La autenticación de certificado se habilita y configura en la consola de administración de Unified Access Gateway.

Requisitos previos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

    Consulte Obtener los certificados de la autoridad de certificación

  • Compruebe que los metadatos SAML de Unified Access Gateway se añadieron al proveedor de servicios y que estos metadatos SAML se copiaron en el dispositivo de Unified Access Gateway.
  • (Opcional) Lista de identificadores de objeto (OID) de directivas de certificados válidas para la autenticación mediante certificado.
  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
  • (Opcional) Ubicación del archivo del certificado de firma de respuesta de OCSP.
  • Contenido del formulario de consentimiento, si este se muestra antes de la autenticación.

Procedimiento

  1. En la interfaz de usuario del administrador de Unified Access Gateway, desplácese hasta la sección Configurar manualmente y haga clic en Seleccionar.
  2. En la sección Configuración general > Configuración de autenticación, haga clic en Mostrar.
  3. Haga clic en el engranaje del certificado X.509.
  4. Configure el formulario del certificado X.509.
    Un asterisco indica que el cuadro de texto es obligatorio. El resto de los cuadros de texto son opcionales.
    Opción Descripción
    Habilitar el certificado X.509 Cambie de NO a para habilitar la autenticación del certificado.
    Certificados de la CA raíz e intermedios Para cargar los archivos de certificado, haga clic en Seleccionar.

    Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.

    Nota: Si se cargan varios certificados con el mismo DN, el certificado cargado más reciente reemplaza el certificado existente. Por lo tanto, no pueden coexistir varios certificados con el mismo DN en Unified Access Gateway.
    Habilitar la revocación del certificado Cambie de NO a para habilitar la comprobación de revocación del certificado. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.
    Usar CRL desde los certificados Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.
    Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la cual se debe recuperar la CRL.
    Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.
    Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.
    Enviar el valor de seguridad (nonce) OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.
    URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.
    Utilizar la URL de OCSP del certificado Active esta casilla para usar la dirección URL de OCSP.
    Habilitar el formulario de consentimiento antes de la autenticación Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación mediante certificado.
  5. Haga clic en Guardar.

Qué hacer a continuación

Si se configuró la autenticación mediante certificado X.509 y el dispositivo de Unified Access Gateway se configura detrás de un equilibrador de carga, compruebe que el equilibrador de carga esté configurado con pass-through de SSL en el equilibrador de carga y que, al mismo tiempo, no esté configurado para terminar SSL. Esta configuración garantiza que el protocolo de enlace de SSL se encuentre entre Unified Access Gateway y el cliente a fin de pasar el certificado a Unified Access Gateway.