Sie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.
Voraussetzungen
- Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat. Siehe Anfordern der Zertifizierungsstellenzertifikate.
- Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügt und die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiert wurden.
- (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
- Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
- (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
- Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Authentifizierungseinstellungen auf Anzeigen.
- Klicken Sie in der Zeile des X.509-Zertifikats auf das Zahnradsymbol.
- Konfigurieren Sie das X.509-Zertifikat.
Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.
Option |
Beschreibung |
X.509-Zertifikat aktivieren |
Ändern Sie NEIN in JA, um die Zertifikatauthentifizierung zu aktivieren. |
*Stamm- und Zwischenzertifikate für CA |
Klicken Sie auf Auswählen, um die hochzuladenden Zertifikatdateien auszuwählen. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind. |
Zurückrufen von Zertifikaten aktivieren |
Ändern Sie NEIN in JA, um die Zertifikatssperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen. |
CRL aus Zertifikaten verwenden |
Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren. |
CRL-Speicherort |
Serverdateipfad oder den lokalen Dateipfad eingeben, von dem die CRL geladen werden kann |
OCSP-Sperrung aktivieren |
Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren. |
CRL bei OCSP-Fehler verwenden |
Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist. |
OCSP-Nonce senden |
Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten. |
OCSP-URL |
Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein. |
OCSP-URL des Zertifikats verwenden |
Aktivieren Sie dieses Kontrollkästchen für die Verwendung der OCSP-URL. |
Zustimmungsformular vor Authentifizierung aktivieren |
Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden. |
- Klicken Sie auf Speichern.
Nächste Maßnahme
Wenn die X.509Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliance hinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass Unified Access Gateway mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht im Lastausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified Access Gateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.