La autenticación de certificado se habilita y configura en la consola de administración de Unified Access Gateway.

Requisitos previos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

    Consulte Obtener los certificados de la autoridad de certificación

  • Compruebe que los metadatos SAML de Unified Access Gateway se añadieron al proveedor de servicios y que estos metadatos SAML se copiaron en el dispositivo de Unified Access Gateway.
  • (Opcional) Lista de identificadores de objeto (OID) de directivas de certificados válidas para la autenticación mediante certificado.
  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
  • (Opcional) Ubicación del archivo del certificado de firma de respuesta de OCSP.
  • Contenido del formulario de consentimiento, si este se muestra antes de la autenticación.

Procedimiento

  1. En la interfaz de usuario del administrador de Unified Access Gateway, desplácese hasta la sección Configurar manualmente y haga clic en Seleccionar.
  2. En la sección Configuración general > Configuración de autenticación, haga clic en Mostrar.
  3. Haga clic en el engranaje del certificado X.509.
  4. Configure el formulario del certificado X.509.
    Un asterisco indica que el cuadro de texto es obligatorio. El resto de los cuadros de texto son opcionales.
    Opción Descripción
    Habilitar el certificado X.509 Active esta opción para habilitar la autenticación de certificados.
    Certificados de la CA raíz e intermedios Para cargar los archivos de certificado, haga clic en Seleccionar.
    Sugerencia: Puede cargar un único archivo que contenga varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.

    Posteriormente, para agregar otro archivo que contenga certificados, haga clic en Seleccionar.

    Nota: Con la versión 2012 y versiones posteriores, Unified Access Gateway admite la configuración de varios certificados de CA con el mismo DN de asunto. Esta compatibilidad con varios certificados resulta útil cuando se utiliza un certificado de emisor de CA actualizado con el mismo DN de asunto, pero un par de claves diferente. Esta función permite utilizar los certificados de CA antiguos y nuevos juntos, para admitir los certificados de cliente emitidos por cualquiera de los dos. Unified Access Gateway utiliza el identificador de clave de autoridad para identificar la clave pública que corresponde a la clave privada que se utiliza para firmar un certificado. Esta extensión se utiliza cuando un emisor tiene varias claves de firma (ya sea debido a múltiples pares de claves simultáneas o debido a un cambio).
    Habilitar la revocación del certificado Active esta opción para habilitar la comprobación de revocación de certificados. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.
    Usar CRL desde los certificados Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.
    Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la cual se debe recuperar la CRL.
    Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.
    Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.
    Enviar el valor de seguridad (nonce) OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.
    URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.
    Utilizar la URL de OCSP del certificado Active esta casilla para usar la dirección URL de OCSP.
    Habilitar el formulario de consentimiento antes de la autenticación Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación mediante certificado.
  5. Haga clic en Guardar.

Qué hacer a continuación

Si se configuró la autenticación mediante certificado X.509 y el dispositivo de Unified Access Gateway se configura detrás de un equilibrador de carga, compruebe que el equilibrador de carga esté configurado con pass-through de SSL en el equilibrador de carga y que, al mismo tiempo, no esté configurado para terminar SSL. Esta configuración garantiza que el protocolo de enlace de SSL se encuentre entre Unified Access Gateway y el cliente a fin de pasar el certificado a Unified Access Gateway.