Definições do Servidor
As definições do servidor estão disponíveis em https://YOURNAME.radius-as-a-service.com/settings/server
Portas e Endereços IP
Visão geral
O RADIUSaaS opera um serviço RadSec para fornecer autenticação segura baseada na nuvem aos seus utilizadores. Além disso, para os clientes que não conseguem utilizar RadSec no seu ambiente de rede, por exemplo devido a limitações de hardware e software, o RADIUSaaS fornece Proxies RADIUS, que tratam da conversão de protocolo de RADIUS para RadSec.
Tanto o serviço RadSec como o serviço RADIUS oferecem endereço(s) IP público(s) que permitem que os seus equipamentos e serviços de rede comuniquem com o nosso serviço a partir de qualquer lugar através da internet. Esses serviços operam nas suas portas registadas exclusivas.
RadSec / TCP
DNS do RadSec
A entrada DNS através da qual o serviço RadSec pode ser alcançado.
Endereços IP do Servidor
Este é o endereço IP público do serviço RadSec.
Portas RadSec
Esta é a porta registada para RadSec: 2083
Failover e Redundância
Nos casos em que os clientes exigem níveis mais elevados de redundância, vários endpoints RadSec podem ser configurados para a sua instância fornecendo endereços IP adicionais. Por favor note que existe um custo adicional para este serviço.
É importante notar que o RADIUSaaS NÃO fornece failover entre endpoints RadSec. Em vez disso, este failover é tipicamente implementado no seu equipamento de rede como mostrado no exemplo abaixo usando Meraki.
Recomenda-se configurar o seu cenário de failover usando endereços IP em vez de DNS para melhor visibilidade e menor dependência de um serviço adicional (DNS).
Nesta configuração, os dois endereços IP do RadSec são listados por ordem de preferência. Quando a Meraki não consegue alcançar um dos endereços IP, tipicamente tentará mais duas vezes e passa para o seguinte. Para mais informações sobre a capacidade de failover do seu sistema Meraki (ou outro), consulte os seus próprios recursos.
Definições RadSec
As seguintes definições controlam certos aspectos da ligação RadSec à sua instância RADIUSaaS.
Versão TLS Máxima
Esta definição controla a versão máxima de TLS para a sua interface RadSec. A versão mínima é fixa em 1.2, o máximo predefinido está definido para 1.3.
O TLS 1.3 oferece várias vantagens em relação ao 1.2, incluindo o mecanismo de autenticação pós-handshake, que permite solicitar credenciais adicionais antes de completar o handshake. Isto é importante para as verificações de validação dos certificados RadSec discutidas a seguir.
Verificação de Revogação para Certificados RadSec
Esta definição determina se uma verificação de revogação deve ser executada para todas as ligações RadSec. O método para verificar a revogação difere ligeiramente daquele usado para certificados de autenticação de clientes.
Para o funcionamento correcto do RadSec, dispositivos de rede como Pontos de Acesso, Switches e Servidores VPN estabelecem uma ligação protegida por TLS ao servidor RadSec. Implementações RadSec tipicamente usam TLS mútuo (mTLS), onde ambas as partes se autenticam mutuamente usando certificados X.509 durante o handshake TLS. A implementação do RADIUSaaS impõe mTLS.
Para determinar a validade e o estado de revogação de um certificado de cliente RadSec, o certificado deve ser apresentado pelo cliente como parte do processo de autenticação TLS. Só após o certificado ser recebido é que podem ser realizadas verificações de revogação (por exemplo, via CRL ou OCSP).
TLS 1.2
O TLS 1.2 suporta autenticação mútua TLS durante o handshake inicial usando as CertificateRequest, Certificate, e CertificateVerify mensagens. Quando a autenticação do cliente é exigida e correctamente aplicada, o certificado do cliente RadSec é apresentado, validado e verificado quanto à revogação antes da sessão TLS ser estabelecida e antes de qualquer tráfego RADIUS ser trocado.
No entanto, o TLS 1.2 também permite autenticação opcional do cliente e suporta renegociação. Como resultado, algumas implementações de clientes RadSec podem completar o handshake inicial sem apresentar um certificado de cliente. Esse comportamento é específico da implementação e não uma limitação do protocolo TLS 1.2.
Para mitigar o comportamento acima, a Verificação de Revogação para Certificados RadSec definição é desactivada quando a versão máxima do TLS está definida para 1.2. Por favor note que pode reativá-la manualmente mais tarde.
TLS 1.3
O TLS 1.3 fornece um modelo mais determinístico e simplificado para autenticação mútua TLS. Quando a autenticação do cliente é solicitada, o certificado do cliente RadSec é trocado como parte do handshake inicial e validado antes da ligação TLS ser estabelecida. Isto permite que o servidor RadSec verifique imediatamente o certificado do cliente, incluindo o seu estado de revogação, e que falhe o handshake se o certificado for inválido ou revogado. Como resultado, o TLS 1.3 possibilita uma aplicação mais rígida e previsível da autenticação mútua TLS para ligações RadSec.
A Verificação de Revogação para Certificados RadSec definição é automaticamente activada quando a versão máxima do TLS está definida para 1.3.
RADIUS / UDP
Esta secção está disponível quando configurou pelo menos um Proxy RADIUS. Para cada proxy, um endereço IP público separado está disponível. Os endereços IP públicos nesta secção suportam apenas o protocolo RADIUS e, portanto, escutam nas portas 1812/1813.
Endereços IP do Servidor e Localização
Estes endereços IP escutam apenas em RADIUS sobre as portas UDP 1812/1813.
Geo-localização do(s) Proxy(s) RADIUS bem como o(s) respectivo(s) endereço(s) IP público(s).
Segredos Partilhados
O segredo partilhado para o respectivo Proxy RADIUS. Por defeito, todos os Proxies RADIUS são inicializados com o mesmo segredo partilhado.
Portas
Esta secção apresenta as portas padrão para os serviços de autenticação RADIUS (1812) e de contabilização RADIUS (1813).
Failover e Redundância
Redundância do Proxy
Note que um único Proxy RADIUSaaS não fornece redundância. Para garantir redundância, configure múltiplos Proxies RADIUSaaS conforme descrito aqui.
Redundância do Serviço RadSec para Proxies
Ao usar o RADIUSaaS com múltiplas instâncias RadSec, os Proxies são configurados automaticamente para se ligar a todas as instâncias RadSec disponíveis. Um Proxy RADIUSaaS priorizará a ligação ao Serviço RadSec regional mais próximo. Se esse serviço estiver indisponível, ele mudará para outro Serviço RadSec disponível.
Certificados do Servidor
CA do Cliente
Por defeito, o RADIUSaaS gera uma Certificado de Servidor RADIUS assinado por uma Autoridade Certificadora (CA) que está disponível no nosso serviço unicamente para este fim. Referimo-nos a ela como a CA do Cliente. A Customer-CA é única para cada cliente.
Para criar a sua Customer-CA, siga estes passos simples:
Navegue até Definições > Definições do Servidor
Clique em Adicionar
Escolha Deixe o RaaS criar uma CA para si
Clique em Guardar
Após a criação, verá um novo certificado disponível em Certificados do Servidor
Traga o seu próprio certificado
Caso não pretenda usar a Customer CA, pode carregar até dois dos seus próprios certificados.
Certificado de servidor emitido pelo SCEPman
Por favor siga estes passos para aproveitar o SCEPman Certificate Master para gerar um novo certificado de servidor:
Navegue até ao seu portal web do SCEPman Certificate Master.
Selecione Request Certificate no lado esquerdo
Selecione (Web) Server no topo
Selecione Formulário
Insira todos os Subject Alternative Names (SANs) para os quais o certificado deverá ser válido, separados por vírgulas, pontos e vírgulas ou quebras de linha. Gere um certificado de servidor conforme descrito aqui e forneça qualquer FQDN que desejar. Recomendamos adaptar o SAN do certificado de servidor predefinido, por exemplo,
radsec-<nome da sua instância RADIUSaaS>.radius-as-a-service.com.Defina o Formato de ficheiro para download para PEM
Selecione Incluir Cadeia de Certificados e descarregue o certificado.
Submeter o pedido para descarregar o novo certificado de servidor.
Importante: Anote temporariamente a palavra-passe pois não pode ser recuperada a partir do Certificate Master.
Carregue o novo certificado de servidor para RADIUSaaS
Para adicionar o seu certificado de servidor criado nos passos acima, navegue até instância RADIUSaaS > Definições > Definições do Servidor > Adicionar depois
Escolha Certificado codificado em PEM ou PKCS#12 (Se selecionou PKCS#12 no passo 5, este contém tanto a chave pública como a privada)
Arraste e largue o ficheiro do seu certificado ou clique para o procurar
Introduza a palavra-passe da sua Chave Privada
Clique em Guardar
Por favor note: Por defeito, o SCEPman Certificate Master emite certificados válidos por 730 dias. Se desejar alterar isto, por favor consulte a documentação.
Ativação do certificado
Assegure-se de monitorizar a expiração do seu certificado de servidor e renová-lo atempadamente para evitar interrupções do serviço.
Como os certificados expiram de tempos a tempos ou a sua preferência sobre quais certificados pretende usar muda, é importante que possa controlar o certificado que o seu servidor está a usar. A Activo coluna mostra-lhe o certificado que o seu servidor está a usar actualmente. Para alterar o certificado que o seu servidor está a usar, expanda a linha do certificado que deseja escolher e clique em Activar.
Descarregar
Para descarregar o seu Certificado de Servidor, tem duas opções:
Clique em Descarregar Certificado CA no topo. Isto irá descarregar directamente a CA raiz de confiança do actualmente activo certificado de servidor.
Clique no ícone de download na linha correspondente.
Opção 2 abrirá um diálogo mostrando o caminho completo do certificado. O certificado raiz será sempre marcado a verde.
Para ambas as opções, o certificado raiz descarregado está codificado em base64 (PEM). Caso o seu dispositivo (por exemplo, controlador WiFi) necessite de codificação binária (DER), pode convertê-lo usando OpenSSL:
Eliminar
Para eliminar um certificado, expanda a linha correspondente, clique em Eliminar e confirme a sua escolha.
Expiração do Certificado
Não deixe o Certificado de Servidor RADIUS expirar. Ele quebrará a autenticação.
Os certificados expiram de tempos a tempos. Cinco meses antes do seu certificado expirar, o seu painel mostrar-lhe-á uma dica exibindo um sinal de aviso ao lado dele.
Se o triângulo estiver exibido ao lado do Certificado de Servidor RADIUS activo, siga este guia para o atualizar:
Renovação do Certificado do ServidorLigação SCEPman
Apenas SCEPman Enterprise Edition
Aplicável à versão 3.0 e superiores
A definição de Ligação SCEPman destina-se a ligar a sua instância RaaS diretamente à sua instância SCEPman. Quando configurar esta ligação, o RaaS realizará a seguinte tarefa:
Criar e activar um novo Certificado de Servidor
Gerirá este certificado de Servidor incluindo o processo de renovação.
Para estabelecer esta ligação, siga estes passos:
Copie o token API mostrado.
Navegue até ao seu App Service SCEPman conforme este guia e crie uma nova variável de ambiente chamada AppConfig:RADIUSaaSValidation:Token usando o Token copiado anteriormente como valor.
Aplique as suas definições e Reinicie o seu App Service.
Introduza a URL da sua instância SCEPman no campo SCEPman URL.
Clique em Configurar Ligação. Esta acção desactiva o certificado de servidor actual para que o certificado recém-criado possa ser gerido.
Depois de concluída a configuração, dois novos botões aparecerão e substituirão os anteriores.
Rodar Certificado. Este botão rodará e activará o seu certificado de servidor entre os dois slots disponíveis. Servercertificate-upload0 e Servercertificate-upload1.
Eliminar Ligação. Este botão irá eliminar a sua ligação previamente configurada. Por favor note que esta acção não pode ser desfeita. Quando eliminar a ligação, o token também será eliminado. Se desejar configurar a ligação mais tarde, precisará de percorrer os passos acima.
Last updated
Was this helpful?