# UniFi

{% hint style="info" %}
O RADIUS sobre TLS (RADSEC) foi adicionado ao **UniFi Network 8.4** e versões mais recentes. Certifique-se de que o seu controller e os dispositivos de rede **atualizados** antes de seguir este guia.
{% endhint %}

{% hint style="warning" %}
Os clientes relataram **atrasos** entre a ativação da funcionalidade RadSec no Unify Dashboard e a sua operacionalidade.
{% endhint %}

## Preparar certificados

Para estabelecer uma conexão RadSec válida, os seus Access Points devem confiar no **Certificado do servidor RADIUS** e o seu servidor RADIUS deve confiar no seu **Certificado de Cliente RadSec**. Para conseguir isso,

1. Descarregue o certificado raiz da CA que emitiu o seu **Certificado do servidor RADIUS** conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#download).\
   Neste exemplo, o SCEPman é usado como CA raiz e emitiu o certificado do servidor RADIUS. Por isso, descarregamos o certificado da CA raiz do portal SCEPman:\
   \
   ![](https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fqcje6zykfUaJtZ2Mpn2J%2Fimage.png?alt=media\&token=2d4e54d1-79fa-40ff-8886-a3f23fa93eec)\
   Em seguida, converta o seu certificado para Base-64. Isto pode ser facilmente feito através do Assistente de Exportação de Certificados do Windows, OpenSSL ou outras ferramentas:<br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FPsfLYTHWwhFMHRC5e9v0%2Fimage.png?alt=media&#x26;token=9699aa03-c995-4dd6-9023-83ea4bcedc62" alt=""><figcaption></figcaption></figure>
2. Crie um **Certificado de Cliente RadSec** para os seus pontos de acesso. Se estiver a usar **SCEPman Certificate Master**, o processo é descrito [aqui](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12).\
   Neste exemplo, geramos um certificado no formato "PEM". Tome nota da palavra-passe, pois vamos precisar dela mais tarde.<br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FiiknhsyBtg1OMx5zokB4%2Fimage.png?alt=media&#x26;token=008eea9c-a5a8-4ad6-9b0c-d43eda7501f6" alt=""><figcaption></figcaption></figure>
3. Divida o certificado gerado na chave privada (chamada "priv.key" neste exemplo) e no certificado (chamado "clientcert.cer"). Isto pode ser feito facilmente através de um editor de texto:<br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fy4RgXqj46pwMDFObuQT0%2FScreenshot%202024-09-24%20101150.png?alt=media&#x26;token=e40c8932-f818-481e-af8c-ff8980dffea0" alt=""><figcaption></figcaption></figure>
4. Adicione o certificado raiz da CA que emitiu o **Certificado de Cliente RadSec** à sua instância RADIUS conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add) e selecione **RadSec** em **Usar para**.\
   Caso o **Certificado de Cliente RadSec** foi emitido pelo SCEPman (este exemplo) e já confia na CA raiz SCEPman para autenticação de clientes, basta editar o certificado da CA raiz SCEPman de confiança e selecionar **Ambos** em **Usar para**:\ <br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FRC0VFYe5IAzWPOK6ZWrg%2Fimage.png?alt=media&#x26;token=7ea810cd-aa2e-49a0-a5c2-0508bc1f818f" alt=""><figcaption></figcaption></figure>

## configuração do UniFi

{% hint style="info" %}
As definições abaixo são as definições necessárias para estabelecer uma ligação RadSec funcional com o nosso serviço. Configure quaisquer outras definições à sua discrição.
{% endhint %}

1. Navegue até ao seu controller UniFi Network e abra **Definições** **> Perfis > RADIUS**.
2. Crie um novo perfil ou atualize um existente:<br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F3ZiX4U8lG2ODqepWi9TR%2Fimage.png?alt=media&#x26;token=3f8e33a3-87a1-4628-9051-8f5c9f79f5c3" alt=""><figcaption></figcaption></figure>
3. Preencha as informações necessárias:
   1. **Suporte de VLAN atribuída por RADIUS**: opcional / se necessário
   2. **Definições RADIUS**:
      1. **TLS**: Ative a caixa de seleção.
      2. **Servidores de autenticação**:\
         \- **Endereço(es) IP do servidor**: Forneça o endereço IP do seu [ponto final do serviço RadSec](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#properties).\
         \- **Porta**: 2083.\
         \- **Segredo partilhado**: `radsec`.
      3. **Certificado de Cliente**: Carregue o **Certificado de Cliente RadSec** (obtido na etapa 3 [aqui](#prepare-certificates)).
      4. **Chave privada**: Carregue a chave privada do seu **Certificado de Cliente RadSec** (obtido na etapa 3 [aqui](#prepare-certificates)).
      5. **Palavra-passe da chave privada**: conforme anotado.
      6. **Certificado da CA**: Carregue o certificado raiz da CA que emitiu o seu **Certificado do servidor RADIUS** (obtido no passo 1 [aqui](#prepare-certificates)).
      7. **Contabilização**: Ative a caixa de seleção.
      8. **Servidor de contabilização RADIUS**:\
         \- **Endereço(es) IP do servidor**: Forneça o endereço IP do seu [ponto final do serviço RadSec](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#properties).\
         \- **Porta**: 2083\
         \- **Segredo partilhado**: `radsec`
      9. **Intervalo de atualização intermédia**: opcional / se necessário<br>

         <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F7bVZwLVu65fJAw2ip9yW%2Fimage.png?alt=media&#x26;token=f4f95e73-62aa-493d-ad3a-b2aae7e7282d" alt=""><figcaption></figcaption></figure>
4. Atribua este perfil ao perfil WiFi pretendido:<br>

   <figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FIYtSOpXKancg5DOguLnp%2Fimage.png?alt=media&#x26;token=9d545eb1-1f53-483d-b0bb-b96dce504ec3" alt=""><figcaption></figcaption></figure>
5. Dê algum tempo aos seus pontos de acesso para aplicarem a nova configuração:\
   \
   ![](https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FgLOTqgYBnWr21PwSxqwx%2Fimage.png?alt=media\&token=6db006ec-38eb-4b04-be4e-cabe263426ea)

### Referência: Centro de Ajuda UniFi

[UniFi Gateway - Configurando um servidor RADIUS](https://help.ui.com/hc/en-us/articles/360015268353-UniFi-Gateway-Configuring-a-RADIUS-Server)