Você habilita e configura a autenticação de certificado a partir do console de administração do Unified Access Gateway.

Pré-requisitos

  • Obtenha o certificado raiz e os certificados intermediários da Autoridade de Certificação (Certificate Authority, CA) que assinou os certificados apresentados por seus usuários.

    Consulte Obter os certificados da Autoridade de Certificação

  • Verifique se os metadados SAML do Unified Access Gateway estão adicionados no provedor de serviços e se os metadados SAML do provedor de serviço são copiados para o appliance do Unified Access Gateway.
  • (Opcional) Lista de Identificadores de Objeto (Object Identifier, OID) das políticas de certificado válidas para a autenticação de certificado.
  • Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.
  • (Opcional) Localização do arquivo de certificado de assinatura de resposta OCSP.
  • Conteúdo do formulário de consentimento se aparecer um formulário de consentimento antes da autenticação.

Procedimento

  1. Na interface de usuário de administração do Unified Access Gateway, navegue até a seção Configurar Manualmente e clique em Selecionar.
  2. Na seção Configurações Gerais > Configurações de Autenticação, clique em Exibir.
  3. Clique na caixa de engrenagens Certificado X.509.
  4. Configure o formulário do Certificado X.509.
    Um asterisco indica uma caixa de texto obrigatória. Todas as outras caixas de texto são opcionais.
    Opção Descrição
    Ativar Certificado X.509 Ative essa opção para ativar a autenticação de certificado.
    *Certificados de CA raiz e intermediária Para carregar os arquivos de certificado, clique em Selecionar.
    Dica: Você pode carregar um único arquivo contendo vários certificados de CA raiz e intermediária codificados como DER ou PEM.

    Posteriormente, para adicionar outro arquivo contendo certificados, clique em Selecionar.

    Observação: Com a versão 2012 e posteriores, o Unified Access Gateway oferece suporte à configuração de vários certificados de autoridade de certificação com o mesmo DN de Assunto. Esse suporte a vários certificados é útil quando um certificado de emissor de autoridade de certificação atualizado é usado com o mesmo DN de assunto, mas um par de chaves diferente. Esse recurso permite usar os certificados de autoridade de certificação novo e antigo juntos para oferecer suporte a certificados de cliente emitidos pelo certificado de autoridade de certificação novo ou pelo certificado de autoridade de certificação antigo. O Unified Access Gatewayusa o identificador de chave de autoridade para identificar a chave pública correspondente à chave privada usada para assinar um certificado. Essa extensão é usada onde um emissor tem várias chaves de assinatura (devido a vários pares de chaves simultâneas ou devido à mudança).
    Ativar revogação de certificado Ative essa opção para ativar a verificação de revogação de certificado. A verificação de revogação impede a autenticação dos usuários que têm certificados de usuário revogados.
    Usar CRL dos certificados Marque a caixa de seleção para usar a lista de revogação de certificados (certificate revocation list, CRL) publicada pela CA que emitiu os certificados para validar o status de um certificado revogado ou não revogado.
    Local da CRL Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recupera-se a CRL
    Ativar a revogação do OCSP Marque a caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado on-line (Online Certificate Status Protocol, OCSP) a fim de obter o status de revogação de um certificado.
    Usar a CRL em caso de falha do OCSP Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazer fallback ao uso da CRL se a verificação do OCSP não estiver disponível.
    Enviar nonce do OCSP Marque esta caixa de seleção se deseja que o identificador único da solicitação do OCSP seja enviado na resposta.
    URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação.
    Use URL de OCSP do certificado Marque essa caixa para usar a URL do OCSP.
    Ativar formulário de consentimento antes da autenticação Marque esta caixa de seleção para incluir uma página do formulário de consentimento que aparecerá antes de os usuários fazerem login no Workspace Portal ONE usando a autenticação de certificado.
  5. Clique em Salvar.

O que Fazer Depois

Quando a autenticação do Certificado X.509 é definida e o dispositivo do Unified Access Gateway é configurado atrás de um balanceador de carga, certifique-se de que load-balancer esteja configurado com uma passagem do SSL no balanceador de carga e não esteja configurado para encerrar o SSL. Essa configuração assegura que o handshake do SSL esteja entre o Unified Access Gateway e o cliente para passar o certificado ao Unified Access Gateway.