サーバー設定
サーバー設定は https://YOURNAME.radius-as-a-service.com/settings/server で利用できます
ポートとIPアドレス
概要
RADIUSaaSは、安全なクラウドベースの認証を提供するためにRadSecサービスを運用しています。さらに、ハードウェアやソフトウェアの制約などによりネットワーク環境でRadSecを利用できないお客様向けに、RADIUSからRadSecへのプロトコル変換を行うRADIUSプロキシを提供しています。
RadSecおよびRADIUSサービスは、ネットワーク機器やサービスがインターネット経由でどこからでも当社のサービスと通信できるようにするパブリックIPアドレスを提供します。これらのサービスはそれぞれ固有の登録済みポートで動作します。
RadSec / TCP
RadSec DNS
RadSecサービスに到達するためのDNSエントリです。
サーバーIPアドレス
これはRadSecサービスのパブリックIPアドレスです。
RadSecポート
これはRadSecの登録ポートです:2083
フェイルオーバーと冗長性
より高いレベルの冗長性を必要とするお客様向けに、ご利用のインスタンスに複数のRadSecエンドポイントを設定し、追加のIPアドレスを提供できます。なお、このサービスには追加料金がかかる点にご注意ください。
重要な点として、RADIUSaaSは RadSecエンドポイント間のフェイルオーバーを提供していません 。代わりに、このフェイルオーバーは通常、お客様のネットワーク機器上で実装されます。以下のMerakiを用いた例を参照してください。
可視性を高め、追加サービス(DNS)への依存を減らすために、フェイルオーバーの構成はDNSではなくIPアドレスを使用することを推奨します。
この構成では、2つのRadSec IPアドレスが優先順に並んでいます。MerakiがあるIPアドレスに到達できない場合、通常さらに2回試行してから次のアドレスに移ります。Meraki(または他の)システムのフェイルオーバー機能の詳細については、各自の資料を参照してください。
RadSec設定
以下の設定は、RADIUSaaSインスタンスへのRadSec接続の特定の側面を制御します。
最大TLSバージョン
この設定はRadSecインターフェースの最大TLSバージョンを制御します。最小バージョンは1.2に固定されており、デフォルトの最大は1.3に設定されています。
TLS 1.3はTLS 1.2に比べていくつかの利点を提供します。例えば、ポストハンドシェイク認証メカニズムにより、ハンドシェイク完了前に追加の資格情報を要求できる点があります。これは次に説明するRadSec証明書の検証チェックに重要です。
RadSec証明書の失効チェック
この設定は、すべてのRadSec接続に対して失効チェックを実行するかどうかを決定します。失効チェックの検証方法はクライアント認証証明書で使用される方法とやや異なります。
正常なRadSec動作のために、アクセスポイント、スイッチ、VPNサーバーなどのネットワーク機器はRadSecサーバーに対してTLSで保護された接続を確立します。RadSecの導入では通常、相互TLS(mTLS)を使用し、TLSハンドシェイク中に両側がX.509証明書で相互に認証します。RADIUSaaSの実装ではmTLSを強制します。
RadSecクライアント証明書の有効性と失効状況を確認するには、クライアントがTLS認証プロセスの一部として証明書を提示する必要があります。証明書が受信された後にのみ、CRLやOCSPなどによる失効チェックを実行できます。
TLS 1.2
TLS 1.2は初期ハンドシェイク中に以下を使用して相互TLS認証をサポートします: CertificateRequest, Certificate、および CertificateVerify メッセージ。クライアント認証が要求され正しく強制されると、RadSecクライアント証明書は提示され、検証され、失効チェックが行われた後でTLSセッションが確立され、RADIUSトラフィックが交換されます。
しかし、TLS 1.2はオプションのクライアント認証や再ネゴシエーションを許容します。その結果、いくつかのRadSecクライアント実装はクライアント証明書を提示せずに初期ハンドシェイクを完了する場合があります。この動作は 実装依存であり、TLS 1.2プロトコルの制限ではありません。
上記の動作を緩和するために、 RadSec証明書の失効チェック 設定は最大TLSバージョンが1.2に設定された場合に無効化されます。後で手動で再有効化することが可能ですのでご注意ください。
TLS 1.3
TLS 1.3は相互TLS認証に対してより決定論的で効率的なモデルを提供します。クライアント認証が要求される場合、RadSecクライアント証明書は初期ハンドシェイクの一部として交換され、TLS接続が確立される前に検証されます。 これにより、RadSecサーバーはクライアント証明書を即座に検証(失効状況を含む)でき、証明書が無効または失効している場合はハンドシェイクを失敗させることができます。その結果、TLS 1.3はRadSec接続に対する相互TLS認証のより厳格で予測可能な強制を可能にします。
この RadSec証明書の失効チェック 設定は最大TLSバージョンが1.3に設定されている場合に自動的に有効になります。
RADIUS / UDP
このセクションは、少なくとも1つの RADIUSプロキシを構成している場合に利用可能です。各プロキシごとに個別のパブリックIPアドレスが提供されます。このセクションのパブリックIPアドレスはRADIUSプロトコルのみをサポートし、ポート1812/1813でリッスンします。
サーバーIPアドレスと場所
これらのIPアドレスはUDPポート1812/1813の上で RADIUS のみをリッスンします。
RADIUSプロキシの地理的所在地およびそれぞれのパブリックIPアドレス。
共有シークレット
各RADIUSプロキシの共有シークレット。デフォルトでは、すべてのRADIUSプロキシは同じ共有シークレットで初期化されます。
ポート
このセクションはRADIUS認証(1812)およびRADIUSアカウンティング(1813)サービスの標準ポートを表示します。
フェイルオーバーと冗長性
プロキシ冗長性
単一のRADIUSaaSプロキシは冗長性を提供しない点に注意してください。冗長性を確保するには、こちらに記載されているように複数のRADIUSaaSプロキシを設定してください。 ここ.
プロキシのためのRadSecサービス冗長性
複数のRadSecインスタンスとともにRADIUSaaSを使用する場合、プロキシは自動的に利用可能なすべてのRadSecインスタンスへの接続を構成します。RADIUSaaSプロキシは最寄りのリージョナルRadSecサービスへの接続を優先します。そのサービスが利用できない場合、別の利用可能なRadSecサービスに切り替えます。
サーバー証明書
カスタマーCA
デフォルトでは、RADIUSaaSは RADIUSサーバー証明書 を生成し、この目的のためだけに当社のサービス上で利用可能な証明機関(CA)によって署名します。これを当社では カスタマーCAと呼んでいます。Customer-CAは各顧客ごとに一意です。
Customer-CAを作成するには、次の簡単な手順に従ってください:
に移動します 設定 > サーバー設定
をクリックします 追加
を選択します RaaSにCAを作成させる
をクリックします 保存
作成後、サーバー証明書の下に新しい証明書が利用可能になっているのが表示されます。
独自の証明書を持ち込む
Customer CAを使用したくない場合は、独自の証明書を最大2つまでアップロードできます。 カスタマーCA、を使用したくない場合は、最大2つの独自証明書をアップロードできます。
SCEPman発行のサーバー証明書
SCEPman Certificate Masterを利用して新しいサーバー証明書を生成するには、次の手順に従ってください:
SCEPman Certificate Masterのウェブポータルにアクセスします。
左側で「Request Certificate(証明書要求)」を選択します。
を選択します (Web)サーバー の上部で
を選択します フォーム
証明書が有効であるべきすべてのSubject Alternative Names(SAN)をカンマ、セミコロン、または改行で区切って入力します。上記の説明に従ってサーバー証明書を生成し、任意のFQDNを指定してください。デフォルトのサーバー証明書のSANを適合させることを推奨します。例えば、 ここ radsec-<your RADIUSaaS instance name>.radius-as-a-service.com
のように指定します。.を設定します ダウンロードファイル形式 を PEM
を選択します 証明書チェーンを含める にして証明書をダウンロードします。
を送信します 新しいサーバー証明書をダウンロードするリクエストを送信します。
重要:パスワードはCertificate Masterから回復できないため、一時的に控えておいてください。
新しいサーバー証明書を RADIUSaaS
にアップロードします。上記の手順で作成したサーバー証明書を追加するには、次の場所に移動してください: RADIUSaaSインスタンス > 設定 > サーバー設定 > 追加 その後、
を選択します PEMまたはPKCS#12エンコードされた証明書 (ステップ5でPKCS#12を選択した場合、これには公開鍵と秘密鍵の両方が含まれます)
証明書ファイルをドラッグ&ドロップするか、クリックして参照します。
のパスワードを入力してください 秘密鍵
をクリックします 保存
ご注意:デフォルトでは、SCEPman Certificate Masterが発行する証明書の有効期間は730日です。これを変更したい場合は、SCEPmanの ドキュメント.
を参照してください。
証明書の有効化
証明書は時々期限切れになりますので、サーバーが使用している証明書を制御できることが重要です。 アクティブ 列はサーバーが現在使用している証明書を表示します。サーバーが使用する証明書を変更するには、選択したい証明書の行を展開して 有効化.
をクリックしてください。
ダウンロード あなたの サーバー証明書、
をクリックします には2つのオプションがあります: 上部の「CA証明書をダウンロード」をクリックします。これにより現在の 信頼されたルートCA が直接ダウンロードされます(現在 アクティブ なサーバー証明書の)。
対応する行の ダウンロード アイコンをクリックします。
オプション2 は完全な証明書パスを表示するダイアログを開きます。ルート証明書は常に緑色でマークされます。 ルート証明書 は常に緑で表示されます。
どちらのオプションでも、ダウンロードされるルート証明書はbase64(PEM)でエンコードされています。お使いの機器(例:WiFiコントローラ)がバイナリ形式(DER)を必要とする場合は、次の OpenSSL:
openssl x509 -inform pem -in <DOWNLOADED_FILE> -outform der -out <CONVERTED_FILE>
削除 openssl x509 -inform pem -in <DOWNLOADED_FILE> -outform der -out <CONVERTED_FILE> 証明書を削除するには、対応する行を展開し、
をクリックして選択を確認してください。
証明書の有効期限
RADIUSサーバー証明書を期限切れにしないでください。期限切れになると認証が機能しなくなります。
アクティブなRADIUSサーバー証明書の横に三角形が表示されている場合は、次のガイドに従って更新してください:
サーバー証明書の更新最終更新
役に立ちましたか?