service est indisponible, il basculera vers un autre service RadSec disponible.
Certificats serveur
CA client
Par défaut, RADIUSaaS génère une certificat de serveur RADIUS signé par une autorité de certification (CA) qui est disponible sur notre service uniquement dans ce but. Nous l'appelons CA client. La CA client est unique pour chaque client.
Pour créer votre CA client, suivez ces étapes simples :
Accédez à Paramètres > Paramètres du serveur
Cliquez sur Ajouter
Choisissez Laisser RaaS créer une CA pour vous
Cliquez sur Enregistrer
Après la création, vous verrez un nouveau certificat disponible sous Certificats serveur
Apportez votre propre certificat
Dans le cas où vous ne souhaitez pas utiliser la CA client, vous pouvez téléverser jusqu'à deux de vos propres certificats.
Certificat serveur émis par SCEPman
Veuillez suivre ces étapes pour exploiter SCEPman Certificate Master afin de générer un nouveau certificat serveur :
Accédez à votre portail web SCEPman Certificate Master.
Sélectionnez Demander un certificat à gauche
Sélectionnez (Web) Serveur en haut
Sélectionnez Formulaire
Saisissez tous les noms alternatifs de sujet (SAN) pour lesquels le certificat doit être valide, séparés par des virgules, des points-virgules ou des sauts de ligne. Générez un certificat serveur comme décrit ici et fournissez tout FQDN souhaité. Nous recommandons d'adapter le SAN du certificat serveur par défaut, par ex.
radsec-<nom de votre instance RADIUSaaS>.radius-as-a-service.com.Définissez le format de fichier à télécharger sur PEM
Sélectionnez Inclure la chaîne de certificats et téléchargez le certificat.
Soumettre la demande pour télécharger le nouveau certificat serveur.
Important : Notez temporairement le mot de passe car il ne peut pas être récupéré depuis Certificate Master.
Téléversez le nouveau certificat serveur sur RADIUSaaS
Pour ajouter votre certificat serveur créé dans les étapes ci-dessus, accédez à instance RADIUSaaS > Paramètres > Paramètres du serveur > Ajouter puis
Choisissez Certificat encodé PEM ou PKCS#12 (Si vous avez sélectionné PKCS#12 à l'étape 5, cela contient à la fois la clé publique et la clé privée)
Glissez-déposez votre fichier de certificat ou cliquez pour le parcourir
Entrez le mot de passe de votre clé privée
Cliquez sur Enregistrer
Veuillez noter : Par défaut, SCEPman Certificate Master émet des certificats valides pendant 730 jours. Si vous souhaitez modifier cela, veuillez vous référer à la documentation.
Activation du certificat
Assurez-vous de surveiller l'expiration de votre certificat serveur et de le renouveler en temps voulu pour éviter les interruptions de service.
Comme les certificats expirent de temps à autre ou que vos préférences quant aux certificats à utiliser changent, il est important que vous puissiez contrôler le certificat utilisé par votre serveur. La colonne Active vous montre le certificat que votre serveur utilise actuellement. Pour changer le certificat utilisé par votre serveur, développez la ligne du certificat que vous souhaitez choisir et cliquez sur Activer.
Télécharger
Pour télécharger votre certificat serveur, vous avez deux options :
Cliquez sur Télécharger le certificat CA en haut. Cela téléchargera directement la CA racine de confiance du certificat serveur actif
Cliquez sur l' icône de téléchargement dans la ligne correspondante.
Option 2 ouvrira une boîte de dialogue montrant le chemin complet du certificat. Le certificat racine sera toujours marqué en vert.
Pour les deux options, le certificat racine téléchargé est encodé en base64 (PEM). Dans le cas où votre appareil (par ex. contrôleur WiFi) nécessite un codage binaire (DER), vous pouvez le convertir en utilisant OpenSSL:
Supprimer
Pour supprimer un certificat, développez la ligne correspondante, cliquez sur Supprimer et confirmez votre choix.
Expiration des certificats
Ne laissez pas expirer le certificat du serveur RADIUS. Cela interrompra l'authentification.
Les certificats expirent de temps en temps. Cinq mois avant l'expiration de votre certificat, votre tableau de bord vous en informera en affichant un signe d'avertissement à côté.
Si le triangle est affiché à côté du certificat serveur RADIUS actif, suivez ce guide pour le mettre à jour :
Renouvellement du certificat serveurMis à jour
Ce contenu vous a-t-il été utile ?