您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。

前提条件

  • 从对用户提供的证书进行签名的 CA 获取根证书和中间证书。请参阅 获取证书颁发机构证书
  • 确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据,并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。
  • 同意表单内容(如果在身份验证之前显示同意表单)。

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 在“常规设置”>“身份验证设置”部分中,单击显示
  3. 单击“X.509 证书”行中的齿轮箱。
  4. 配置 X.509 证书表单。
    星号表示必填文本框。所有其他文本框都是可选的。
    选项 说明
    启用 X.509 证书 将“否”更改为以启用证书身份验证。
    *根 CA 证书和中间 CA 证书 单击选择以选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。
    启用证书吊销 将“否”更改为以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户进行身份验证。
    使用来自证书的 CRL 选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。
    CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
    OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP,您可以选中该框以在 OCSP 检查不可用时改用 CRL。
    发送 OCSP Nonce 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中该复选框。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    使用证书中的 OCSP URL 选中此框以使用 OCSP URL。
    在进行身份验证前启用同意表单 选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。
  5. 单击保存

后续步骤

如果配置了 X.509 证书身份验证并在负载平衡器后面设置 Unified Access Gateway 设备,请确保将 Unified Access Gateway 配置为在负载平衡器上使用 SSL 直通,并且没有配置为在负载平衡器上终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway