Verificatie op basis van een certificaat configureren in Workspace ONE Access

U configureert de verificatiemethode Certificaat (cloudimplementatie) op de pagina Verificatiemethoden in de Workspace ONE Access-console en vervolgens selecteert u de verificatiemethode die u in de ingebouwde identiteitsprovider wilt gebruiken.

Voorwaarden

Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.
(Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.
(Optioneel) CRL voor intrekkingscontrole instellen.
(Optioneel) Stel de OCSP-server in voor intrekkingscontrole en ken de URL van de OCSP-responder. Als een OCSP-server is ingeschakeld voor intrekkingscontrole, controleert u of de OCSP-server correct werkt voordat u deze inschakelt.
(Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.
Inhoud van instemmingsformulier, als vóór de verificatie een toestemmingsformulier aan gebruikers wordt weergegeven.

Procedure

Selecteer Certificaat (cloudimplementatie) op de pagina Integraties > Verificatiemethoden in de Workspace ONE Access-console.

Klik op CONFIGUREREN en configureer de instellingen voor certificaatverificatie.

Upload het certificaat.

Instelling	Beschrijving
Certificaatadapter inschakelen	Als u certificaatverificatie wilt inschakelen, activeert u de schakelaar Certificaatadapter inschakelen.
CA-certificaten op root- en gemiddeld niveau	Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten die gecodeerd zijn als DER of PEM, selecteren.
Geüploade CA-certificaten	De geüploade certificaatbestanden worden in de sectie Geüploade CA-certificaten van het formulier weergegeven.

Selecteer de Zoekvolgorde gebruikersidentificatie om de gebruikers-ID in het certificaat te vinden.

Zie User Principal Name gebruiken voor certificaatverificatie in Workspace ONE Access.

Instelling	Beschrijving
Zoekvolgorde voor gebruikers-ID	Selecteer de zoekvolgorde om te zoeken naar de gebruikers-id in het certificaat. upn. De waarde UserPrincipalName van de alternatieve onderwerpnaam email. Het e-mailadres van de alternatieve onderwerpnaam. subject. De UID-waarde van het onderwerp. Als de UID niet in de onderwerp-DN wordt gevonden, wordt de UID-waarde in het tekstvak CN gebruikt, als het tekstvak CN is geconfigureerd.
UPN-indeling valideren	Zet deze instelling op Ja om de notatie van de UserPrincipalName te valideren.

Instelling

Beschrijving

Zoekvolgorde voor gebruikers-ID

Selecteer de zoekvolgorde om te zoeken naar de gebruikers-id in het certificaat.

upn. De waarde UserPrincipalName van de alternatieve onderwerpnaam
email. Het e-mailadres van de alternatieve onderwerpnaam.
subject. De UID-waarde van het onderwerp. Als de UID niet in de onderwerp-DN wordt gevonden, wordt de UID-waarde in het tekstvak CN gebruikt, als het tekstvak CN is geconfigureerd.

UPN-indeling valideren

Zet deze instelling op Ja om de notatie van de UserPrincipalName te valideren.

Time-out voor aanvraag. Voer het aantal seconden in dat moet worden gewacht op een antwoord. Een waarde van nul (0) betekent dat oneindig op het antwoord wordt gewacht.
Certificaatbeleid geaccepteerd. Maak een lijst met object-id's (OID's) die worden geaccepteerd in de certificaatbeleidextensies. Voer het object-ID-nummer in voor het beleid voor certificaatuitgifte. Klik op Toevoegen om aanvullende OID's toe te voegen.

Als u de certificaatintrekkingscontrole wilt configureren, activeert u de schakelaar Intrekken certificaat inschakelen. Intrekkingscontrole voorkomt dat gebruikers waarvoor hun gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren.

Zowel de certificaatintrekkingslijsten (CRL) als de intrekkingscontrole van het Online Certificate Status Protocol (OCSP) worden ondersteund.

Zie Certificaatintrekkingscontrole gebruiken voor certificaatverificatie in Workspace ONE Access.

Alleen CRL configureren voor intrekkingscontrole

Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. Als u CRL van certificaten gebruiken inschakelt, leest de Workspace ONE Access-server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen. Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat.

U configureert welke CRL-URL moet worden gebruikt voor de intrekkingscontrole. U kunt de URL activeren met het certificaat of u kunt de CRL-URL in het tekstvak CRL-locatie invoeren. De URL wordt opgehaald uit het veld CRL in het certificaat zelf.

Optie	Beschrijving
Activeer CRL gebruiken vanuit Certificaten en stel geen waarde in bij de instelling CRL-locatie	Wanneer u de schakelaar CRL van certificaten gebruiken activeert, wordt de certificaatintrekkingslijst (CRL) opgehaald uit het veld CRL in het certificaat. Opmerking: Als er een waarde in de waarde voor de instelling CRL-locatie staat, wordt deze in deze configuratie genegeerd.
Stel de CRL-locatie in. Als u de CRL-locatie instelt, activeert u de schakelaar CRL van certificaten gebruiken niet.	Voer de CRL-URL in vanwaar de CRL wordt opgehaald die wordt gebruikt om de status van een certificaat te valideren. Opmerking: De schakelaar CRL van certificaten gebruiken is niet geactiveerd in deze configuratie.

Alleen OCSP configureren voor intrekkingscontrole

Als u alleen OCSP voor intrekkingscontrole wilt gebruiken, configureert u de volgende instellingen.

Opmerking: Als u AirWatch certificaatautoriteit gebruikt met Workspace ONE Access, schakelt u OCSP in voor intrekkingscontrole. Schakel de instelling CRL van certificaten gebruiken niet in en voer geen URL-waarde in het tekstvak CRL-locatie in.

Instelling	Beschrijving
Intrekken OCSP inschakelen	Activeer het selectievakje Intrekken OCSP inschakelen om het online certificaatvalidatieprotocol (OCSP, Online Certificate Status Protocol) te gebruiken om de intrekkingsstatus van een certificaat op te halen.
OCSP Nonce verzenden	Een OCSP-nonce is een unieke id die wordt gebruikt om een OCSP-reactiebericht cryptografisch te binden aan een bepaald OCSP-aanvraagbericht om herhalingsaanvallen te voorkomen. Als u het certificaat wilt valideren met de unieke ID van de OCSP-aanvraag, activeert u de schakelaar OCSP Nonce verzenden.
OCSP-URL	De OCSP-URL kan handmatig worden geconfigureerd in het tekstvak OCSP-URL of worden geëxtraheerd uit de AIA-extensie (Authority Information Access) van het certificaat dat wordt gevalideerd. Als u de OCSAP-URL handmatig wilt instellen, voert u de OCSP-URL voor de intrekkingscontroleserver in.
OCSP-URL-bron	De OCSP-optie die u selecteert wanneer u certificaatverificatie configureert, bepaalt hoe Workspace ONE Access de OCSP-URL verkrijgt. Selecteer in het vervolgkeuzemenu de bron die u wilt gebruiken voor het controleren van intrekkingen. Alleen configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die is opgegeven in het tekstvak om de hele certificaatketen te valideren. Het tekstvak OCSP-URL moet ook worden geconfigureerd met het OCSP-serveradres voor intrekkingscontrole. Alleen certificaat (vereist). Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die bestaat in de AIA-extensie van elk certificaat in de keten. Elk certificaat in de keten moet een OCSP-URL hebben die is gedefinieerd, anders mislukt de controle van certificaatintrekking. Opmerking: Als u een AirWatch-certificaatautoriteit gebruikt, selecteert u Alleen certificaat (vereist) als bron. Alleen certificaat (optioneel). Voer alleen een controle van certificaatintrekking uit met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat. De instelling in het tekstvak OCSP-URL wordt genegeerd. Certificaat met terugval naar configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie heeft, controleert u de intrekking met behulp van de OCSP-URL die in het tekstvak OCSP-URL is geconfigureerd. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.
Ondertekeningscertificaat van OCSP-responder	Zoek en selecteer het OCSP-certificaatbestand voor de responder.
OCSP-ondertekeningscertificaten uploaden	De geüploade OCSP-ondertekeningscertificaatbestanden worden in dit gedeelte weergegeven.

Zowel CRL als OCSP configureren voor intrekkingscontrole

Als u zowel CRL als OCSP wilt gebruiken voor intrekkingscontrole, configureert u de instellingen voor de CRL- en OCSP-intrekkingscontrole en activeert u de schakelaar CRL gebruiken bij OCSP-fout.

Wanneer deze instelling is geactiveerd, wordt OCSP eerst gecontroleerd. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt.

Instemmingsformulier inschakelen vóór verificatie. Schakel dit selectievakje in om een pagina met een instemmingsformulier weer te geven voordat gebruikers zich bij de Workspace ONE-portal aanmelden met behulp van certificaatverificatie. Voer in het tekstvak Inhoud van instemmingsformulier de tekst in die wordt weergegeven op het toestemmingsformulier.

Klik op OPSLAAN.

Volgende stappen

Koppel de verificatiemethode Certificaat (cloudimplementatie) in de ingebouwde identiteitsprovider. Zie Een ingebouwde identiteitsprovider in Workspace ONE Access configureren.
Nadat u de certificeringsverificatiemethode heeft gekoppeld in de ingebouwde identiteitsprovider, voegt u de verificatiemethode toe aan het standaardtoegangsbeleid. Zie Toegangsbeleidsregels beheren in de Workspace ONE Access-service.