您可從 Unified Access Gateway 管理主控台啟用並設定憑證驗證。

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。請參閱 取得憑證授權機構憑證
  • 確認已在服務提供者上新增 Unified Access Gateway SAML 中繼資料,且服務提供者 SAML 中繼資料已複製到 Unified Access Gateway 應用裝置。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • 同意表單內容 (如果同意表單會在驗證前顯示)。

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 在 [一般設定] 的 [驗證設定] 區段中,按一下顯示
  3. 按一下 [X.509 憑證] 行的齒輪。
  4. 設定 X.509 憑證表單。
    星號表示必填文字方塊。所有其他文字方塊均為選填。
    選項 說明
    啟用 X.509 憑證 將 [否] 變更為可啟用憑證驗證。
    *名稱 為此驗證方法命名。
    *根憑證和中繼 CA 憑證 按一下選取以選取要上傳的憑證檔案。您可選取多個已編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。
    CRL 快取大小 輸入憑證撤銷清單快取大小。預設值為 100
    啟用憑證撤銷 將 [否] 變更為可啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 選取此核取方塊,可使用由核發憑證的 CA 所發行的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。
    啟用 OCSP 撤銷 選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。
    若 OCSP 失敗則使用 CRL 如果您同時設定 CRL 和 OCSP,您可以選取此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 要求的唯一識別碼,請選取此核取方塊。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    OCSP 回應程式的簽署憑證 輸入回應程式 OCSP 憑證的路徑,/path/to/file.cer
    驗證之前啟用同意表單 選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。
    同意表單內容 在此輸入同意表單中顯示的文字。
  5. 按一下儲存

後續步驟

已設定 X.509 憑證驗證,且 Unified Access Gateway 應用裝置設定在負載平衡器後方時,請確定 Unified Access Gateway 已設定在負載平衡器使用 SSL 傳遞,並且未設定在負載平衡器終止 SSL。此組態可確保 SSL 信號交換會在 Unified Access Gateway 與用戶端之間進行,以便將憑證傳遞至 Unified Access Gateway