在 Unified Access Gateway 上配置证书身份验证

您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。

前提条件

从对用户提供的证书进行签名的 CA 获取根证书和中间证书。
请参阅获取证书颁发机构证书
确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据，并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。
（可选）用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
对于吊销检查，CRL 的文件位置以及 OCSP 服务器的 URL。
（可选）OCSP 响应签名证书文件位置。
同意表单内容（如果在身份验证之前显示同意表单）。

过程

在 Unified Access Gateway 管理 UI 中，导航到手动配置部分，然后单击选择。
在常规设置 > 身份验证设置中，单击显示。
单击“X.509 证书”齿轮箱。

配置 X.509 证书表单。

星号表示必填文本框。所有其他文本框都是可选的。

选项	说明
启用 X.509 证书	将“否”更改为是以启用证书身份验证。
*根 CA 证书和中间 CA 证书	要上载证书文件，请单击选择。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。注：在版本 2012 及更高版本中，UAG 支持配置多个具有相同主体 DN 的 CA 证书。在使用具有相同主体 DN 和不同密钥对的更新后 CA 颁发者证书时，这种多证书支持功能非常有用。此功能允许将旧 CA 证书和新 CA 证书一起使用，以支持由任何颁发者颁发的客户端证书。UAG 使用颁发机构密钥标识符来标识与用于签名证书的私钥相对应的公钥。在颁发者具有多个签名密钥（由于存在多个并发密钥对或由于转换）时使用此扩展。
启用证书吊销	将“否”更改为是以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户进行身份验证。
使用来自证书的 CRL	选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态（吊销或未吊销）。
CRL 位置	输入从中检索 CRL 的服务器文件路径或本地文件路径。
启用 OCSP 吊销	选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
OCSP 失败时使用 CRL	如果配置 CRL 和 OCSP，您可以选中该框以在 OCSP 检查不可用时改用 CRL。
发送 OCSP Nonce	如果您希望在响应中发送 OCSP 请求的唯一标识符，请选中该复选框。
OCSP URL	如果启用了 OCSP 吊销，请输入 OCSP 服务器地址以进行吊销检查。
使用证书中的 OCSP URL	选中此框以使用 OCSP URL。
在进行身份验证前启用同意表单	选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。

单击保存。

下一步做什么

如果配置了 X.509 证书身份验证并在负载均衡器后面设置了 Unified Access Gateway 设备，请确保将负载均衡器配置为在负载均衡器上使用 SSL 直通，并且未配置为终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway。