# サーバー設定 ## ポートとIPアドレス ### 概要 RADIUSaaS は、ユーザーに安全なクラウドベース認証を提供するために RadSec サービスを運用しています。加えて、ハードウェアやソフトウェアの制限などの理由でネットワーク環境内で RadSec を利用できないお客様向けに、RADIUSaaS は RADIUS から RadSec へのプロトコル変換を処理する RADIUS Proxy を提供します。 RadSec サービスと RADIUS サービスはいずれもパブリック IP アドレスを提供しており、ネットワーク機器やサービスがインターネット経由でどこからでも当社のサービスと通信できるようにします。これらのサービスは、それぞれ独自に登録されたポートで動作します。 ## RadSec / TCP

RadSec の IP とポートを表示

#### **RadSec DNS** RadSec サービスに到達するための DNS エントリ。 #### **サーバー IP アドレス** これは RadSec サービスのパブリック IP アドレスです。 #### **RadSec ポート** これは RadSec 用に登録されたポートです: 2083 ### フェールオーバーと冗長化 お客様がより高い冗長性を必要とする場合、追加の IP アドレスを提供する複数の RadSec エンドポイントをインスタンスに構成できます。このサービスには追加費用がかかることにご注意ください。

RadSec サービスごとに 1 つずつ、2 つのパブリック IP アドレスを表示しています。

{% hint style="info" %} 重要なのは、RADIUSaaS は **RadSec エンドポイント間のフェールオーバーを提供しません。** その代わり、このフェールオーバーは通常、以下の Meraki を使用した例に示すように、お使いのネットワーク機器上で実装されます。 より見通しがよく、追加サービス(DNS)への依存を減らすため、フェールオーバーシナリオは DNS ではなく IP アドレスを使用して構成することを推奨します。 {% endhint %} この構成では、2 つの RadSec IP アドレスが優先順に並びます。Meraki がいずれかの IP アドレスに到達できない場合、通常はさらに 2 回試行し、次のアドレスに移ります。お使いの Meraki(または他の)システムのフェールオーバー機能については、ご自身の資料をご確認ください。

優先順位順に複数の RadSec サーバーを表示しています(Meraki)。

## RadSec 設定 {% hint style="info" %} 以下の設定で、RADIUSaaS インスタンスへの RadSec 接続の特定の側面を制御します。 {% endhint %} ### 最大 TLS バージョン この設定は、RadSec インターフェースの最大 TLS バージョンを制御します。最小バージョンは 1.2 に固定され、デフォルトの最大値は 1.3 に設定されています。 TLS 1.3 は 1.2 に比べて、ハンドシェイク後の認証メカニズムなどいくつかの利点があります。これにより、ハンドシェイクを完了する前に追加の資格情報を要求できます。これは、次に説明する RadSec 証明書の検証チェック設定に重要です。 ### RadSec 証明書の失効確認 {% hint style="info" %} この設定は、すべての RadSec 接続に対して失効確認を実行するかどうかを決定します。失効確認の検証方法は、クライアント認証証明書で使用されるものとはわずかに異なります。 {% endhint %} RadSec を正しく動作させるには、Access Points、Switches、VPN Servers などのネットワーク機器が TLS で保護された接続を RadSec サーバーに確立します。RadSec の導入では通常、相互 TLS(mTLS)を使用し、TLS ハンドシェイク中に両方のピアが X.509 証明書を使用して相互認証します。RADIUSaaS の実装では mTLS が強制されます。 RadSec クライアント証明書の有効性と失効状態を判断するには、TLS 認証プロセスの一部としてクライアントがその証明書を提示する必要があります。証明書を受信して初めて、失効確認(たとえば CRL や OCSP 経由)を実行できます。 #### **TLS 1.2** TLS 1.2 は、次を使用した初回ハンドシェイク中の相互 TLS 認証をサポートします `CertificateRequest`, `Certificate`、および `CertificateVerify` メッセージ。クライアント認証が必要で正しく強制されている場合、RadSec クライアント証明書は TLS セッションが確立される前、かつ RADIUS トラフィックが交換される前に提示、検証、失効確認されます。 \ ただし、TLS 1.2 ではオプションのクライアント認証も許可され、再ネゴシエーションもサポートされます。その結果、一部の RadSec クライアント実装では、クライアント証明書を提示せずに初回ハンドシェイクを完了する場合があります。この動作は 実装依存であり、TLS 1.2 プロトコルの制限ではありません。 {% hint style="info" %} 上記の動作を軽減するため、 **RadSec 証明書の失効確認** 設定は最大 TLS バージョンを 1.2 に設定すると無効化されます。後で手動で再度有効化できることにご注意ください。 {% endhint %} #### **TLS 1.3** TLS 1.3 は、相互 TLS 認証に対してより決定論的で簡潔なモデルを提供します。クライアント認証が要求されると、RadSec クライアント証明書は初回ハンドシェイクの一部として交換され、TLS 接続が確立される前に検証されます。\ これにより、RadSec サーバーは証明書の失効状態を含めてクライアント証明書を直ちに検証でき、証明書が無効または失効している場合はハンドシェイクを失敗させられます。その結果、TLS 1.3 は RadSec 接続に対して、相互 TLS 認証をより厳格かつ予測可能に強制できます。 {% hint style="info" %} この **RadSec 証明書の失効確認** 設定は、最大 TLS バージョンを 1.3 に設定すると自動的に有効になります。 {% endhint %}
## RADIUS / UDP このセクションは、少なくとも 1 つを構成している場合に利用できます [RADIUS Proxy](https://docs.radiusaas.com/ja/ptaru/settings/settings-proxy)。各 Proxy ごとに、個別のパブリック IP アドレスが利用できます。このセクションのパブリック IP アドレスは RADIUS プロトコルのみをサポートするため、ポート 1812/1813 で待ち受けます。
### **サーバー IP アドレスとロケーション** {% hint style="warning" %} これらの IP アドレスは次に対してのみ待ち受けます [RADIUS](https://docs.radiusaas.com/ja/details#what-is-radius) を UDP ポート 1812/1813 で。 {% endhint %} RADIUS Proxy の地理的位置、およびそれぞれのパブリック IP アドレス。 ### **共有シークレット** それぞれの RADIUS Proxy 用の共有シークレットです。既定では、すべての RADIUS Proxy は同じ共有シークレットで初期化されます。

Proxy ごとの共有シークレットの変更を表示

### **ポート** このセクションには、RADIUS 認証(1812)および RADIUS アカウンティング(1813)サービスの標準ポートが表示されます。 ### **フェールオーバーと冗長化** #### Proxy の冗長性 単一の RADIUSaaS Proxy では冗長性は提供されないことにご注意ください。冗長性を確保するには、以下に説明するように複数の RADIUSaaS Proxy をセットアップしてください [こちら](https://docs.radiusaas.com/ja/ptaru/settings-proxy#load-balancing). #### Proxy 用 RadSec サービス冗長化 複数の RadSec インスタンスを持つ RADIUSaaS を使用する場合、Proxy は利用可能なすべての RadSec インスタンスに接続するよう自動的に構成されます。RADIUSaaS Proxy は、最も近い地域の RadSec Service への接続を優先します。そのサービスが利用できない場合は、別の利用可能な RadSec Service に切り替えます。 ## サーバー証明書 ### Customer-CA 既定では、RADIUSaaS は **RADIUS Server Certificate** を生成し、これはこの目的のためだけに当社のサービスで利用可能な認証局(CA)によって署名されます。これを **Customer-CA**と呼びます。Customer-CA は各お客様ごとに固有です。 Customer-CA を作成するには、次の簡単な手順に従ってください。 1. 次に移動します **設定** > **サーバー設定** 2. をクリックします **追加** 3. 選択 **RaaS に CA を作成させる** 4. 次をクリックします **保存** 5. 作成後、Server Certificates の下に新しい証明書が表示されます
### 自分の証明書を持ち込む を使用したくない場合は **Customer CA**、ご自身の証明書を最大 2 つまでアップロードできます。 #### SCEPman 発行のサーバー証明書 SCEPman Certificate Master を利用して新しいサーバー証明書を生成するには、以下の手順に従ってください。 1. SCEPman Certificate Master の Web ポータルに移動します。 2. 左側で Request Certificate を選択します 3. 選択 **(Web)Server** を上部で 4. 選択 **フォーム** 5. 証明書を有効にするすべての Subject Alternative Name(SAN)を、カンマ、セミコロン、または改行で区切って入力します。以下に説明するようにサーバー証明書を生成し [こちら](https://docs.scepman.com/certificate-deployment/certificate-master/tls-server-certificate-pkcs-12) 、任意の FQDN を指定します。既定のサーバー証明書の SAN を次のように調整することを推奨します。 `radsec-.radius-as-a-service.com`. 6. を設定 **ダウンロードファイル形式** に **PEM** 7. 選択 **証明書チェーンを含める** を選択して証明書をダウンロードします。 8. **送信** 新しいサーバー証明書をダウンロードするリクエストを行います。 {% hint style="warning" %} **重要**:このパスワードは Certificate Master から復元できないため、一時的に控えておいてください。 {% endhint %}

新しいサーバー証明書を作成する

### 新しいサーバー証明書を次にアップロードする **RADIUSaaS** 上記の手順で作成したサーバー証明書を追加するには、次へ移動します **RADIUSaaS インスタンス** > **設定** > **サーバー設定** > **追加** その後 8. 選択 **PEM または PKCS#12 でエンコードされた証明書** (手順 5 で PKCS#12 を選択した場合、これには公開鍵と秘密鍵の両方が含まれます) 9. 証明書ファイルをドラッグ&ドロップするか、クリックして参照します 10. 次のパスワードを入力してください **秘密鍵** 11. をクリックします **保存**
{% hint style="info" %} ご注意:既定では、SCEPman Certificate Master は 730 日間有効な証明書を発行します。これを変更したい場合は、SCEPman の [ドキュメント](https://docs.scepman.com/advanced-configuration/application-settings/certificates#appconfig-validityperioddays). {% endhint %} ### 証明書の有効化 {% hint style="warning" %} サーバー証明書の有効期限を監視し、サービス中断を防ぐために期限内に更新してください。 {% endhint %} 証明書は時々期限切れになるため、または使用したい証明書の選好が変わるため、サーバーが使用している証明書を制御できることが重要です。 **Active** 列には、サーバーが現在使用している証明書が表示されます。サーバーが使用している証明書を変更するには、選択したい証明書の行を展開して次をクリックします **Activate**. ### Download 次のものをダウンロードするには **Server Certificate,** 次の 2 つの方法があります。 1. をクリックします **Download CA Certificate** を上部で選択します。これにより、 **信頼されたルート CA** の現在 **アクティブな** サーバー証明書が直接ダウンロードされます。 2. 次の **ダウンロード** アイコンを対応する行でクリックします。
**オプション 2** を開くと、完全な証明書パスを表示するダイアログが開きます。 **ルート証明書** は常に緑でマークされます。

ルート証明書が緑で表示されている例

どちらの方法でも、ダウンロードされるルート証明書は base64(PEM)でエンコードされています。デバイス(例:WiFi コントローラー)がバイナリエンコーディング(DER)を必要とする場合は、次を使用して変換できます [OpenSSL](https://openssl.org/): ```sh openssl x509 -inform pem -in -outform der -out ``` ### 削除 証明書を削除するには、対応する行を展開して、次をクリックします **削除** そして選択を確定します。 ### 証明書の有効期限 {% hint style="danger" %} RADIUS Server Certificate を期限切れにしないでください。認証が失敗します。 {% endhint %} 証明書はいずれ期限切れになります。証明書の有効期限が 5 か月後に迫ると、ダッシュボードに警告マークが表示され、通知されます。 ![証明書の有効期限を示すスクリーンショット](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/vyZwJeKE1HD6XpnxGymy/image.png) アクティブな RADIUS Server Certificate の横に三角形が表示された場合は、以下のガイドに従って更新してください。 {% content-ref url="../../haibudehanonidzukunofirutawoshitarivlan-idworitetaridekimasu/renew-certificate" %} [renew-certificate](https://docs.radiusaas.com/ja/haibudehanonidzukunofirutawoshitarivlan-idworitetaridekimasu/renew-certificate) {% endcontent-ref %} ## SCEPman 接続 {% hint style="warning" %} SCEPman Enterprise Edition のみ バージョン 3.0 以上に適用 {% endhint %} SCEPman Connection 設定は、RaaS インスタンスを SCEPman インスタンスに直接接続するために設計されています。この接続を構成すると、RaaS は次のタスクを実行します。 1. 新しいサーバー証明書を作成して有効化する 2. 更新プロセスを含め、このサーバー証明書を管理します。
#### この接続を確立するには、次の手順に従ってください。 1. 表示された API トークンをコピーします。 2. 次に従って SCEPman App Service に移動します [こちら](https://docs.scepman.com/scepman-configuration/application-settings#convenient-configuration-in-the-app-service-configuration) ガイドに従い、次の名前の新しい環境変数を作成します [AppConfig:RADIUSaaSValidation:Token](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/radiusaas) 先ほどコピーしたトークンを値として使用します。 3. 設定を適用し、App Service を再起動します。 4. SCEPman URL フィールドに SCEPman インスタンスの URL を入力します。
5. をクリックします **接続をセットアップ**。この操作により現在のサーバー証明書が無効化され、新しく作成された証明書を管理できるようになります。 6. セットアップ完了後、2 つの新しいボタンが表示され、以前のボタンは置き換えられます。
1. **証明書をローテーション**。このボタンは、利用可能な 2 つのスロット間でサーバー証明書をローテーションし、有効化します。 *Servercertificate-**upload0*** および *Servercertificate-**upload1***. 2. **接続を削除。** このボタンは、以前に構成した接続を削除します。この操作は元に戻せないことにご注意ください。接続を削除すると、トークンも削除されます。後日接続を設定したい場合は、上記の手順を再度実行する必要があります。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/ja/ptaru/settings/settings-server.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.