Unified Access Gateway에서 인증서 인증 구성

Unified Access Gateway 관리 콘솔에서 인증서 인증을 사용하도록 설정하고 구성합니다.

사전 요구 사항

사용자가 제공한 인증서를 서명한 CA에서 루트 인증서와 중간 인증서를 가져옵니다.
인증 기관 인증서 가져오기의 내용을 참조하십시오.
Unified Access Gateway SAML 메타데이터가 서비스 제공자에 추가되고 서비스 제공자 SAML 메타데이터가 Unified Access Gateway 장치로 복사되는지 확인합니다.
(선택 사항) 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록.
해지 검사의 경우 CRL의 파일 위치 및 OCSP 서버의 URL.
(선택 사항) OCSP 응답 서명 인증서 파일 위치.
인증 전에 동의 양식이 표시되는 경우, 동의 양식 컨텐츠.

프로시저

Unified Access Gateway 관리 UI에서 수동으로 구성 섹션으로 이동하고 선택을 클릭합니다.
일반 설정 > 인증 설정에서 표시를 클릭합니다.
X.509 인증서 기어 박스를 클릭합니다.

X.509 인증서 양식을 구성합니다.

별표는 필수 텍스트 상자를 나타냅니다. 다른 모든 텍스트 상자는 선택 사항입니다.

옵션	설명
X.509 인증서 사용	인증서 인증을 사용하도록 설정하려면 [아니요]를 예로 변경합니다.
*루트 및 중간 CA 인증서	인증서 파일을 업로드하려면 선택을 클릭합니다. DER 또는 PEM으로 인코딩된 여러 루트 CA 및 중간 CA 인증서를 선택할 수 있습니다. 참고: 버전 2012 이상에서는 UAG가 동일한 주체 DN을 사용하는 여러 CA 인증서의 구성을 지원합니다. 이 다중 인증서 지원은 업데이트된 CA 발급자 인증서가 주체 DN은 동일하지만 키 쌍이 다른 경우에 유용합니다. 이 기능을 사용하면 이전 CA 인증서와 새 CA 인증서를 함께 사용하여 둘 중 하나에서 발급한 클라이언트 인증서를 지원할 수 있습니다. UAG는 기관 키 식별자를 사용하여 인증서에 서명하는 데 사용되는 개인 키에 해당하는 공용 키를 식별합니다. 이 확장은 발급자에게 여러 서명 키가 있는 경우에(동시 키 쌍이 여러 개 있거나 전환으로 인해 발생) 사용됩니다.
인증서 해지 사용	인증서 해지 검사를 사용하도록 설정하려면 [아니요]를 예로 변경합니다. 해지 검사는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.
인증서의 CRL 사용	인증서를 발급한 CA에서 게시한 CRL(인증서 해지 목록)을 사용하여 인증서 상태(해지됨 또는 해지 안 됨)에 대한 유효성을 검사하려면 이 확인란을 선택합니다.
CRL 위치	CRL을 검색할 서버 파일 경로 또는 로컬 파일 경로를 입력합니다.
OCSP 해지 사용	OCSP(온라인 인증서 상태 프로토콜) 인증서 유효성 검사 프로토콜을 사용하여 인증서의 해지 상태를 가져오려면 이 확인란을 선택합니다.
OCSP 실패 시 CRL 사용	CRL 및 OCSP를 둘 다 구성한 경우, 이 확인란을 선택하여 OCSP 검사를 사용할 수 없는 경우 CRL 사용으로 폴백할 수 있습니다.
OCSP Nonce 전송	OCSP 요청의 고유한 식별자를 응답에서 전송하려면 이 확인란을 선택합니다.
OCSP URL	OCSP 해지를 사용하도록 설정한 경우 해지 검사를 위한 OCSP 서버 주소를 입력합니다.
인증서의 OCSP URL 사용	OCSP URL을 사용하려면 이 확인란을 선택합니다.
인증 전 동의 양식 사용	사용자가 인증서 인증을 사용하여 Workspace ONE 포털에 로그인하기 전에 표시할 동의 양식 페이지를 포함하려면 이 확인란을 선택합니다.

저장을 클릭합니다.

다음에 수행할 작업

X.509 인증서 인증이 구성되고 Unified Access Gateway 장치가 로드 밸런서 뒤에 설정되면 로드 밸런서를 로드 밸런서의 SSL 패스스루로 구성해야 하며, SSL을 종료하도록 로드 밸런서를 구성하면 안 됩니다. 이 구성을 사용하면 인증서가 Unified Access Gateway로 전달되도록 Unified Access Gateway와 클라이언트 간에 SSL 핸드셰이크가 사용됩니다.