您可從 VMware Identity Manager 管理主控台啟用並設定憑證驗證。
先決條件
從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。
(選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
(選擇性) OCSP 回應簽署憑證檔案位置。
同意表單內容 (如果同意表單在驗證前顯示)。
程序
- 在管理主控台的 [身分識別與存取管理] 索引標籤中,選取設定。
- 在 [連接器] 頁面上,針對正在設定的連接器,選取 Worker 連結。
- 按一下驗證介面卡,然後按一下 CertificateAuthAdapter。
- 設定 [憑證驗證介面卡] 頁面。
選項 |
說明 |
*名稱 |
名稱為必填。預設名稱為 CertificateAuthAdapter。您可變更此名稱。 |
啟用憑證配接器 |
選取此核取方塊可啟用憑證驗證。 |
*根和中繼 CA 憑證 |
選取要上傳的憑證檔案。您可選取多個編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。 |
上傳的 CA 憑證 |
上傳的憑證檔案列於表單的 [上傳的 CA 憑證] 區段中。 |
如果憑證中沒有 UPN 便使用電子郵件 |
如果使用者主體名稱 (UPN) 不在憑證中,請選取此核取方塊將 emailAddress 屬性作為主體別名延伸,以驗證使用者的帳戶。 |
憑證原則已接受 |
建立憑證原則延伸中已接受之物件識別碼的清單。 輸入憑證核發原則的物件識別碼號碼 (OID)。按一下新增另一個值來新增其他 OID。 |
啟用憑證撤銷 |
選取此核取方塊可啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。 |
使用來自憑證的 CRL |
選取此核取方塊,可使用由核發憑證的 CA 所發行的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。 |
CRL 位置 |
輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。 |
啟用 OCSP 撤銷 |
選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。 |
OCSP 失敗時使用 CRL |
如果您同時設定 CRL 和 OCSP,您可以勾選此方塊,以在 OCSP 檢查不可用時返回使用 CRL。 |
傳送 OCSP Nonce |
如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。 |
OCSP URL |
如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。 |
OCSP 回應程式的簽署憑證 |
針對回應程式輸入 OCSP 憑證的路徑 /path/to/file.cer。 |
驗證前啟用同意表單 |
選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。 |
同意表單內容 |
在此文字方塊中輸入要顯示在同意表單中的文字。 |
- 按一下儲存。
下一步
將憑證驗證方法新增至預設存取原則。移至 [身分識別與存取管理] > [管理] > [原則] 頁面,然後編輯預設原則規則以新增憑證。請參閱管理要套用至使用者的驗證方法。
設定了憑證驗證,且在負載平衡器後方設定服務應用裝置時,請確保在負載平衡器上 VMware Identity Manager 連接器設定了 SSL 傳遞,且未將其設定為在負載平衡器上終止 SSL。此組態確保連接器與用戶端之間存在 SSL 信號交換,以便將憑證傳遞至連接器。