Sie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.

    Siehe Anfordern der Zertifizierungsstellenzertifikate.

  • Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügt und die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiert wurden.
  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
  • Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.

Prozedur

  1. Navigieren Sie in der Unified Access Gateway-Admin-UI zum Abschnitt Manuell konfigurieren und klicken Sie auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Authentifizierungseinstellungen auf Anzeigen.
  3. Klicken Sie auf die X.509-Zertifikat-Gearbox.
  4. Konfigurieren Sie das X.509-Zertifikat.
    Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.
    Option Beschreibung
    X.509-Zertifikat aktivieren Ändern Sie NEIN in JA, um die Zertifikatauthentifizierung zu aktivieren.
    *Stamm- und Zwischenzertifikate für CA Um die Zertifikatsdateien hochzuladen, klicken Sie auf Auswählen.

    Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind.

    Hinweis: Wenn mehrere Zertifikate mit demselben DN hochgeladen werden, ersetzt das neueste hochgeladene Zertifikat das vorhandene. Daher können mehrere Zertifikate mit demselben DN in Unified Access Gateway nicht gleichzeitig bestehen.
    Zurückrufen von Zertifikaten aktivieren Ändern Sie NEIN in JA, um die Zertifikatssperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.
    CRL aus Zertifikaten verwenden Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.
    CRL-Speicherort Serverdateipfad oder den lokalen Dateipfad eingeben, von dem die CRL geladen werden kann
    OCSP-Sperrung aktivieren Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.
    CRL bei OCSP-Fehler verwenden Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.
    OCSP-Nonce senden Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.
    OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.
    OCSP-URL des Zertifikats verwenden Aktivieren Sie dieses Kontrollkästchen für die Verwendung der OCSP-URL.
    Zustimmungsformular vor Authentifizierung aktivieren Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.
  5. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn die X.509­Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliance hinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass der Lastausgleichsdienst mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified Access Gateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.