Você habilita e configura a autenticação de certificado a partir do console de administração do Unified Access Gateway.
Pré-requisitos
- Obtenha o certificado raiz e os certificados intermediários da Autoridade de Certificação (Certificate Authority, CA) que assinou os certificados apresentados por seus usuários. Consulte Obter Certificados de Autoridade de Certificação
- Verifique se os metadados SAML do Unified Access Gateway estão adicionados no provedor de serviços e se os metadados SAML do provedor de serviço são copiados para o appliance do Unified Access Gateway.
- (Opcional) Lista de Identificadores de Objeto (Object Identifier, OID) das políticas de certificado válidas para a autenticação de certificado.
- Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.
- (Opcional) Localização do arquivo de certificado de assinatura de resposta OCSP.
- Conteúdo do formulário de consentimento se aparecer um formulário de consentimento antes da autenticação.
Procedimento
- Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.
- Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.
- Clique na engrenagem na linha do Certificado X.509.
- Configure o formulário do Certificado X.509.
Um asterisco indica uma caixa de texto obrigatória. Todas as outras caixas de texto são opcionais.
| Opção |
Descrição |
| Ativar Certificado X.509 |
Altere o NÃO para SIM para ativar a autenticação do certificado. |
| *Nome |
Nomeie este método de autenticação. |
| *Certificados de CA raiz e intermediária |
Clique em Selecionar para selecionar os arquivos de certificado a serem carregados. É possível selecionar vários certificados de CA intermediária e de CA raiz codificados como DER ou PEM. |
| Tamanho do cache CRL |
Insira o tamanho do cache da lista de revogação de certificado. O padrão é 100. |
| Ativar revogação de certificado |
Altere o NÃO para SIM para ativar a verificação de revogação de certificado. A verificação de revogação impede a autenticação dos usuários que têm certificados de usuário revogados. |
| Usar CRL dos certificados |
Marque a caixa de seleção para usar a lista de revogação de certificados (certificate revocation list, CRL) publicada pela CA que emitiu os certificados para validar o status de um certificado revogado ou não revogado. |
| Local da CRL |
Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recupera-se a CRL. |
| Ativar a revogação do OCSP |
Marque a caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado on-line (Online Certificate Status Protocol, OCSP) a fim de obter o status de revogação de um certificado. |
| Usar a CRL em caso de falha do OCSP |
Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazer fallback ao uso da CRL se a verificação do OCSP não estiver disponível. |
| Enviar nonce do OCSP |
Marque esta caixa de seleção se deseja que o identificador único da solicitação do OCSP seja enviado na resposta. |
| URL do OCSP |
Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação. |
| Certificado de assinatura do respondente do OCSP |
Insira o caminho ao certificado OCSP para o respondente, /path/to/file.cer. |
| Ativar formulário de consentimento antes da autenticação |
Marque esta caixa de seleção para incluir uma página do formulário de consentimento que aparecerá antes de os usuários fazerem login no Workspace Portal ONE usando a autenticação de certificado. |
| Conteúdo do formulário de consentimento |
Digite aqui o texto que será exibido no formulário de consentimento. |
- Clique em Salvar.
O que Fazer Depois
Quando a autenticação do Certificado X.509 é definida e o appliance do Unified Access Gateway é configurado atrás de um balanceador de carga, certifique-se de que o Unified Access Gateway esteja configurado com uma passagem do SSL no balanceador de carga e não esteja configurado para encerrar o SSL no balanceador de carga. Essa configuração assegura que o handshake do SSL esteja entre o Unified Access Gateway e o cliente para passar o certificado ao Unified Access Gateway.
