Requisitos previos
- Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.
- (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.
- (Opcional) Configurar CRL para la comprobación de revocación.
- (Opcional) Configurar el servidor OCSP para la comprobación de revocación y conozca la URL del respondedor de OCSP. Si un servidor OCSP está habilitado para la comprobación de revocación, compruebe que dicho servidor funcione correctamente antes de habilitarlo.
- (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.
- Contenido del formulario de consentimiento, si se muestra un formulario de consentimiento a los usuarios antes de la autenticación.
Procedimiento
- En la página Workspace ONE Access, seleccione Certificado (implementación en la nube). de la consola de
- Haga clic en CONFIGURAR y configure la autenticación con certificado.
- Cargue el certificado.
Configuración Descripción Habilitar adaptador de certificados Para habilitar la autenticación de certificados, active la opción Habilitar adaptador de certificados. Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM. Certificados de CA cargados Los archivos de certificado cargados aparecen en la sección Certificados de CA cargados del formulario. - Seleccione el orden de búsqueda del identificador de usuario para encontrar el identificador de usuario en el certificado.
Consulte Usar el nombre principal de usuario para la autenticación de certificados en Workspace ONE Access.
Configuración Descripción Orden de búsqueda de identificador de usuario Seleccione el orden de búsqueda para encontrar el identificador de usuario en el certificado.
- upn. El valor de UserPrincipalName del nombre alternativo del sujeto
- correo electrónico. La dirección de correo electrónico del nombre alternativo del sujeto.
- sujeto. El valor de UID del sujeto. Si no se encuentra el UID en el DN del sujeto, se utiliza el valor de UID en el cuadro de texto CN, si el cuadro de texto CN está configurado.
Validar el formato UPN Cambie esta opción a Sí para validar el formato de UserPrincipalName. - Tiempo de espera de la solicitud. Introduzca el tiempo en segundos para la espera de una respuesta. Un valor de cero (0) significa que la espera de la respuesta es indefinida.
- Directivas de certificados aceptadas. Cree una lista de identificadores de objeto (OID) que se acepten en las extensiones de directivas de certificados. Escriba el número de identificador de objeto para la política de emisión de certificados. Haga clic en Agregar para agregar más OID.
- Para configurar la comprobación de revocación de certificados, active la opción Habilitar revocación de certificados. La comprobación de revocación impide la autenticación de los usuarios con certificados de usuario revocados.
Se admiten las listas de revocación de certificados (CRL) y la comprobación de revocación del protocolo de estado de certificados en línea (OCSP).
Configurar solo CRL para la comprobación de revocación
Una CRL es una lista de certificados revocados publicada por la autoridad de certificación que los emitió. Cuando habilita Usar CRL de los certificados para la revocación, el servidor de Workspace ONE Access lee una CRL para determinar el estado de revocación de un CRL certificado de usuario. Si un certificado está revocado, la autenticación mediante él genera un error.
Configure la URL de CRL se usará para la comprobación de revocación. Puede activar la URL desde el certificado o puede introducir la URL de CRL en el cuadro de texto Ubicación de la CRL. La URL se obtiene del campo CRL en el propio certificado.
Opción Descripción Activar la opción Usar CRL de los certificados y no establecer un valor en el ajuste Ubicación de la CRL Cuando se activa la opción Usar CRL de los certificados, la lista de revocación de certificados (CRL) se obtiene del campo de CRL en el certificado.
Nota: Si hay un valor en el ajuste Ubicación de la CRL, se ignorará en esta configuración.Establezca la ubicación de la CRL. Si establece la ubicación de la CRL, no active la opción Usar CRL de los certificados. Introduzca la URL de CRL desde la que se recupera la CRL que se utiliza para validar el estado de un certificado. Nota: La opción Usar CRL de los certificados no está activada en esta configuración.Configurar solo OCSP para la comprobación de revocación
Para utilizar solo OCSP para la comprobación de revocación, configure los siguientes ajustes.
Nota: Si usa la entidad de certificación AirWatch con Workspace ONE Access, habilite OCSP para la comprobación de revocación. No habilite la opción Usar CRL de los certificados ni introduzca un valor de URL en el cuadro de texto Ubicación de la CRL.Configuración Descripción Habilitar revocación con OCSP Para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (OCSP) para obtener el estado de revocación de un certificado, active la opción Habilitar la revocación de OCSP. Enviar nonce de OCSP Un nonce de OCSP es un identificador único que se utiliza para enlazar de forma criptográfica un mensaje de respuesta OCSP a un mensaje de solicitud OCSP concreto para evitar ataques de repetición.
Si desea validar el certificado con el identificador único de la solicitud OCSP, active la opción Enviar nonce de OCSP.
URL de OCSP La URL de OCSP se puede configurar manualmente en el cuadro de texto de la URL de OCSP, o se puede extraer de la extensión de acceso a información de entidad emisora (Authority Information Access, AIA) del certificado que se está validando.
Para establecer manualmente la URL de OCSAP, introduzca la URL de OCSP para el servidor de comprobación de revocación.
Origen de URL de OCSP La opción de OCSP que se selecciona al configurar la autenticación de certificado determina la manera en que Workspace ONE Access utiliza la URL de OCSP.
En el menú desplegable, seleccione el origen que se utilizará para la comprobación de revocación.
- Solo configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto para validar la cadena de certificados completa. El cuadro de texto URL de OCSP también debe configurarse con la dirección del servidor OCSP para la comprobación de revocación.
- Solo certificado (obligatorio). Realice la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión AIA de cada certificado de la cadena. Todos los certificados de la cadena deben tener una URL de OCSP definida; de lo contrario, se producirá un error en la comprobación de revocación de certificados.
Nota: Si utiliza una CA AirWatch, seleccione Solo certificado (obligatorio) como origen.
- Solo certificado (opcional). Realice la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado. Se ignoran los ajustes del cuadro de texto URL de OCSP.
- Certificado con reserva de configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible. Si la URL de OCSP no está en la extensión AIA, compruebe la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.
Certificado de firma de quien responde de OCSP Busque y seleccione el archivo de certificado OCSP para el respondedor. Certificados firmados OCSP cargados Los archivos de certificado de firma de OCSP cargados aparecen en esta sección. Configurar CRL y OCSP para la comprobación de revocación
Para utilizar CRL y OCSP para la comprobación de revocación, configure los ajustes para la comprobación de revocación de CRL y OCSP, y active la opción Usar CRL en caso de error de OCSP.
Cuando esta opción está activada, primero se comprueba OCSP y, si se produce un error en OCSP, la comprobación de revocación vuelve a CRL. La comprobación de revocación no utiliza OCSP si CRL falla. - Habilitar el formulario de consentimiento antes de la autenticación. Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación de certificado. En el cuadro de texto Contenido del formulario de consentimiento, introduzca el texto que se muestra en el formulario de consentimiento.
- Cargue el certificado.
- Haga clic en GUARDAR.
Qué hacer a continuación
- Asocie el método de autenticación Certificado (implementación en la nube) en el proveedor de identidades integrado. Consulte Configurar un proveedor de identidades integrado en Workspace ONE Access.
- Después de asociar el método de autenticación de certificación en el proveedor de identidades integrado, agregue el método de autenticación a la directiva de acceso predeterminada. Consulte Administrar directivas de acceso en el servicio de Workspace ONE Access.