サーバー設定
サーバー設定は https://YOURNAME.radius-as-a-service.com/settings/server で利用できます
ポートとIPアドレス
概要
RADIUSaaSはRadSecサービスを運用しており、ユーザーに対して安全なクラウドベースの認証を提供します。加えて、ハードウェアやソフトウェアの制約などによりネットワーク環境でRadSecを利用できない顧客向けに、RADIUSからRadSecへのプロトコル変換を行うRADIUSプロキシを提供します。
RadSecおよびRADIUSサービスはどちらもパブリックIPアドレスを提供しており、ネットワーク機器やサービスがインターネット経由でどこからでも当社サービスと通信できるようになっています。これらのサービスはそれぞれ固有の登録ポートで動作します。
RadSec / TCP
RadSec DNS
RadSecサービスにアクセスするためのDNSエントリです。
サーバーIPアドレス
これはRadSecサービスのパブリックIPアドレスです。
RadSecポート
これはRadSecの登録済みポートです: 2083
フェイルオーバーと冗長性
より高い冗長性が必要な場合、複数のRadSecエンドポイントをインスタンス用に構成して追加のIPアドレスを提供できます。なお、このサービスには追加料金がかかる点にご注意ください。
重要な点として、RADIUSaaSは RadSecエンドポイント間のフェイルオーバーを提供しません 。代わりに、このフェイルオーバーは通常、お客様のネットワーク機器上で実装されます。以下のMerakiを用いた例のように構成されます。
可視性を高め追加サービス(DNS)への依存を減らすために、フェイルオーバーのシナリオはDNSではなくIPアドレスを用いて構成することを推奨します。
この構成では、2つのRadSec IPアドレスが優先順にリストされています。MerakiがあるIPアドレスに到達できない場合、通常さらに2回試行してから次のアドレスに移ります。Meraki(または他の)システムのフェイルオーバー機能に関する詳細は、ご利用のリソースをご参照ください。
RadSec設定
以下の設定は、RADIUSaaSインスタンスへのRadSec接続の特定の側面を制御します。
最大TLSバージョン
この設定はRadSecインターフェースの最大TLSバージョンを制御します。最小バージョンは1.2に固定されており、デフォルトの最大は1.3に設定されています。
TLS 1.3は1.2に比べていくつかの利点があり、ポストハンドシェイク認証メカニズムによりハンドシェイク完了前に追加の認証情報を要求できる点が含まれます。これは次に説明するRadSec証明書の検証チェックに重要です。
RadSec証明書の失効確認
この設定は、すべてのRadSec接続に対して失効確認を実施するかどうかを決定します。失効確認の検証方法は、クライアント認証証明書で用いられる方法と若干異なります。
正しいRadSec動作のために、アクセスポイント、スイッチ、VPNサーバーなどのネットワーク機器はRadSecサーバーとTLS保護された接続を確立します。RadSecの展開では通常相互TLS(mTLS)を使用し、TLSハンドシェイク中に双方がX.509証明書で相互認証を行います。RADIUSaaSの実装ではmTLSを強制します。
RadSecクライアント証明書の有効性および失効状況を判定するには、証明書がTLS認証プロセスの一部としてクライアントから提示される必要があります。証明書を受信した後でのみ、CRLやOCSPなどによる失効確認を実行できます。
TLS 1.2
TLS 1.2は初回ハンドシェイク中に次のメッセージを用いて相互TLS認証をサポートします: CertificateRequest, Certificate、および CertificateVerify メッセージ。クライアント認証が要求され正しく強制されると、RadSecクライアント証明書は提示され、検証され、失効チェックが行われた上でTLSセッションが確立され、RADIUSトラフィックの交換が行われます。
しかしながら、TLS 1.2はオプションのクライアント認証を許容し、再ネゴシエーションをサポートします。その結果、一部のRadSecクライアント実装はクライアント証明書を提示せずに初期ハンドシェイクを完了する場合があります。この挙動は 実装依存であり、TLS 1.2プロトコル自体の制限ではありません。
上記の挙動を緩和するために、 RadSec証明書の失効確認 設定は最大TLSバージョンが1.2に設定されている場合に無効化されます。後で手動で再度有効化することは可能ですのでご注意ください。
TLS 1.3
TLS 1.3は相互TLS認証に対してより決定的で簡潔なモデルを提供します。クライアント認証が要求される場合、RadSecクライアント証明書は初期ハンドシェイクの一部として交換され、TLS接続が確立される前に検証されます。これによりRadSecサーバーはクライアント証明書およびその失効状態を直ちに検証でき、証明書が無効または失効している場合はハンドシェイクを失敗させることができます。その結果、TLS 1.3はRadSec接続における相互TLS認証のより厳格で予測可能な強制を可能にします。
この RadSec証明書の失効確認 設定は最大TLSバージョンが1.3に設定されていると自動的に有効になります。
RADIUS / UDP
このセクションは、少なくとも1つの RADIUSプロキシを構成している場合に利用可能です。各プロキシごとに個別のパブリックIPアドレスが提供されます。このセクションのパブリックIPアドレスはRADIUSプロトコルのみをサポートし、ポート1812/1813で待ち受けます。
サーバーIPアドレスとロケーション
これらのIPアドレスはUDPポート1812/1813での RADIUS のみをリッスンします。
RADIUSプロキシのジオロケーションおよびそれぞれのパブリックIPアドレス。
共有シークレット
各RADIUSプロキシに対応する共有シークレット。デフォルトでは、すべてのRADIUSプロキシは同じ共有シークレットで初期化されます。
ポート
このセクションはRADIUS認証(1812)およびRADIUSアカウンティング(1813)の標準ポートを表示します。
フェイルオーバーと冗長性
プロキシの冗長性
単一のRADIUSaaSプロキシは冗長性を提供しないことに注意してください。冗長性を確保するには、ここに記載されたとおり複数のRADIUSaaSプロキシをセットアップしてください こちら.
プロキシ用のRadSecサービス冗長性
複数のRadSecインスタンスでRADIUSaaSを使用する場合、プロキシは利用可能なすべてのRadSecインスタンスに接続するよう自動的に構成されます。RADIUSaaSプロキシは通常、最も近いリージョナルRadSecサービスへの接続を優先します。そのサービスが利用できない場合、他の利用可能なRadSecサービスに切り替えます。
サーバー証明書
Customer-CA
デフォルトでは、RADIUSaaSは RADIUSサーバー証明書 を生成し、それはこの目的専用に当社サービス上で利用可能な認証局(CA)によって署名されます。我々はこれを Customer-CAと呼びます。Customer-CAは各顧客ごとに一意です。
Customer-CAを作成するには、以下の簡単な手順に従ってください:
に移動 設定 > サーバー設定
をクリック 追加
を選択 RaaSにCAを作成させる
をクリック 保存
作成後、サーバー証明書の下に新しい証明書が表示されます
独自の証明書を持ち込む
Customer CA を使用したくない場合は、独自の証明書を最大2つまでアップロードできます。SCEPman発行のサーバー証明書
SCEPman Certificate Masterを使用して新しいサーバー証明書を生成するには、次の手順に従ってください:
SCEPman Certificate Masterのウェブポータルにアクセスします。
左側で「Request Certificate」を選択します
を選択
(Web)サーバー 上部の フォーム
(Web)サーバー 証明書が有効であるべきすべてのSubject Alternative Names(SAN)をコンマ、セミコロン、または改行で区切って入力してください。次の説明に従ってサーバー証明書を生成し、任意のFQDNを指定してください。デフォルトのサーバー証明書のSANを例えば次のように変更することを推奨します:
及び任意のFQDNを指定してください。我々はデフォルトのサーバー証明書のSANを調整することを推奨します、例: こちら radsec-<your RADIUSaaS instance name>.radius-as-a-service.com
の設定を行い、.ダウンロードファイル形式 を PEM に設定してください
(Web)サーバー 証明書チェーンを含める そして証明書をダウンロードしてください。
リクエストを 送信して新しいサーバー証明書をダウンロードします。
重要: パスワードはCertificate Masterから復元できないため、一時的にメモしておいてください。
新しいサーバー証明書を RADIUSaaS
にアップロードするには、上記手順で作成したサーバー証明書を追加するために、に移動してください RADIUSaaSインスタンス > 設定 > サーバー設定 > 追加 次に
を選択 PEMまたはPKCS#12形式の証明書 (ステップ5でPKCS#12を選択した場合、これには公開鍵と秘密鍵の両方が含まれます)
証明書ファイルをドラッグ&ドロップするか、クリックして参照してください
のパスワードを入力してください 秘密鍵
をクリック 保存
ご注意: デフォルトではSCEPman Certificate Masterが発行する証明書の有効期間は730日です。これを変更したい場合はSCEPmanの ドキュメント.
を参照してください
証明書の有効化
サーバー証明書の有効期限を監視し、サービス中断を防ぐために適時更新するようにしてください。 証明書は期限切れになることがあり、どの証明書を使用したいかの好みが変わることもあります。そのため、サーバーが使用している証明書を管理できることが重要です。 「アクティブ」 列にはサーバーが現在使用している証明書が表示されます。サーバーが使用する証明書を変更するには、選択したい証明書の行を展開して.
「有効化」
をクリックしてください。 ダウンロード サーバー証明書をダウンロードするには、
をクリック 2つのオプションがあります: 上部の「CA証明書をダウンロード」 をクリックします。これにより現在の アクティブな サーバー証明書の 信頼されたルートCA
が直接ダウンロードされます。 該当行の ダウンロード
アイコンをクリックしてください。 オプション2 は完全な証明書パスを表示するダイアログを開きます。ルート証明書は常に緑色で表示されます。 ルート証明書を緑色で表示している図
OpenSSL コマンドで変換できます::
削除
証明書を削除するには、該当する行を展開し、 削除 をクリックして選択を確認してください。
証明書の有効期限
RADIUSサーバー証明書を期限切れにしないでください。認証が停止します。
証明書は時折期限切れになります。証明書が期限切れになる5か月前に、ダッシュボードはその証明書の横に警告アイコンを表示してお知らせします。
アクティブなRADIUSサーバー証明書の横に三角形のアイコンが表示されている場合は、次の手順に従って更新してください:
サーバー証明書の更新SCEPman接続
SCEPman Enterprise Editionのみ
バージョン3.0以上に適用
SCEPman接続設定は、RaaSインスタンスをお客様のSCEPmanインスタンスに直接接続するために設計されています。この接続を構成するとRaaSは次のタスクを実行します:
新しいサーバー証明書を作成して有効化する
このサーバー証明書の管理および更新プロセスを管理します。
この接続を確立するには、次の手順に従ってください:
表示されているAPIトークンをコピーします。
次に、 この ガイドに従い、SCEPmanのApp Serviceに移動して、新しい環境変数を作成します。名前は AppConfig:RADIUSaaSValidation:Token とし、先ほどコピーしたトークンを値として使用します。
設定を適用してApp Serviceを再起動してください。
SCEPmanのURLフィールドにお使いのSCEPmanインスタンスのURLを入力してください。
をクリック 接続を設定。この操作は現在のサーバー証明書を無効化し、新しく作成された証明書を管理可能にします。
セットアップが完了すると、2つの新しいボタンが表示され、以前のボタンに置き換わります。
証明書のローテーション。このボタンは利用可能な2つのスロット間でサーバー証明書をローテーションして有効化します。 サーバー証明書-upload0 および サーバー証明書-upload1.
接続の削除 。このボタンは以前に構成した接続を削除します。なお、この操作は元に戻せません。接続を削除するとトークンも削除されます。後で接続を再設定する場合は、上記の手順を再度行う必要があります。
最終更新
役に立ちましたか?