您可從 Unified Access Gateway 管理主控台啟用並設定憑證驗證。
必要條件
- 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。請參閱 取得憑證授權機構憑證
- 確認已在服務提供者上新增 Unified Access Gateway SAML 中繼資料,且服務提供者 SAML 中繼資料已複製到 Unified Access Gateway 應用裝置。
- (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
- CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
- (選用) OCSP 回應簽署憑證檔案位置。
- 同意表單內容 (如果同意表單會在驗證前顯示)。
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [一般設定] 的 [驗證設定] 區段中,按一下顯示。
- 按一下 [X.509 憑證] 行的齒輪。
- 設定 X.509 憑證表單。
星號表示必填文字方塊。所有其他文字方塊均為選填。
選項 |
說明 |
啟用 X.509 憑證 |
將 [否] 變更為是可啟用憑證驗證。 |
*名稱 |
為此驗證方法命名。 |
*根憑證和中繼 CA 憑證 |
按一下選取以選取要上傳的憑證檔案。您可選取多個已編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。 |
CRL 快取大小 |
輸入憑證撤銷清單快取大小。預設值為 100 |
啟用憑證撤銷 |
將 [否] 變更為是可啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。 |
使用來自憑證的 CRL |
選取此核取方塊,可使用由核發憑證的 CA 所發行的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。 |
CRL 位置 |
輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。 |
啟用 OCSP 撤銷 |
選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。 |
若 OCSP 失敗則使用 CRL |
如果您同時設定 CRL 和 OCSP,您可以選取此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。 |
傳送 OCSP Nonce |
如果您希望在回應中傳送 OCSP 要求的唯一識別碼,請選取此核取方塊。 |
OCSP URL |
如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。 |
OCSP 回應程式的簽署憑證 |
輸入回應程式 OCSP 憑證的路徑,/path/to/file.cer。 |
驗證之前啟用同意表單 |
選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。 |
同意表單內容 |
在此輸入同意表單中顯示的文字。 |
- 按一下儲存。
後續步驟
已設定 X.509 憑證驗證,且 Unified Access Gateway 應用裝置設定在負載平衡器後方時,請確定 Unified Access Gateway 已設定在負載平衡器使用 SSL 傳遞,並且未設定在負載平衡器終止 SSL。此組態可確保 SSL 信號交換會在 Unified Access Gateway 與用戶端之間進行,以便將憑證傳遞至 Unified Access Gateway。