Sie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat. Siehe Anfordern der Zertifizierungsstellenzertifikate.

  • Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügt und die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiert wurden.

  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.

  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

  • Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Authentifizierungseinstellungen auf Anzeigen.
  3. Klicken Sie in der Zeile des X.509-Zertifikats auf das Zahnradsymbol.
  4. Konfigurieren Sie das X.509-Zertifikat.

    Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.

    Option

    Beschreibung

    X.509-Zertifikat aktivieren

    Ändern Sie NEIN in JA, um die Zertifikatauthentifizierung zu aktivieren.

    *Stamm- und Zwischenzertifikate für CA

    Klicken Sie auf Auswählen, um die hochzuladenden Zertifikatdateien auszuwählen. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind.

    Zurückrufen von Zertifikaten aktivieren

    Ändern Sie NEIN in JA, um die Zertifikatssperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL aus Zertifikaten verwenden

    Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Serverdateipfad oder den lokalen Dateipfad eingeben, von dem die CRL geladen werden kann

    OCSP-Sperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL bei OCSP-Fehler verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.

    OCSP-URL des Zertifikats verwenden

    Aktivieren Sie dieses Kontrollkästchen für die Verwendung der OCSP-URL.

    Zustimmungsformular vor Authentifizierung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.

  5. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn die X.509­Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliance hinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass Unified Access Gateway mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht im Lastausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified Access Gateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.