您可以从 Workspace ONE Access 控制台的“身份验证方法”页面中配置证书(云部署)身份验证方法,然后选择在内置身份提供程序中使用该身份验证方法。

前提条件

  • 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • (可选)设置 CRL 以进行吊销检查。
  • (可选)设置 OCSP 服务器以进行吊销检查,并了解 OCSP 响应者 URL。如果为 OCSP 服务器启用了吊销检查,请在启用前验证 OCSP 服务器是否正常工作。
  • (可选)OCSP 响应签名证书文件位置。
  • 同意表单内容(如果在身份验证前向用户显示同意表单)。

过程

  1. Workspace ONE Access 控制台的集成 > 身份验证方法页面中,选择证书 (云部署)
  2. 单击配置,然后配置证书身份验证设置。
    1. 上载证书。
      设置 描述
      启用证书适配器 要启用证书身份验证,请激活启用证书适配器选项开关。
      根 CA 证书和中间 CA 证书 选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。
      上载的 CA 证书 将在表单的“上载的 CA 证书”部分中列出上载的证书文件。
    2. 选择 用户标识符搜索顺序 以在证书中查找用户标识符。
      设置 描述
      用户标识符搜索顺序

      选择要在证书中查找用户标识符的搜索顺序。

      • UPN。主体备用名称的 UserPrincipalName 值
      • 电子邮件。主体备用名称中的电子邮件地址。
      • 主体。主体中的 UID 值。如果在主体 DN 中未找到 UID,则会使用 CN 文本框中的 UID 值(如果配置了 CN 文本框)。

      验证 UPN 格式 将此设置切换为以验证 UserPrincipalName 的格式。
    3. 请求超时。输入等待响应的时间(秒)。值为零 (0) 表示等待响应时间为无限长。
    4. 接受的证书策略。创建在证书策略扩展中接受的对象标识符 (OID) 列表。输入证书颁发策略的对象标识符编号。单击添加以添加其他 OID。
    5. 要配置证书吊销检查,请激活启用证书吊销选项开关。吊销检查可防止已吊销用户证书的用户进行身份验证。

      支持证书吊销列表 (CRL) 和联机证书状态协议 (OCSP) 吊销检查。

      请参阅在 Workspace ONE Access 中使用证书吊销检查进行证书身份验证

      仅配置 CRL 以进行吊销检查

      CRL 是由颁发证书的 CA 所发布的吊销证书列表。启用使用证书中的 CRL 以进行吊销后,Workspace ONE Access 服务器会读取 CRL,以确定用户证书的吊销状态。如果证书已吊销,则通过证书进行的身份验证会失败。

      您可以配置要用于吊销检查的 CRL URL。您可以从证书激活 URL,也可以在 CRL 位置 文本框中输入 CRL URL。该 URL 是从证书本身的 CRL 字段中获取的。

      选项 描述
      激活“使用证书中的 CRL”选项开关,并且不要在“CRL 位置”设置中设置值

      激活使用证书中的 CRL 选项开关时,将从证书的 CRL 字段中获取证书吊销列表 (CRL)。

      注: 如果“CRL 位置”设置值中有值,在此配置中将忽略该值。
      设置 CRL 位置。如果设置“CRL 位置”,请勿激活“使用证书中的 CRL”选项开关。 输入要从中检索用于验证证书状态的 CRL 的 CRL URL。
      注: 在此配置中,未激活 使用证书中的 CRL 选项开关。

      仅配置 OCSP 以进行吊销检查

      要仅使用 OCSP 进行吊销检查,请配置以下设置。

      注: 如果要将 AirWatch Certificate Authority 与 Workspace ONE Access 结合使用,请启用 OCSP 以进行吊销检查。请勿启用 使用证书中的 CRL 设置,或在 CRL 位置文本框中输入 URL 值。
      设置 描述
      启用 OCSP 吊销 要使用在线证书状态协议 (OCSP) 证书验证协议获取证书的吊销状态,请激活启用 OCSP 吊销选项开关。
      发送 OCSP 随机值

      OCSP 随机值是一种唯一标识符,用于以加密方式将 OCSP 响应消息绑定到特定的 OCSP 请求消息,以防遭受重放攻击。

      如果要使用 OCSP 请求的唯一标识符验证证书,请激活发送 OCSP 随机值选项开关。

      OCSP URL

      OCSP URL 可以在 OCSP URL 文本框中手动配置,也可以从正在验证的证书的授权信息访问 (AIA) 扩展中提取。

      要手动设置 OCSAP URL,请输入吊销检查服务器的 OCSP URL。

      OCSP URL 源

      配置证书身份验证时选择的 OCSP 选项决定了 Workspace ONE Access 获取 OCSP URL 的方式。

      从下拉菜单中,选择要用于吊销检查的源。

      • 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。“OCSP URL”文本框中还必须配置 OCSP 服务器地址,以进行吊销检查。
      • 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
        注: 如果使用的是 AirWatch CA,请选择 仅限证书 (必需) 作为源。
      • 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。“OCSP URL”文本框中的设置将被忽略。
      • 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
      OCSP 响应者的签名证书 搜索并选择响应者的 OCSP 证书文件。
      上载 OCSP 签名证书 此部分列出了上载的 OCSP 签名证书文件。

      同时配置 CRL 和 OCSP 以进行吊销检查

      要同时使用 CRL 和 OCSP 进行吊销检查,请配置 CRL 和 OCSP 吊销检查的设置,并激活 OCSP 失败时使用 CRL 选项开关。

      如果激活此设置,将首先检查 OCSP,如果 OCSP 失败,吊销检查将回退到 CRL。但如果 CRL 失败,吊销检查不会退回到 OCSP。
    6. 在身份验证前启用同意表单。选中此复选框可包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。在同意表单内容文本框中,输入在同意表单中显示的文本。
  3. 单击保存

下一步做什么