您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。
前提条件
- 从对用户提供的证书进行签名的 CA 获取根证书和中间证书。请参阅 获取证书颁发机构证书
- 确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据,并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。
- (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
- 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
- (可选)OCSP 响应签名证书文件位置。
- 同意表单内容(如果在身份验证之前显示同意表单)。
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“常规设置”>“身份验证设置”部分中,单击显示。
- 单击“X.509 证书”行中的齿轮箱。
- 配置 X.509 证书表单。
星号表示必填文本框。所有其他文本框都是可选的。
选项 |
说明 |
启用 X.509 证书 |
将“否”更改为是以启用证书身份验证。 |
*根 CA 证书和中间 CA 证书 |
单击选择以选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。 |
启用证书吊销 |
将“否”更改为是以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户进行身份验证。 |
使用来自证书的 CRL |
选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。 |
CRL 位置 |
输入从中检索 CRL 的服务器文件路径或本地文件路径。 |
启用 OCSP 吊销 |
选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 |
OCSP 失败时使用 CRL |
如果配置 CRL 和 OCSP,您可以选中该框以在 OCSP 检查不可用时改用 CRL。 |
发送 OCSP Nonce |
如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中该复选框。 |
OCSP URL |
如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 |
使用证书中的 OCSP URL |
选中此框以使用 OCSP URL。 |
在进行身份验证前启用同意表单 |
选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。 |
- 单击保存。
后续步骤
如果配置了 X.509 证书身份验证并在负载平衡器后面设置 Unified Access Gateway 设备,请确保将 Unified Access Gateway 配置为在负载平衡器上使用 SSL 直通,并且没有配置为在负载平衡器上终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway。