証明書による認証は、Unified Access Gateway 管理コンソールから有効にして設定します。

前提条件

  • ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。

    証明機関の証明書の取得を参照してください。

  • Unified Access Gateway の SAML メタデータがサービス プロバイダに追加され、サービス プロバイダの SAML メタデータが Unified Access Gateway アプライアンスにコピーされていることを確認します。
  • (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
  • 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。
  • (オプション)OCSP 応答署名証明書ファイルの場所。
  • 認証の前に同意書が表示される場合には、同意書の内容。

手順

  1. Unified Access Gateway 管理ユーザー インターフェイスで、[手動構成] セクションに移動し、[選択] をクリックします。
  2. [全般設定] > [認証設定] で、[表示] をクリックします。
  3. X.509 証明書のギアボックスをクリックします。
  4. X.509 証明書のフォームを構成します。
    アスタリスクは、必須のテキスト ボックスを示します。他のすべてのテキスト ボックスはオプションです。
    オプション 説明
    X.509 証明書を有効にする [いいえ] を [はい] に変更すると、証明書認証が有効になります。
    *ルートおよび中間 CA 証明書 証明書ファイルをアップロードするには、[選択] をクリックします。

    DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

    注: バージョン 2012 以降では、UAG は同じサブジェクト DN を持つ複数の CA 証明書の構成をサポートします。この複数の証明書のサポートは、更新された CA 発行者証明書が同じサブジェクト DN で使用されていて、キー ペアが異なる場合に役立ちます。この機能を使用すると、古い CA 証明書と新しい CA 証明書を一緒に使用して、どちらの証明書で発行されたクライアント証明書もサポートできます。UAG は認証局キー識別子を使用して、証明書に署名するために使用されるプライベート キーに対応するパブリック キーを識別します。この拡張機能は、発行者が複数の署名キーを持っている場合(複数の同時実行キー ペアまたは移動が原因)に使用されます。
    証明書の失効を有効にする [いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。
    証明書の CRL を使用 証明書を発行した 認証局 (CA) が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、このチェック ボックスをオンにします。
    CRL の場所 CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。
    OCSP の失効を有効にする 証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。
    OCSP で障害が発生したときに CRL を使用 CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェック ボックスをオンにします。
    OCSP Nonce を送信する 応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。
    OCSP URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。
    証明書の OCSP の URL を使用する OCSP URL を使用するには、このチェック ボックスをオンにします。
    認証前に同意書を有効にする ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。
  5. [保存] をクリックします。

次のタスク

X.509 証明書認証を構成し、ロード バランサの背後で Unified Access Gateway アプライアンスがセットアップされている場合、ロード バランサの構成が、ロード バランサで SSL パススルーが有効で、SSL を終端させないように確実に設定されているようにします。この構成では、Unified Access Gateway とクライアント間で SSL ハンドシェークを確実に実行し、Unified Access Gateway に証明書を渡すことができます。