Sie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat. Siehe Anfordern der Zertifizierungsstellenzertifikate.

  • Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügt und die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiert wurden.

  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.

  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

  • Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Authentifizierungseinstellungen auf Anzeigen.
  3. Klicken Sie in der Zeile des X.509-Zertifikats auf das Zahnradsymbol.
  4. Konfigurieren Sie das X.509-Zertifikat.

    Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.

    Option

    Beschreibung

    X.509-Zertifikat aktivieren

    Ändern Sie NEIN in JA, um die Zertifikatauthentifizierung zu aktivieren.

    *Name

    Name bezeichnet die Authentifizierungsmethode.

    *Stamm- und Zwischenzertifikate für CA

    Klicken Sie auf Auswählen, um die hochzuladenden Zertifikatdateien auszuwählen. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind.

    CRL-Zwischenspeichergröße

    Geben Sie die Größe des Zwischenspeichers für die Zertifikatsperrliste ein. Die Standardeinstellung ist 100.

    Zurückrufen von Zertifikaten aktivieren

    Ändern Sie NEIN in JA, um die Zertifikatssperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL aus Zertifikaten verwenden

    Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.

    OCSP-Sperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL bei OCSP-Fehler verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.

    Signaturzertifikat des OCSP-Antwortdienstes

    Geben Sie den Pfad des OSCP-Zertifikats für den Antwortdienst: /path/to/file.cer ein.

    Zustimmungsformular vor Authentifizierung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.

    Inhalt des Zustimmungsformulars

    Geben Sie hier den Text ein, der im Zustimmungsformular angezeigt wird.

  5. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn die X.509­Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliance hinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass Unified Access Gateway mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht im Lastausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified Access Gateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.