您可從 Unified Access Gateway 管理主控台啟用並設定憑證驗證。

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。

    請參閱 取得憑證授權機構憑證

  • 確認已在服務提供者上新增 Unified Access Gateway SAML 中繼資料,且服務提供者 SAML 中繼資料已複製到 Unified Access Gateway 應用裝置。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • 同意表單內容 (如果同意表單會在驗證前顯示)。

程序

  1. Unified Access Gateway 管理員 UI 中,導覽至手動設定區段,然後按一下選取
  2. 一般設定 > 驗證設定中,按一下顯示
  3. 按一下 x.509 憑證齒輪。
  4. 設定 X.509 憑證表單。
    星號表示必填文字方塊。所有其他文字方塊均為選填。
    選項 說明
    啟用 X.509 憑證 開啟此切換以啟用憑證驗證。
    *根憑證和中繼 CA 憑證 若要上傳憑證檔案,請按一下選取
    提示: 您可以上載單一個檔案,其中包含多個編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。

    隨後,若要新增包含憑證的其他檔案,請按一下選取

    備註: 在版本 2012 及更新版本中, Unified Access Gateway 支援設定具有相同主體 DN 的多個 CA 憑證。當更新的 CA 簽發者憑證與相同的主體 DN (但不同的金鑰配對) 搭配使用時,此多憑證支援相當實用。此功能可讓您將新舊 CA 憑證一起使用,以支援由任一個 CA 憑證所簽發的用戶端憑證。 Unified Access Gateway 會使用授權金鑰識別碼來識別對應於用來簽署憑證之私密金鑰的公開金鑰。當簽發者具有多個簽署金鑰 (由於多個並行金鑰配對或進行變更) 時,系統將會使用此延伸。
    啟用憑證撤銷 開啟此切換以啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 選取此核取方塊,可使用由核發憑證的 CA 所發行的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑
    啟用 OCSP 撤銷 選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。
    若 OCSP 失敗則使用 CRL 如果您同時設定 CRL 和 OCSP,您可以選取此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 要求的唯一識別碼,請選取此核取方塊。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    使用來自憑證的 OCSP URL 選取此方塊以使用 OCSP URL。
    驗證之前啟用同意表單 選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。
  5. 按一下儲存

下一步

已設定 X.509 憑證驗證,且 Unified Access Gateway 應用裝置設定在負載平衡器後方時,請確定負載平衡器已設定在負載平衡器使用 SSL 傳遞,而未設定為終止 SSL。此組態可確保 SSL 信號交換會在 Unified Access Gateway 與用戶端之間進行,以便將憑證傳遞至 Unified Access Gateway