您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。

前提条件

  • 从对用户提供的证书进行签名的 CA 获取根证书和中间证书。

    请参阅 获取证书颁发机构证书

  • 确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据,并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。
  • 同意表单内容(如果在身份验证之前显示同意表单)。

过程

  1. Unified Access Gateway 管理 UI 中,导航到手动配置部分,然后单击选择
  2. 常规设置 > 身份验证设置中,单击显示
  3. 单击“X.509 证书”齿轮箱。
  4. 配置 X.509 证书表单。
    星号表示必填文本框。所有其他文本框都是可选的。
    选项 说明
    启用 X.509 证书 将“否”更改为以启用证书身份验证。
    *根 CA 证书和中间 CA 证书 要上载证书文件,请单击选择

    您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。

    注: 如果上载多个具有相同 DN 的证书,则最新上载的证书将替换现有证书。因此,多个具有相同 DN 的证书不能在 Unified Access Gateway 中共存。
    启用证书吊销 将“否”更改为以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户进行身份验证。
    使用来自证书的 CRL 选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。
    CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
    OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP,您可以选中该框以在 OCSP 检查不可用时改用 CRL。
    发送 OCSP Nonce 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中该复选框。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    使用证书中的 OCSP URL 选中此框以使用 OCSP URL。
    在进行身份验证前启用同意表单 选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。
  5. 单击保存

下一步做什么

如果配置了 X.509 证书身份验证并在负载平衡器后面设置了 Unified Access Gateway 设备,请确保将负载平衡器配置为在负载平衡器上使用 SSL 直通,并且未配置为终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway