証明書による認証は、Unified Access Gateway 管理コンソールから有効にして設定します。
前提条件
- ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。
証明機関の証明書の取得を参照してください。
- Unified Access Gateway の SAML メタデータがサービス プロバイダに追加され、サービス プロバイダの SAML メタデータが Unified Access Gateway アプライアンスにコピーされていることを確認します。
- (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
- 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。
- (オプション)OCSP 応答署名証明書ファイルの場所。
- 認証の前に同意書が表示される場合には、同意書の内容。
手順
- Unified Access Gateway 管理ユーザー インターフェイスで、[手動設定] セクションに移動し、[選択] をクリックします。
- で、[表示] をクリックします。
- X.509 証明書のギアボックスをクリックします。
- X.509 証明書のフォームを構成します。
アスタリスクは、必須のテキスト ボックスを示します。他のすべてのテキスト ボックスはオプションです。
| オプション |
説明 |
| X.509 証明書を有効にする |
[いいえ] を [はい] に変更すると、証明書認証が有効になります。 |
| *ルートおよび中間 CA 証明書 |
証明書ファイルをアップロードするには、[選択] をクリックします。 DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。
注: 同じ DN の複数の証明書がアップロードされている場合は、最新にアップロードされた証明書によって既存の証明書が置き換えられます。そのため、同じ DN の複数の証明書を
Unified Access Gateway に共存させることはできません。
|
| 証明書の失効を有効にする |
[いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。 |
| 証明書の CRL を使用 |
証明書を発行した 認証局 (CA) が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、このチェック ボックスをオンにします。 |
| CRL の場所 |
CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。 |
| OCSP の失効を有効にする |
証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。 |
| OCSP で障害が発生したときに CRL を使用 |
CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェック ボックスをオンにします。 |
| OCSP Nonce を送信する |
応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。 |
| OCSP URL |
OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。 |
| 証明書の OCSP の URL を使用する |
OCSP URL を使用するには、このチェック ボックスをオンにします。 |
| 認証前に同意書を有効にする |
ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。 |
- [保存] をクリックします。
次のタスク
X.509 証明書認証を構成し、ロード バランサの背後で Unified Access Gateway アプライアンスがセットアップされている場合、ロード バランサの構成が、ロード バランサで SSL パススルーが有効で、SSL を終端させないように確実に設定されているようにします。この構成では、Unified Access Gateway とクライアント間で SSL ハンドシェークを確実に実行し、Unified Access Gateway に証明書を渡すことができます。
