# Ruckus {% hint style="info" %} O seguinte guia foi criado usando Ruckus **Virtual SmartZone Essentials** versão **6.1.2.0.441**. {% endhint %} ## Preparar certificados Para estabelecer uma conexão RadSec válida, os seus Access Points devem confiar no **Certificado do servidor RADIUS** e o seu servidor RADIUS deve confiar no seu **Certificado de Cliente RadSec**. Para conseguir isso, 1. Descarregue o certificado raiz da CA que emitiu o seu **Certificado do servidor RADIUS** conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#download). 2. Crie um **Certificado de Cliente RadSec** para o seu Ruckus SmartZone. Se estiver a usar **SCEPman Certificate Master**, o processo é descrito [aqui](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12). 3. **Divida o certificado gerado** na chave privada (nomeada "priv.key" neste exemplo) e no certificado (nomeado "clientcert.cer"). Caso o **Certificado de Cliente RadSec** tenha sido descarregado no formato **PKCS#12/.pfx** , isto pode ser facilmente feito, por exemplo, usando OpenSSL:\ \ Chave Privada:\ `openssl pkcs12 -in .pfx -nocerts -nodes -out priv.key`\ \ Certificado sem Chave Privada:\ `openssl pkcs12 -in .pfx -clcerts -nokeys -out clientcert.cer` Dependendo da versão do firmware do seu Ruckus, poderá ser necessário remover a secção de atributos do pacote dos seus ficheiros de certificado e chave privada. Esta secção tem um aspeto semelhante ao do seguinte exemplo: ``` Atributos localKeyID: 52 70 EB 96 89 23 90 F9 D5 0E 06 82 5C EC F7 63 30 44 F1 A9 friendlyName: Certificate from SCEPman Key Attributes: ``` {% hint style="warning" %} Certifique-se de monitorizar a expiração do seu **Certificado de Cliente RadSec** e renová-lo a tempo para evitar interrupções no serviço. {% endhint %} 3. Adicione o certificado raiz da CA que emitiu o **Certificado de Cliente RadSec** à sua instância RADIUS conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add) e selecione **RadSec** em **Usar para**. \ Caso o **Certificado de Cliente RadSec** tenha sido emitido pela SCEPman e já confie na SCEPman Root CA para autenticação de cliente, basta editar o certificado SCEPman Root CA confiável e selecionar **Ambos** em **Usar para**. ## Configuração do Ruckus SmartZone (SZ) {% hint style="info" %} A seguir, o Ruckus SZ é configurado como um **proxy de autenticação**, ou seja, os pedidos de autenticação RADIUS são encaminhados dos WAPs para o Ruckus SZ e reencaminhados centralmente para o RADIUSaaS. {% endhint %} Para informações gerais sobre como importar certificados para o Ruckus SmartZone, consulte a respetiva documentação: {% embed url="" %} 1. Importe o certificado raiz da CA que emitiu o seu **Certificado do servidor RADIUS** (transferido durante a etapa 1 [aqui](#prepare-certificates)) navegando até **Administração >** **Sistema > Certificates > SZ Trusted CA Certificates/Chain (external)**. 2. Clique em **Importar**, forneça um **Nome** e um opcional **Descrição** para o seu certificado RADIUS CA e carregue o ficheiro de certificado clicando em **Procurar** ao lado de **Root CA Certificate**. Caso esteja a trazer o seu próprio **Certificado do servidor RADIUS** e caso tenha sido emitido por uma CA intermédia, carregue também todos os certificados intermédios em **Intermediate CA Certificates**.

3. Em seguida, clique em **Validar** e **OK**. 4. Importe o seu **Certificado de Cliente RadSec** (obtido na etapa 3 [aqui](#prepare-certificates)) navegando até **Administração >** **System > Certificates > SZ as Client Certificate**. 5. Clique em **Importar** e forneça um **Nome** e um opcional **Descrição** para o seu **Certificado de Cliente RadSec**. Em seguida, carregue a parte pública do seu **Certificado de Cliente RadSec** clicando em **Procurar** ao lado de **Certificado de Cliente**. Por fim, carregue a chave privada clicando em **Procurar** ao lado de **Chave privada**.

6. Para a configuração do servidor RADIUS, navegue até **Security > Authentication > Proxy (SZ Authenticator)**. 7. Clique em **Criar** e forneça um **Nome**, opcional **Nome amigável** e **Descrição** para o perfil RADIUS. 8. Selecione **RADIUS** como **Protocolo do serviço**. 9. Em **Opções de serviço RADIUS**, configure as seguintes definições: | **Encriptação** | Ativar | | ------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **CN/SAN Idenity** |

Forneça o atributo CN/SAN do seu Certificado do servidor RADIUS.

Showing SAN to be used as Certificate server name

| | **Validação OCSP** |

Predefinição: Desativado
Caso esteja a trazer o seu próprio Certificado do servidor RADIUS e a CA que o emitiu permita a sua revogação, forneça aqui o URL do Respondedor OCSP da sua CA.

| | **Certificado de Cliente** | Selecione o **Certificado de Cliente RadSec** carregado anteriormente no Ruckus SZ. | | **Certificado de servidor** | Desativar | | **Entrega de localização fora de banda RFC5580** | Desativar | 10. Em seguida, em **Servidor Principal**, para o **Endereço IP/FQDN** escolha o endereço IP ou o nome DNS do seu [ponto final do serviço RadSec](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#properties). Para o **Porta** selecione **2083**.

11. Clique em **OK**.