CMG 서버 인증 인증서CMG server authentication certificate

적용 대상: Configuration Manager(현재 분기)Applies to: Configuration Manager (current branch)

CMG(클라우드 관리 게이트웨이)를 설정하는 첫 번째 단계는 서버 인증 인증서를 가져오는 것입니다.The first step when you set up a cloud management gateway (CMG) is to get the server authentication certificate. CMG는 인터넷 기반 클라이언트에서 연결하는 HTTPS 서비스를 만듭니다.The CMG creates an HTTPS service to which internet-based clients connect. 서버에서 보안 채널을 구축하려면 서버 인증 인증서가 필요합니다.The server requires a server authentication certificate to build the secure channel. 이 목적을 위해 인증서를 공용 공급자로부터 취득하거나 PKI(공개 키 인프라)에서 발급받을 수 있습니다.You can acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI).

Configuration Manager 콘솔에서 CMG를 만들 때 이 인증서를 제공합니다.When you create the CMG in the Configuration Manager console, you provide this certificate. 이 인증서의 CN(일반 이름)은 CMG의 서비스 이름을 정의합니다.The common name (CN) of this certificate defines the service name of the CMG.

참고

클라이언트 및 관리 지점에 대한 추가 인증서가 필요할 수 있습니다.You may need additional certificates for clients and management points. 이러한 인증서는 CMG 설정 프로세스의 세 번째 단계인 클라이언트 인증 구성에서 다룹니다.These certificates are covered in the third step of the CMG setup process, Configure client authentication.

이 문서에서 사용되는 일부 CMG 용어에 대한 미리 알림입니다.A reminder of some CMG terminology that's used in this article:

  • 서비스 이름: CMG 서버 인증 인증서의 CN(일반 이름)입니다.Service name: The common name (CN) of the CMG server authentication certificate. 클라이언트 및 CMG 연결 지점 사이트 시스템 역할은 이 서비스 이름과 통신합니다.Clients and the CMG connection point site system role communicate with this service name. 예를 들어 GraniteFalls.contoso.com 또는 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.contoso.com or GraniteFalls.cloudapp.net.

  • 배포 이름: 서비스 이름의 첫 번째 부분에는 클라우드 서비스 배포를 위한 Azure 위치가 추가됩니다.Deployment name: The first part of the service name plus the Azure location for the cloud service deployment. 예들 들어 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.cloudapp.net. 서비스 연결 지점의 클라우드 서비스 관리자 구성 요소는 Azure에서 CMG를 배포할 때 이 이름을 사용합니다.The cloud service manager component of the service connection point uses this name when it deploys the CMG in Azure. 배포 이름은 항상 Azure 도메인에 있습니다.The deployment name is always in an Azure domain.

    중요

    버전 2010부터Starting in version 2010, 가상 머신 확장 집합에 CMG를 배포하는 경우 배포 이름이 다릅니다.if you'll deploy the CMG to a virtual machine scale set, the deployment name is different. 가상 머신 확장 집합을 사용하는 경우 서비스 이름은 지역과 함께 cloudapp.azure.com 도메인을 사용합니다.With a virtual machine scale set, the service name uses the cloudapp.azure.com domain along with the region. 예를 들어 미국 동부 Azure 지역에서 배포하는 경우 GraniteFalls.EastUS.CloudApp.Azure.Com입니다.For example, GraniteFalls.EastUS.CloudApp.Azure.Com for a deployment in the East US Azure region. 이 문서를 읽고 가상 머신 확장 집합 배포를 위한 서버 인증 인증서를 준비할 때 그 차이점을 확인하세요.Note that difference as you read this article and prepare the server authentication certificate for a virtual machine scale set deployment.

인증서 유형 선택Choose the certificate type

먼저 인증서를 가져올 위치를 결정합니다.First, decide where you want to get the certificate. 고려해야 할 몇 가지 요소가 있습니다.There are several factors to consider.

클라이언트는 CMG 서비스를 사용하여 HTTPS 채널을 설정하려면 CMG 서버 인증 인증서를 신뢰해야 합니다.Clients must trust the CMG server authentication certificate to establish the HTTPS channel with the CMG service. 이 신뢰를 수행하는 데는 두 가지 방법이 있습니다.There are two methods to accomplish this trust:

  1. 공용 및 전역 신뢰할 수 있는 인증서 공급자의 인증서를 사용합니다.Use a certificate from a public and globally trusted certificate provider. 예를 들어 DigiCert, VeriSign 또는 Thawte가 있지만, 이에 국한되지는 않습니다.For example, but not limited to, DigiCert, Thawte, or VeriSign.

    • Windows 클라이언트에는 이러한 공급자의 신뢰할 수 있는 루트 CA(인증 기관)가 포함됩니다.Windows clients include trusted root certificate authorities (CAs) from these providers. 이러한 공급자 중 하나에서 발급한 인증서를 사용하면 클라이언트에서 이 인증서를 자동으로 신뢰합니다.By using a certificate issued by one of these providers, your clients automatically trust it.

    • 이 인증서와 관련된 비용은 공급자에 따라 다릅니다.There's a cost associated with this certificate, which is specific to the provider.

  2. PKI(공개 키 인프라)의 엔터프라이즈 CA에서 발급한 인증서를 사용합니다.Use a certificate issued by an enterprise CA from your public key infrastructure (PKI).

    • 대부분의 엔터프라이즈 PKI 구현에서는 신뢰할 수 있는 루트 CA를 Windows 클라이언트에 추가합니다.Most enterprise PKI implementations add the trusted root CAs to Windows clients. 예를 들어 그룹 정책과 함께 Active Directory 인증서 서비스를 사용하는 경우입니다.For example, if you use Active Directory Certificate Services with group policy. 클라이언트에서 자동으로 신뢰하지 않는 CA에서 CMG 서버 인증 인증서를 발급하는 경우 신뢰할 수 있는 루트 CA 인증서를 인터넷 기반 클라이언트에 추가합니다.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

    • 조직에서 인증서를 발급하는 데 드는 내부 비용이 있을 수 있지만 일반적으로 이 인증서와 관련된 외부 비용은 없습니다.Your organization may have an internal cost to issue certificates, but there are generally no external costs associated with this certificate.

중요

이 인증서를 가져오기 전에 서비스 이름이 클라우드 서비스 및 스토리지 계정에 대해 전역적으로 고유한지 확인합니다.Before you get this certificate, make sure the service name is globally unique for the cloud service and storage account. 또한 이름에 지원되는 문자가 사용되는지 확인합니다.Also make sure the name uses supported characters. 자세한 내용은 전역적으로 고유한 이름을 참조하세요.For more information, see Globally unique name.

인증서 유형의 요약 비교Summary comparison of certificate types

공용 공급자Public provider 엔터프라이즈 PKIEnterprise PKI
클라이언트 신뢰Client trust 기본적으로 Windows에서 신뢰Trusted in Windows by default 일부 구현에서는 자동으로 수행하며, 그렇지 않으면 배포해야 합니다.Automatic with some implementations, otherwise need to deploy
비용Cost YesYes 일반적이지 않음Not typical
서비스 이름 예Service name example GraniteFalls.contoso.com GraniteFalls.contoso.com 또는 GraniteFalls.cloudapp.netGraniteFalls.contoso.com or GraniteFalls.cloudapp.net
DNS CNAME 필요DNS CNAME required YesYes 아니요, Azure 도메인 서비스 이름(GraniteFalls.cloudapp.net)의 경우No for Azure domain service name (GraniteFalls.cloudapp.net)

참고

CMG 서버 인증 인증서는 와일드카드를 지원합니다.The CMG server authentication certificate supports wildcards. 일부 인증 기관은 서비스 이름 접두사에 와일드카드 문자를 사용하는 인증서를 발행합니다.Some certificate authorities issue certificates using a wildcard character for the service name prefix. 예: *.contoso.comFor example, *.contoso.com. 일부 조직에서는 PKI를 간소화하고 유지 관리 비용을 절약하기 위해 와일드카드 인증서를 사용합니다.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

CMG에서 와일드카드 인증서를 사용하는 방법에 대한 자세한 내용은 CMG 설정을 참조하세요.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

전역적으로 고유한 이름Globally unique name

이 인증서에는 Azure에서 서비스를 식별하기 위해 전역적으로 고유한 이름을 필요합니다.This certificate requires a globally unique name to identify the service in Azure. 인증서를 요청하기 전에 원하는 Azure 배포 이름 이 고유한지 확인합니다.Before you request a certificate, confirm that the Azure deployment name you want is unique. 예들 들어 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.cloudapp.net.

  1. Azure Portal에 로그인합니다.Sign in to the Azure portal.

  2. Azure Portal 홈페이지의 Azure 서비스에서 리소스 만들기 를 선택합니다.From the Azure portal home page, select Create a resource under Azure services.

  3. 클라우드 서비스 를 검색합니다.Search for Cloud service. 만들기 를 선택합니다.Select Create.

  4. DNS 이름 필드에서 원하는 접두사를 입력합니다(예: GraniteFalls).In the DNS name field, type the prefix you want, for example GraniteFalls. 인터페이스에는 도메인 이름을 사용할 수 있는지, 아니면 다른 서비스에서 이미 사용 중인지 여부가 표시됩니다.The interface reflects whether the domain name is available or already in use by another service.

    중요

    포털에서 서비스를 만들지 말고, 이 프로세스를 사용하여 이름 가용성을 확인하세요.Don't create the service in the portal, just use this process to check the name availability.

콘텐츠에 대해서도 CMG를 사용하도록 설정하는 경우 고유한 Azure 스토리지 계정 이름인지도 확인합니다.If you also enable the CMG for content, confirm that it's also a unique Azure storage account name. CMG 클라우드 서비스 이름은 고유하지만 스토리지 계정은 고유하지 않은 경우 Configuration Manager가 Azure에서 서비스를 프로비저닝하지 못합니다.If the CMG cloud service name is unique, but the storage account isn't, Configuration Manager fails to provision the service in Azure. 다음과 같이 변경하고 Azure Portal에서 위의 프로세스를 반복합니다.Repeat the above process in the Azure portal with the following changes:

  • 스토리지 계정 을 검색합니다.Search for Storage account.

  • 스토리지 계정 이름 필드에서 이름을 테스트합니다.Test your name in the Storage account name field.

중요

DNS 이름 접두사(예: GraniteFalls)는 3~24자여야 하며 영숫자 문자만 사용해야 합니다.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. 대시(-)와 같은 특수 문자를 사용하지 마세요.Don't use special characters, like a dash (-).

인증서 발급Issue the certificate

CMG 서버 인증 인증서는 다음 구성을 지원합니다.The CMG server authentication certificate supports the following configurations:

  • 2048비트 또는 4096비트 키 길이2048-bit or 4096-bit key length

  • 이 인증서는 인증서 프라이빗 키(v3)에 대한 키 스토리지 공급자를 지원합니다.This certificate supports key storage providers for certificate private keys (v3). 자세한 내용은 CNG v3 인증서 개요를 참조하세요.For more information, see CNG v3 certificates overview.

공용 공급자 인증서 사용Use a public provider certificate

Microsoft가 해당 도메인을 소유하고 있으므로 타사 인증서 공급자는 cloudapp.net과 같은 Azure 도메인에 대한 인증서를 만들 수 없습니다.A third-party certificate provider can't create a certificate for an Azure domain like cloudapp.net, because Microsoft owns those domains. 소유하는 도메인에 대해 발급된 인증서만 가져올 수 있습니다.You can only get a certificate issued for a domain you own. 타사 공급자에서 발급한 인증서를 가져오는 주된 이유는 클라이언트에서 이미 해당 공급자의 루트 인증서를 신뢰하기 때문입니다.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

이 인증서를 가져오는 특정 프로세스는 공급자에 따라 다릅니다.The specific process to get this certificate varies by provider. 자세한 내용은 타사 인증서 공급자에게 문의하세요.For more information, contact your third-party certificate provider.

서버 인증서 CN(일반 이름)의 경우:For the web server certificate common name (CN):

  • 클라우드 서비스 및 스토리지 계정에 대해 Azure에서 배포 이름전역적으로 고유한지 확인했습니다.You've made sure the deployment name is globally unique in Azure for the cloud service and storage account. 예들 들어 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.cloudapp.net.

  • 서비스 이름 을 확인하려면 배포 이름 접두사(GraniteFalls)를 조직의 도메인 이름(contoso.com)에 추가합니다.To determine the service name, append the deployment name prefix (GraniteFalls) to your organization's domain name (contoso.com).

  • 인증서 CN(일반 이름)에 이 서비스 이름 을 사용합니다.Use this service name for the certificate common name (CN). 예들 들어 GraniteFalls.contoso.com입니다.For example, GraniteFalls.contoso.com.

다음으로, DNS CNAME 별칭을 만들어야 합니다.Next, you need to create a DNS CNAME alias.

엔터프라이즈 PKI 인증서 사용Use an enterprise PKI certificate

조직의 PKI에서 웹 서버 인증서를 발급하는 것은 제품에 따라 다릅니다.Issuing a web server certificate from your organization's PKI varies by product. 클라우드 기반 배포 지점용 서비스 인증서 배포에 대한 지침은 Active Directory Certificate Services에 대한 것입니다.The instructions for Deploying the service certificate for cloud-based distribution points are for Active Directory Certificate Services. 이 프로세스는 일반적으로 CMG 서버 인증 인증서에 적용됩니다.This process generally applies for the CMG server authentication certificate.

서버 인증서 CN(일반 이름)의 경우:For the web server certificate common name (CN):

  • 클라우드 서비스 및 스토리지 계정에 대해 Azure에서 배포 이름전역적으로 고유한지 확인했습니다.You've made sure the deployment name is globally unique in Azure for the cloud service and storage account. 예들 들어 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.cloudapp.net.

  • 서비스 이름 을 확인하려면 다음 두 가지 옵션을 사용합니다.To determine the service name, you have two options:

    • 도메인 이름을 사용합니다.Use your domain name. 배포 이름 접두사(GraniteFalls)를 조직의 도메인 이름(contoso.com)에 추가합니다.Append the deployment name prefix (GraniteFalls) to your organization's domain name (contoso.com). 예들 들어 GraniteFalls.contoso.com입니다.For example, GraniteFalls.contoso.com. 이 옵션의 경우 DNS CNAME 별칭도 만들어야 합니다.For this option, you also need to create a DNS CNAME alias.

    • Azure 배포 이름을 사용합니다.Use the Azure deployment name. 이 옵션에는 DNS CNAME 별칭이 필요하지 않습니다.This option doesn't require a DNS CNAME alias. 예를 들면 다음과 같습니다.For example:

      • Azure 퍼블릭 클라우드의 경우: GraniteFalls.cloudapp.net.For the Azure public cloud: GraniteFalls.cloudapp.net.

      • Azure 미국 정부 클라우드의 경우: GraniteFalls.usgovcloudapp.net.For the Azure US Government cloud: GraniteFalls.usgovcloudapp.net.

  • 인증서 CN(일반 이름)에 이 서비스 이름 을 사용합니다.Use this service name for the certificate common name (CN).

DNS CNAME 별칭 만들기Create a DNS CNAME alias

CMG 서비스 이름이 조직의 도메인 이름(GraniteFalls.contoso.com)을 사용하는 경우 DNS 정식 이름 레코드(CNAME)를 만들어야 합니다.If the CMG service name uses your organization's domain name (GraniteFalls.contoso.com), you need to create a DNS canonical name record (CNAME). 이 별칭은 서비스 이름배포 이름 에 매핑합니다.This alias maps the service name to the deployment name.

조직의 공용 DNS에 CNAME 레코드를 만듭니다.Create a CNAME record in your organization's public DNS. Azure의 CMG 서비스와 이 서비스를 사용하는 모든 클라이언트에서 서비스 이름을 확인해야 합니다.The CMG service in Azure and all clients that use it need to resolve the service name. 예를 들면 다음과 같습니다.For example:

  • Contoso는 CMG GraniteFalls 의 이름을 지정합니다.Contoso names their CMG GraniteFalls.

  • Azure의 배포 이름은 GraniteFalls.cloudapp.net입니다.The deployment name in Azure is GraniteFalls.cloudapp.net.

  • Contoso의 공용 DNS contoso.com 네임스페이스에서 DNS 관리자는 Azure 배포 이름 GraniteFalls.cloudapp.netGraniteFalls.contoso.com 서비스 이름에 대한 새 CNAME 레코드를 만듭니다.In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for the service name GraniteFalls.contoso.com to the Azure deployment name, GraniteFalls.cloudapp.net.

인증서에 GraniteFalls.contoso.com이 CN으로 있는 동안 CMG를 만들 때 Configuration Manager는 서비스 이름 접두사를 추출합니다. 예를 들면 다음과 같습니다. GraniteFalls.When you create the CMG, while the certificate has GraniteFalls.contoso.com as the CN, Configuration Manager only extracts the service name prefix, for example: GraniteFalls. 이 접두사를 Azure 서비스 도메인(cloudapp.net)에 추가하여 배포 이름을 만듭니다.It appends this prefix to the Azure service domain (cloudapp.net) to create the deployment name. 예들 들어 GraniteFalls.cloudapp.net입니다.For example, GraniteFalls.cloudapp.net. 도메인(contoso.com)에 대한 DNS 네임스페이스의 CNAME 별칭은 이러한 두 개의 FQDN을 함께 매핑합니다.The CNAME alias in the DNS namespace for your domain (contoso.com) maps together these two FQDNs.

Configuration Manager 클라이언트 정책에는 CMG 서비스 이름 GraniteFalls.contoso.com이 포함되어 있습니다.The Configuration Manager client policy includes the CMG service name, GraniteFalls.contoso.com. 클라이언트는 CNAME 별칭을 통해 서비스 이름을 배포 이름 GraniteFalls.cloudapp.net으로 확인합니다.The client resolves the service name via the CNAME alias to the deployment name, GraniteFalls.cloudapp.net. 그런 다음, 배포 이름의 IP 주소를 확인하여 Azure의 서비스와 통신할 수 있습니다.It then can resolve the IP address of the deployment name to communicate with the service in Azure.

다음 단계Next steps

Azure AD(Azure Active Directory)를 구성하여 CMG 설정을 계속합니다.Continue your CMG setup by configuring Azure Active Directory (Azure AD):