Vous activez et configurez l'authentification par certificat dans la console d'administration d'Unified Access Gateway.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.

    Reportez-vous à la section Obtenir des certificats d'autorités de certification.

  • Vérifiez que les métadonnées SAML d'Unified Access Gateway sont ajoutées au fournisseur de services et que les métadonnées SAML du fournisseur de services sont copiées dans le dispositif Unified Access Gateway.
  • (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure

  1. Dans l'interface utilisateur d'administration d'Unified Access Gateway, accédez à la section Configurer manuellement, puis cliquez sur Sélectionner.
  2. Sous Paramètres généraux > Paramètres d'authentification, cliquez sur Afficher.
  3. Cliquez sur l'icône en forme d'engrenage du certificat X 509.
  4. Configurez le formulaire du certificat X.509.
    Les zones de texte obligatoires sont indiquées par un astérisque. Toutes les autres zones de texte sont facultatives.
    Option Description
    Activer le certificat X.509 Remplacez NO par YES pour activer l'authentification par certificat.
    * Certificats d'autorité de certification racine et intermédiaire Pour charger les fichiers du certificat, cliquez sur Sélectionner.

    Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.

    Note : Avec la version 2012 et les versions ultérieures, UAG prend en charge la configuration de plusieurs certificats d'autorité de certification avec le même nom unique de sujet. Cette prise en charge de plusieurs certificats est utile lorsqu'un certificat d'émetteur d'autorité de certification mis à jour est utilisé avec le même nom unique de sujet, mais avec une paire de clés différente. Cette fonctionnalité permet d'utiliser l'ancien et le nouveau certificat d'autorité de certification pour prendre en charge les certificats clients émis par l'un ou l'autre. UAG utilise l'identifiant de la clé d'autorité pour identifier la clé publique correspondant à la clé privée utilisée pour signer un certificat. Cette extension est utilisée lorsqu'un émetteur possède plusieurs clés de signature (en raison de plusieurs paires de clés simultanées ou en raison d'un changement).
    Activer la révocation de certificat Remplacez NO par YES pour activer le contrôle de révocation de certificat. Le contrôle de la révocation empêche les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier.
    Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.
    Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance d'OCSP Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.
    Envoyer une valeur à usage unique OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la demande OCSP soit envoyée dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Utiliser l'URL OCSP du certificat Cochez cette case pour utiliser l'URL OCSP.
    Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat.
  5. Cliquez sur Enregistrer.

Que faire ensuite

Lorsque l'authentification par certificat X.509 est configurée et que le dispositif Unified Access Gateway est configuré derrière un équilibrage de charge, assurez-vous qu'e l'équilibrage de charge est configuré avec une émulation SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL. Cette configuration permet de s'assurer que la négociation SSL a lieu entre Unified Access Gateway et le client afin de transmettre le certificat à Unified Access Gateway.