Sie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.

    Siehe Anfordern der Zertifizierungsstellenzertifikate.

  • Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügt und die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiert wurden.
  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
  • Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.

Prozedur

  1. Navigieren Sie in der Unified Access Gateway-Admin-UI zum Abschnitt Manuell konfigurieren und klicken Sie auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Authentifizierungseinstellungen auf Anzeigen.
  3. Klicken Sie auf die X.509-Zertifikat-Gearbox.
  4. Konfigurieren Sie das X.509-Zertifikat.
    Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.
    Option Beschreibung
    X.509-Zertifikat aktivieren Aktivieren Sie diese Umschaltoption, um die Authentifizierung von Zertifikaten zu aktivieren.
    *Stamm- und Zwischenzertifikate für CA Um die Zertifikatsdateien hochzuladen, klicken Sie auf Auswählen.
    Tipp: Sie können eine einzelne Datei mit mehreren Root- und Zwischen-CA-Zertifikaten auswählen, die im DER- oder PEM-Format codiert sind.

    Klicken Sie anschließend zum Hinzufügen einer weiteren Datei mit Zertifikaten auf Auswählen.

    Hinweis: Ab Version 2012 und höher unterstützt Unified Access Gateway die Konfiguration mehrerer CA-Zertifikate mit demselben Antragsteller-DN. Diese Unterstützung für mehrere Zertifikate ist nützlich, wenn ein aktualisiertes CA-Ausstellerzertifikat mit demselben Antragsteller-DN, aber einem anderen Schlüsselpaar verwendet wird. Mit dieser Funktion können Sie die alten und neuen CA-Zertifikate gemeinsam verwenden, um Clientzertifikate zu unterstützen, die entweder vom alten oder neuen CA-Zertifikat ausgegeben werden. Unified Access Gateway verwendet die Schlüssel-ID der Zertifizierungsstelle zur Angabe des öffentlichen Schlüssels, der dem zum Signieren eines Zertifikats verwendeten privaten Schlüssel entspricht. Diese Erweiterung wird verwendet, wenn ein Aussteller über mehrere Signaturschlüssel verfügt (entweder aufgrund mehrerer gleichzeitiger Schlüsselpaare oder aufgrund eines Wechsels).
    Zurückrufen von Zertifikaten aktivieren Aktivieren Sie diese Umschaltoption, um die Überprüfung des Zertifikatswiderrufs zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.
    CRL aus Zertifikaten verwenden Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.
    CRL-Speicherort Serverdateipfad oder den lokalen Dateipfad eingeben, von dem die CRL geladen werden kann
    OCSP-Sperrung aktivieren Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.
    CRL bei OCSP-Fehler verwenden Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.
    OCSP-Nonce senden Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.
    OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.
    OCSP-URL des Zertifikats verwenden Aktivieren Sie dieses Kontrollkästchen für die Verwendung der OCSP-URL.
    Zustimmungsformular vor Authentifizierung aktivieren Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.
  5. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn die X.509­Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliance hinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass der Lastausgleichsdienst mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified Access Gateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.