Voraussetzungen
- Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.
- (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
- (Optional) Richten Sie CRL für die Sperrprüfung ein.
- (Optional) Richten Sie den OCSP-Server für die Sperrprüfung ein und ermitteln Sie die OCSP-Antwortdienst-URL. Wenn ein OCSP-Server für die Sperrprüfung aktiviert ist, stellen Sie sicher, dass der OCSP-Server ordnungsgemäß funktioniert, bevor Sie ihn aktivieren.
- (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
- Inhalt des Zustimmungsformulars, wenn den Benutzern vor der Authentifizierung ein Zustimmungsformular angezeigt wird.
Prozedur
- Wählen Sie in der Workspace ONE Access-Konsole auf der Seite Zertifikat (Cloud-Bereitstellung) aus.
- Klicken Sie auf KONFIGURIEREN und konfigurieren Sie die Einstellungen für die Zertifikatauthentifizierung.
- Laden Sie das Zertifikat hoch.
Einstellung Beschreibung Zertifikatsadapter aktivieren Um die Zertifikatauthentifizierung zu aktivieren, aktivieren Sie die Umschaltoption Zertifikatsadapter aktivieren. Root- und Zwischen-CA-Zertifikate Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind. Hochgeladene CA-Zertifikate Die hochgeladenen Zertifikatsdateien sind im Abschnitt „Hochgeladene CA-Zertifikate“ des Formulars aufgeführt. - Wählen Sie die Suchreihenfolge für Benutzer-Bezeichner aus, um die Benutzer-ID innerhalb des Zertifikats zu suchen.
Siehe Verwenden des Benutzer-Prinzipalnamens für die Zertifikatauthentifizierung in Workspace ONE Access.
Einstellung Beschreibung Suchreihenfolge für Benutzer-Bezeichner Wählen Sie die Suchreihenfolge aus, um die Benutzer-ID innerhalb des Zertifikats zu suchen.
- UPN. Der Wert "UserPrincipalName" des Alternative Name für Betreff (Subject Alternative Name, SAN)
- E-Mail. Die E-Mail-Adresse des Alternative Name für Betreff.
- Betreff. Der UID-Wert aus dem Betreff. Wenn die UID im Betreff-DN nicht gefunden wird, wird der UID-Wert im Textfeld „CN“ verwendet, vorausgesetzt, das Textfeld „CN“ ist konfiguriert.
UPN-Format validieren Schalten Sie diese Einstellung auf Ja um, um das Format von UserPrincipalName zu validieren. - Zeitüberschreitung für Anforderung. Geben Sie die Zeit in Sekunden ein, um auf eine Antwort zu warten. Ein Wert von Null (0) bedeutet, dass das Warten auf die Antwort unbestimmt ist.
- Zertifikatsrichtlinien wurden akzeptiert. Erstellen Sie eine Liste mit Objekt-IDs (OID), die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummer für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Hinzufügen, um weitere OIDs hinzuzufügen.
- Um die Zertifikatssperrprüfung zu konfigurieren, aktivieren Sie die Umschaltoption Zertifikatssperrung aktivieren. Die Sperrprüfung verhindert, dass Benutzer, deren Benutzerzertifikate gesperrt wurden, sich authentifizieren können.
Sowohl die Zertifikatssperrlisten (CRL) als auch die OCSP-Sperrprüfung (Online Certificate Status Protocol) werden unterstützt.
Siehe Verwenden der Zertifikatsperrüberprüfung für die Zertifikatauthentifizierung in Workspace ONE Access.
Nur CRL für die Sperrprüfung konfigurieren
Eine CRL ist eine Liste gesperrter Zertifikate, die von der ausgebenden Zertifizierungsstelle veröffentlicht wurde. Wenn Sie CRL von Zertifikaten verwenden für die Sperrung aktivieren, liest der Workspace ONE Access-Server eine CRL-Liste, um den Sperrstatus eines Benutzerzertifikats zu ermitteln. Ist ein Zertifikat gesperrt, kann die Authentifizierung mit dem Zertifikat nicht durchgeführt werden.
Sie konfigurieren, welche CRL-URL für die Sperrprüfung verwendet werden soll. Sie können die URL entweder über das Zertifikat aktivieren oder die CRL-URL in das Textfeld „CRL-Speicherort“ eingeben. Die URL wird aus dem CRL-Feld im Zertifikat selbst abgerufen.
Option Beschreibung Aktivieren Sie die Umschaltoption „CRL von Zertifikaten verwenden“ und legen Sie keinen Wert in der Einstellung „CRL-Speicherort“ fest Wenn Sie die Umschaltoption CRL von Zertifikaten verwenden aktivieren, wird die Zertifikatssperrliste (Certificate Revocation List, CRL) aus dem CRL-Feld im Zertifikat abgerufen.
Hinweis: Wenn im Einstellungswert für den CRL-Speicherort ein Wert vorhanden ist, wird dieser in dieser Konfiguration ignoriert.Legen Sie den CRL-Speicherort fest. Wenn Sie den Speicherort der Zertifikatssperrliste festlegen, aktivieren Sie die Umschaltoption „CRL von Zertifikaten verwenden“ nicht. Geben Sie die CRL-URL ein, von der die CRL abgerufen werden soll, die zum Validieren des Status eines Zertifikats verwendet wird. Hinweis: Die Umschaltoption CRL von Zertifikaten verwenden ist in dieser Konfiguration nicht aktiviert.Nur OCSP für die Sperrprüfung konfigurieren
Um nur OCSP für die Sperrprüfung zu verwenden, konfigurieren Sie die folgenden Einstellungen.
Hinweis: Wenn Sie AirWatch-Zertifizierungsstelle mit Workspace ONE Access verwenden, aktivieren Sie OCSP für die Sperrprüfung. Aktivieren Sie nicht die Einstellung CRL von Zertifikaten verwenden oder geben Sie einen URL-Wert in das Textfeld CRL-Speicherort ein.Einstellung Beschreibung OCSP-Sperrung aktivieren Aktivieren Sie die Umschaltfläche OCSP-Sperrung aktivieren, um mithilfe des Zertifikatvalidierungsprotokolls „Online Certificate Status Protocol (OCSP)“ den Sperrstatus des Zertifikats zu erfahren. OCSP-Nonce senden Eine OCSP-Nonce ist ein eindeutiger Bezeichner, der verwendet wird, um eine OCSP-Antwortnachricht kryptografisch an eine bestimmte OCSP-Anforderungsnachricht zu binden, um Wiedergabeangriffe zu verhindern.
Wenn Sie das Zertifikat mit dem eindeutigen Bezeichner der OCSP-Anforderung validieren möchten, aktivieren Sie die Umschaltoption OCSP-Nonce senden.
OCSP-URL Die OCSP-URL kann entweder manuell im Textfeld „OCSP-URL“ konfiguriert oder von der Erweiterung für den Zugriff auf Stelleninformationen (Authory Information Access, AIA) des zu validierenden Zertifikats extrahiert werden.
Um die OCSAP-URL manuell festzulegen, geben Sie die OCSP-URL für den Server zur Sperrprüfung ein.
OCSP-URL-Quelle Die von Ihnen bei der Konfigurierung der Zertifikatsauthentifizierung ausgewählte OCSP-Option bestimmt, wie Workspace ONE Access die OCSP-URL abruft.
Wählen Sie im Dropdown-Menü die Quelle aus, die für die Widerrufsprüfung verwendet werden soll.
- Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren. Das OCSP-URL-Textfeld muss auch mit der OCSP-Serveradresse für die Sperrüberprüfung konfiguriert werden.
- Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatssperrprüfung fehl.
Hinweis: Wenn Sie eine AirWatch-Zertifizierungsstelle verwenden, wählen Sie Nur Zertifikat (erforderlich) als Quelle aus.
- Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist. Die Einstellung in dem OCSP-URL-Textfeld wird ignoriert.
- Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die in dem OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.
Signaturzertifikat des OCSP-Antwortdienstes Suchen Sie nach der OCSP-Zertifikatsdatei für den Antwortdienst und wählen Sie sie aus. OCSP-Signaturzertifikate hochladen Die hochgeladenen OCSP-Signaturzertifikatsdateien sind in diesem Abschnitt aufgeführt. CRL und OCSP für die Sperrprüfung konfigurieren
Um sowohl CRL als auch OCSP für die Sperrprüfung zu verwenden, konfigurieren Sie die Einstellungen sowohl für die CRL- als auch für die OCSP-Sperrprüfung und aktivieren Sie die Umschaltoption CRL im Falle eines OCSP-Fehlers verwenden.
Wenn diese Einstellung aktiviert ist, wird OCSP zuerst überprüft. Wenn OCSP fehlschlägt, wird die Sperrprüfung auf CRL zurückgesetzt. Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung die Sperrprüfung nicht an OCSP zurückgegeben wird. - Zustimmungsformular vor Authentifizierung aktivieren. Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden. Geben Sie im Textfeld Inhalt des Zustimmungsformulars den Text ein, der im Zustimmungsformular angezeigt wird.
- Laden Sie das Zertifikat hoch.
- Klicken Sie auf SPEICHERN.
Nächste Maßnahme
- Weisen Sie die Authentifizierungsmethode „Zertifikat (Cloud-Bereitstellung)“ im integrierten Identitätsanbieter zu. Siehe Konfigurieren eines integrierten Identitätsanbieters in Workspace ONE Access.
- Nachdem Sie die Authentifizierungsmethode „Zertifizierung“ im integrierten Identitätsanbieter zugewiesen haben, fügen Sie die Authentifizierungsmethode zur Standardzugriffsrichtlinie hinzu. Siehe Verwalten von Zugriffsrichtlinien im Workspace ONE Access-Dienst.