您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。
先决条件
从对用户提供的证书进行签名的 CA 获取根证书和中间证书。请参阅 获取证书颁发机构证书
确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据,并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。
(可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
对于吊销检查,则为 OCSP 服务器的 URL。
(可选)OCSP 响应签名证书文件位置。
同意表单内容(如果在身份验证之前显示同意表单)。
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“常规设置”>“身份验证设置”部分中,单击显示。
- 单击“X.509 证书”行中的齿轮箱。
- 配置 X.509 证书表单。
选项 |
说明 |
启用 X.509 证书 |
将“否”更改为是以启用证书身份验证。 |
*根 CA 证书和中间 CA 证书 |
单击选择以选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。 |
启用证书吊销 |
将“否”更改为是以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户进行身份验证。 |
启用 OCSP 吊销 |
选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 |
发送 OCSP Nonce |
如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中该复选框。 |
OCSP URL |
如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 |
使用证书中的 OCSP URL |
选中此框以使用 OCSP URL。 |
在进行身份验证前启用同意表单 |
选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。 |
- 单击保存。
下一步做什么
如果配置了 X.509 证书身份验证并在负载平衡器后面设置 Unified Access Gateway 设备,请确保将 Unified Access Gateway 配置为在负载平衡器上使用 SSL 直通,并且没有配置为在负载平衡器上终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway。