# FortiNet

{% hint style="info" %}
Para usar o recurso RadSec no seu FortiGate para WiFi (com FortiAPs), o firmware FortiOS **7.6.0** ou posterior é necessário no FortiGate.
{% endhint %}

## Preparar certificados

Para estabelecer uma conexão RadSec válida, os seus Access Points devem confiar no **Certificado do servidor RADIUS** e o seu servidor RADIUS deve confiar no seu **Certificado de Cliente RadSec**. Para conseguir isso,

1. Descarregue o certificado raiz da CA que emitiu o seu **Certificado do servidor RADIUS** conforme descrito [aqui](/pt/portal-de-administracao/settings/settings-server.md#download).
2. Crie um **Certificado de Cliente RadSec** para seus WAPs (gerenciados centralmente via FortiGate). Se você estiver usando **SCEPman Certificate Master**, o processo é descrito [aqui](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). O FortiGate aceita o **PKCS#12** formato para certificados de cliente RadSec.

{% hint style="warning" %}
Certifique-se de monitorizar a expiração do seu **Certificado de Cliente RadSec** e renová-lo a tempo para evitar interrupções no serviço.
{% endhint %}

3. Adicione o certificado raiz da CA que emitiu o **Certificado de Cliente RadSec** à sua instância RADIUS conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add) e selecione **RadSec** em **Usar para**.\
   No caso de a **Certificado de Cliente RadSec** tenha sido emitido pela SCEPman e já confie na SCEPman Root CA para autenticação de cliente, basta editar o certificado SCEPman Root CA confiável e selecionar **Ambos** em **Usar para**. 

## Configuração do FortiGate

{% hint style="info" %}
As definições abaixo são as definições necessárias para estabelecer uma ligação RadSec funcional com o nosso serviço. Configure quaisquer outras definições a seu critério.
{% endhint %}

### Via interface gráfica

Para configurar o RadSec na interface gráfica do seu FortiGate, siga os passos abaixo:

* Crie um novo **Servidor RADIUS** e adicione o seu [endereço IP do servidor RadSec](/pt/portal-de-administracao/settings/settings-server.md#radsec-tcp) em **IP/Nome**. Para o **Segredo**, use "radsec".

<figure><img src="/files/1d9d4b93735fbbabf5414374c0b1bed0d8667a61" alt=""><figcaption></figcaption></figure>

* Importe o [CA raiz do certificado do seu servidor RADIUS](/pt/portal-de-administracao/settings/settings-server.md#download) para o FortiGate **Certificados** em **Sistema > Certificados > Importar > Certificado CA**. A CA raiz importada será listada em **Certificado CA remoto**.

<figure><img src="/files/3b388deea2798997871db7330ada1136886c01d0" alt=""><figcaption></figcaption></figure>

* Importe o **Certificado de Cliente RadSec** para o seu FortiGate em\
  **Sistema > Certificados > Importar > Certificado**.

<figure><img src="/files/7f5659fed339300e231298605dc614cbb4310dad" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/58ca3b5cc9d7a9c8671bb42cbc7b0e4d7188788e" alt=""><figcaption></figcaption></figure>

* Modifique a configuração do servidor RADIUS no seu FortiGate para usá-lo como certificado de cliente RadSec.
* Se estiver ativado, desative o **server-identity-check** na configuração do servidor RADIUS do seu FortiGate.

### Via linha de comando

Para configurar o RadSec no seu FortiGate usando a linha de comando, use os conjuntos de instruções abaixo:

#### Configuração do servidor RADIUS

```python
config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nomeie a CA raiz do certificado do seu servidor RADIUS
set ca-cert "CA_Cert"

# Nomeie o certificado de cliente RadSec
set client-cert "certificate-fortigate"
```

#### Configuração do SSID WiFi

```python
config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end
```

### Referências

Link para a documentação da FortiGate sobre a configuração do RadSec:\
<https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/pt/configuracao/access-point-setup/radsec-available/fortinet.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.