La autenticación de certificado se habilita y configura en la consola de administración de Unified Access Gateway.
Requisitos previos
- Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios. Consulte Obtener los certificados de la autoridad de certificación
- Compruebe que los metadatos SAML de Unified Access Gateway se añadieron al proveedor de servicios y que estos metadatos SAML se copiaron en el dispositivo de Unified Access Gateway.
- (Opcional) Lista de identificadores de objeto (OID) de directivas de certificados válidas para la autenticación mediante certificado.
- Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
- (Opcional) Ubicación del archivo del certificado de firma de respuesta de OCSP.
- Contenido del formulario de consentimiento, si este se muestra antes de la autenticación.
Procedimiento
- En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
- En la sección Configuración de autenticación de Configuración general, haga clic en Mostrar.
- Haga clic en el engranaje de la línea del certificado X.509.
- Configure el formulario del certificado X.509.
Un asterisco indica que el cuadro de texto es obligatorio. El resto de los cuadros de texto son opcionales.
Opción |
Descripción |
Habilitar el certificado X.509 |
Cambie de NO a SÍ para habilitar la autenticación del certificado. |
Certificados de la CA raíz e intermedios |
Haga clic en Seleccionar para seleccionar los archivos de certificado que se van a cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM. |
Habilitar la revocación del certificado |
Cambie de NO a SÍ para habilitar la comprobación de revocación del certificado. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados. |
Usar CRL desde los certificados |
Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no. |
Ubicación de la CRL |
Escriba la ruta de archivo del servidor o local desde la cual se debe recuperar la CRL. |
Habilitar revocación con OCSP |
Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado. |
Usar CRL en caso de error de OCSP |
Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible. |
Enviar el valor de seguridad (nonce) OCSP |
Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP. |
URL de OCSP |
Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación. |
Utilizar la URL de OCSP del certificado |
Active esta casilla para usar la dirección URL de OCSP. |
Habilitar el formulario de consentimiento antes de la autenticación |
Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación mediante certificado. |
- Haga clic en Guardar.
Qué hacer a continuación
Si se configuró la autenticación mediante certificado X.509 y el dispositivo de Unified Access Gateway se configura detrás de un equilibrador de carga, compruebe que Unified Access Gateway esté configurado con pass-through de SSL en el equilibrador de carga y que, al mismo tiempo, no esté configurado para terminar SSL en el equilibrador de carga. Esta configuración garantiza que el protocolo de enlace de SSL se encuentre entre Unified Access Gateway y el cliente a fin de pasar el certificado a Unified Access Gateway.