Configuration Manager PKI 인증서의 단계별 배포 예제: Windows Server 2008 인증 기관
적용 대상: Configuration Manager(현재 분기)
Windows Server 2008 CA(인증 기관)를 사용하는 이 단계별 배포에는 Configuration Manager 사용하는 PKI(공개 키 인프라) 인증서를 만들고 배포하는 방법을 보여 주는 절차가 있습니다. 이러한 절차는 CA(엔터프라이즈 인증 기관) 및 인증서 템플릿을 사용합니다. 이 단계는 개념 증명으로 테스트 네트워크에만 적합합니다.
필요한 인증서에 대한 단일 배포 방법은 없으므로 프로덕션 환경에 필요한 인증서를 배포하는 데 필요한 절차 및 모범 사례는 특정 PKI 배포 설명서를 참조하세요. 인증서 요구 사항에 대한 자세한 내용은 Configuration Manager 대한 PKI 인증서 요구 사항을 참조하세요.
팁
이 항목의 지침은 네트워크 요구 사항 테스트 섹션에 설명되지 않은 운영 체제에 맞게 조정할 수 있습니다. 그러나 Windows Server 2012 발급 CA를 실행하는 경우 인증서 템플릿 버전을 묻는 메시지가 표시되지 않습니다. 대신 템플릿 속성의 호환성 탭에서 이를 지정합니다.
- 인증 기관: Windows Server 2003
- 인증서 수신자: Windows XP/Server 2003
네트워크 요구 사항 테스트
단계별 지침에는 다음과 같은 요구 사항이 있습니다.
테스트 네트워크는 Windows Server 2008에서 Active Directory Domain Services 실행 중이며 단일 도메인 단일 포리스트로 설치됩니다.
Windows Server 2008 Enterprise Edition 실행하는 멤버 서버가 있는데, 이 서버에는 Active Directory 인증서 서비스 역할이 설치되어 있으며 엔터프라이즈 루트 CA(인증 기관)로 설정됩니다.
Windows Server 2008(Standard Edition 또는 Enterprise Edition, R2 이상)이 설치되어 있고, 해당 컴퓨터가 구성원 서버로 지정되고, IIS(인터넷 정보 서비스)가 설치되어 있는 컴퓨터가 하나 있습니다. 이 컴퓨터는 인트라넷에서 클라이언트 연결을 지원하도록 인트라넷 FQDN(정규화된 도메인 이름)으로 구성하고 인터넷에서 Configuration Manager 클라이언트가 등록한 모바일 디바이스를 지원해야 하는 경우 인터넷 FQDN으로 구성하는 Configuration Manager 사이트 시스템 서버가 됩니다.
최신 서비스 팩이 설치된 하나의 Windows Vista 클라이언트가 있으며, 이 컴퓨터는 ASCII 문자로 구성되고 도메인에 가입된 컴퓨터 이름으로 설정됩니다. 이 컴퓨터는 Configuration Manager 클라이언트 컴퓨터가 됩니다.
루트 도메인 관리자 계정 또는 엔터프라이즈 도메인 관리자 계정으로 로그인하고 이 예제 배포의 모든 절차에 이 계정을 사용할 수 있습니다.
인증서 개요
다음 표에서는 Configuration Manager 데 필요할 수 있는 PKI 인증서 유형을 나열하고 사용하는 방법을 설명합니다.
| 인증서 요구 사항 | 인증서 설명 |
|---|---|
| IIS를 실행하는 사이트 시스템에 대한 웹 서버 인증서 | 이 인증서는 데이터를 암호화하고 클라이언트에 서버를 인증하는 데 사용됩니다. IIS(인터넷 정보 서비스)를 실행하고 CONFIGURATION MANAGER HTTPS를 사용하도록 설정된 사이트 시스템 서버의 Configuration Manager 외부에서 설치해야 합니다. 이 인증서를 설정하고 설치하는 단계는 이 항목 에서 IIS를 실행하는 사이트 시스템에 대한 웹 서버 인증서 배포 를 참조하세요. |
| 클라이언트가 클라우드 기반 배포 지점에 연결하기 위한 서비스 인증서 | 이 인증서를 구성하고 설치하는 단계는 이 항목 의 클라우드 기반 배포 지점에 대한 서비스 인증서 배포 를 참조하세요. 중요: 이 인증서는 Windows Azure 관리 인증서와 함께 사용됩니다. 관리 인증서에 대한 자세한 내용은 관리 인증서를 만드는 방법 및 Windows Azure 구독에 관리 인증서를 추가하는 방법을 참조하세요. |
| Windows 컴퓨터용 클라이언트 인증서 | 이 인증서는 HTTPS를 사용하도록 설정된 사이트 시스템에 Configuration Manager 클라이언트 컴퓨터를 인증하는 데 사용됩니다. 또한 관리 지점 및 상태 마이그레이션 지점에서 HTTPS를 사용하도록 설정된 경우 운영 상태를 모니터링하는 데 사용할 수도 있습니다. 컴퓨터의 Configuration Manager 외부에서 설치해야 합니다. 이 인증서를 설정하고 설치하는 단계는 이 항목 에서 Windows 컴퓨터에 대한 클라이언트 인증서 배포 를 참조하세요. |
| 배포 지점에 대한 클라이언트 인증서 | 이 인증서에는 다음 두 가지 목적이 있습니다. 인증서는 배포 지점에서 상태 메시지를 보내기 전에 HTTPS 사용 관리 지점으로 배포 지점을 인증하는 데 사용됩니다. 클라이언트 배포 지점에 PXE 지원 사용 옵션을 선택하면 운영 체제를 배포하는 동안 HTTPS 지원 관리 지점에 연결할 수 있도록 PXE가 부팅되는 컴퓨터로 인증서가 전송됩니다. 이 인증서를 설정하고 설치하는 단계는 이 항목 의 배포 지점에 대한 클라이언트 인증서 배포 를 참조하세요. |
| 모바일 디바이스에 대한 등록 인증서 | 이 인증서는 httpS를 사용하도록 설정된 사이트 시스템에 Configuration Manager 모바일 디바이스 클라이언트를 인증하는 데 사용됩니다. Configuration Manager 모바일 디바이스 등록의 일부로 설치해야 하며 구성된 인증서 템플릿을 모바일 디바이스 클라이언트 설정으로 선택합니다. 이 인증서를 설정하는 단계는 이 항목 의 모바일 디바이스에 대한 등록 인증서 배포 를 참조하세요. |
| Mac 컴퓨터용 클라이언트 인증서 | Configuration Manager 등록을 사용할 때 Mac 컴퓨터에서 이 인증서를 요청하고 설치하고 구성된 인증서 템플릿을 모바일 디바이스 클라이언트 설정으로 선택할 수 있습니다. 이 인증서를 설정하는 단계는 이 항목 에서 Mac 컴퓨터에 대한 클라이언트 인증서 배포 를 참조하세요. |
IIS를 실행하는 사이트 시스템에 대한 웹 서버 인증서 배포
이 인증서 배포에는 다음 절차가 있습니다.
인증 기관에서 웹 서버 인증서 템플릿 만들기 및 발급
웹 서버 인증서 요청
웹 서버 인증서를 사용하도록 IIS 구성
인증 기관에서 웹 서버 인증서 템플릿 만들기 및 발급
이 절차에서는 Configuration Manager 사이트 시스템에 대한 인증서 템플릿을 만들고 인증 기관에 추가합니다.
인증 기관에서 웹 서버 인증서 템플릿을 만들고 발급하려면
IIS를 실행할 Configuration Manager 사이트 시스템을 설치할 멤버 서버가 있는 ConfigMgr IIS 서버라는 보안 그룹을 만듭니다.
인증서 서비스가 설치된 멤버 서버의 인증 기관 콘솔에서 인증서 템플릿 을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 콘솔을 로드합니다.
결과 창에서 템플릿 표시 이름 열에 웹 서버가 있는 항목을 마우스 오른쪽 단추로 클릭한 다음 템플릿 중복을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr 웹 서버 인증서와 같은 템플릿 이름을 입력하여 Configuration Manager 사이트 시스템에서 사용할 웹 인증서를 생성합니다.
주체 이름 탭을 선택하고 요청에서 공급이 선택되어 있는지 확인합니다.
보안 탭을 선택한 다음 도메인 관리자 및 엔터프라이즈 관리자 보안 그룹에서 등록 권한을 제거합니다.
추가를 선택하고 텍스트 상자에 ConfigMgr IIS 서버를 입력한 다음 확인을 선택합니다.
이 그룹에 대한 등록 권한을 선택하고 읽기 권한을 지우지 않습니다.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr 웹 서버 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관을 닫습니다.
웹 서버 인증서 요청
이 절차를 통해 사이트 시스템 서버 속성에 설정될 인트라넷 및 인터넷 FQDN 값을 지정한 다음 IIS를 실행하는 멤버 서버에 웹 서버 인증서를 설치할 수 있습니다.
웹 서버 인증서를 요청하려면
IIS를 실행하는 멤버 서버를 다시 시작하여 컴퓨터가 구성한 읽기 및 등록 권한을 사용하여 만든 인증서 템플릿에 액세스할 수 있도록 합니다.
시작을 선택하고 실행을 선택한 다음mmc.exe 입력합니다 . 빈 콘솔에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.
스냅인 추가 또는 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 선택합니다.
인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.
컴퓨터 선택 대화 상자에서 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)가 선택되어 있는지 확인하고 마침을 선택합니다.
스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.
콘솔에서 인증서(로컬 컴퓨터)를 확장한 다음 개인을 선택합니다.
인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 새 인증서 요청을 선택합니다.
시작하기 전에 페이지에서 다음을 선택합니다.
인증서 등록 정책 선택 페이지가 표시되면 다음을 선택합니다.
인증서 요청 페이지에서 사용 가능한 인증서 목록에서 ConfigMgr 웹 서버 인증서를 식별한 다음, 이 인증서에 등록하려면 추가 정보가 필요합니다를 선택합니다. 설정을 구성하려면 여기를 클릭하십시오.
인증서 속성 대화 상자의 주체 탭에서 주체 이름을 변경하지 마세요. 즉, 주체 이름 섹션의 값 상자는 비어 있습니다. 대신 대체 이름 섹션에서 형식 드롭다운 목록을 선택한 다음 DNS를 선택합니다.
값 상자에서 Configuration Manager 사이트 시스템 속성에서 지정할 FQDN 값을 지정한 다음 확인을 선택하여 인증서 속성 대화 상자를 닫습니다.
예제:
사이트 시스템에서 인트라넷의 클라이언트 연결만 수락하고 사이트 시스템 서버의 인트라넷 FQDN이 server1.internal.contoso.com 경우 server1.internal.contoso.com 입력한 다음 추가를 선택합니다.
사이트 시스템이 인트라넷 및 인터넷의 클라이언트 연결을 수락하고 사이트 시스템 서버의 인트라넷 FQDN이 server1.internal.contoso.com 사이트 시스템 서버의 인터넷 FQDN이 server.contoso.com 경우:
server1.internal.contoso.com 입력한 다음 추가를 선택합니다.
server.contoso.com 입력한 다음 추가를 선택합니다.
참고
순서에 Configuration Manager FQDN을 지정할 수 있습니다. 그러나 모바일 디바이스 및 프록시 웹 서버와 같이 인증서를 사용하는 모든 디바이스에서 SAN(인증서 주체 대체 이름) 및 SAN의 여러 값을 사용할 수 있는지 확인합니다. 디바이스가 인증서에서 SAN 값에 대한 지원이 제한된 경우 FQDN의 순서를 변경하거나 제목 값을 대신 사용해야 할 수 있습니다.
인증서 요청 페이지의 사용 가능한 인증서 목록에서 ConfigMgr 웹 서버 인증서를 선택한 다음 등록을 선택합니다.
인증서 설치 결과 페이지에서 인증서가 설치될 때까지 기다린 다음 마침을 선택합니다.
인증서(로컬 컴퓨터)를 닫습니다.
웹 서버 인증서를 사용하도록 IIS 구성
이 절차는 설치된 인증서를 IIS 기본 웹 사이트에 바인딩합니다.
웹 서버 인증서를 사용하도록 IIS를 설정하려면
IIS가 설치된 멤버 서버에서 시작, 프로그램, 관리 도구, IIS(인터넷 정보 서비스) 관리자를 차례로 선택합니다.
사이트를 확장하고 기본 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 바인딩 편집을 선택합니다.
https 항목을 선택한 다음 편집을 선택합니다.
사이트 바인딩 편집 대화 상자에서 ConfigMgr 웹 서버 인증서 템플릿을 사용하여 요청한 인증서를 선택한 다음 확인을 선택합니다.
참고
올바른 인증서가 무엇인지 잘 모르는 경우 인증서를 선택한 다음 보기를 선택합니다. 이렇게 하면 선택한 인증서 세부 정보를 인증서 스냅인의 인증서와 비교할 수 있습니다. 예를 들어 인증서 스냅인은 인증서를 요청하는 데 사용된 인증서 템플릿을 표시합니다. 그런 다음 ConfigMgr 웹 서버 인증서 템플릿을 사용하여 요청한 인증서의 인증서 지문을 사이트 바인딩 편집 대화 상자에서 현재 선택한 인증서의 인증서 지문과 비교할 수 있습니다.
사이트 바인딩 편집 대화 상자에서 확인을 선택한 다음, 닫기를 선택합니다.
IIS(인터넷 정보 서비스) 관리자를 닫습니다.
이제 멤버 서버가 Configuration Manager 웹 서버 인증서로 설정됩니다.
중요
이 컴퓨터에 Configuration Manager 사이트 시스템 서버를 설치하는 경우 인증서를 요청할 때 지정한 것과 동일한 FQDN을 사이트 시스템 속성에 지정해야 합니다.
클라우드 기반 배포 지점에 대한 서비스 인증서 배포
이 인증서 배포에는 다음 절차가 있습니다.
인증 기관에서 사용자 지정 웹 서버 인증서 템플릿 만들기 및 발급
이 절차는 웹 서버 인증서 템플릿을 기반으로 하는 사용자 지정 인증서 템플릿을 만듭니다. 인증서는 Configuration Manager 클라우드 기반 배포 지점용이며 프라이빗 키를 내보낼 수 있어야 합니다. 인증서 템플릿이 만들어지면 인증 기관에 추가됩니다.
참고
이 절차에서는 IIS를 실행하는 사이트 시스템에 대해 만든 웹 서버 인증서 템플릿과 다른 인증서 템플릿을 사용합니다. 두 인증서 모두 서버 인증 기능이 필요하지만 클라우드 기반 배포 지점에 대한 인증서를 사용하려면 주체 이름에 대해 사용자 지정 정의 값을 입력해야 하며 프라이빗 키를 내보내야 합니다. 보안 모범 사례로, 이 구성이 필요하지 않은 한 프라이빗 키를 내보낼 수 있도록 인증서 템플릿을 설정하지 마세요. 인증서 저장소에서 인증서를 선택하지 않고 파일로 가져와야 하므로 클라우드 기반 배포 지점에 이 구성이 필요합니다.
이 인증서에 대한 새 인증서 템플릿을 만들 때 프라이빗 키를 내보낼 수 있는 인증서를 요청할 수 있는 컴퓨터를 제한할 수 있습니다. 프로덕션 네트워크에서 이 인증서에 대해 다음과 같은 변경 내용을 추가하는 것도 고려할 수 있습니다.
- 추가 보안을 위해 인증서를 설치하려면 승인이 필요합니다.
- 인증서 유효 기간을 늘입니다. 인증서가 만료되기 전에 매번 인증서를 내보내고 가져와야 하므로 유효 기간이 늘어나면 이 절차를 반복해야 하는 빈도가 줄어듭니다. 그러나 유효 기간이 늘어나면 공격자가 프라이빗 키를 해독하고 인증서를 도용하는 데 더 많은 시간이 필요하기 때문에 인증서의 보안도 저하됩니다.
- 인증서 SAN(주체 대체 이름)의 사용자 지정 값을 사용하여 IIS와 함께 사용하는 표준 웹 서버 인증서에서 이 인증서를 식별할 수 있습니다.
인증 기관에서 사용자 지정 웹 서버 인증서 템플릿을 만들고 발급하려면
클라우드 기반 배포 지점을 관리하는 Configuration Manager 기본 사이트 서버를 설치할 멤버 서버가 있는 ConfigMgr 사이트 서버라는 보안 그룹을 만듭니다.
인증 기관 콘솔을 실행하는 멤버 서버에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 관리 콘솔을 로드합니다.
결과 창에서 템플릿 표시 이름 열에 웹 서버가 있는 항목을 마우스 오른쪽 단추로 클릭한 다음 템플릿 중복을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr Cloud-Based 배포 지점 인증서와 같은 템플릿 이름을 입력하여 클라우드 기반 배포 지점에 대한 웹 서버 인증서를 생성합니다.
요청 처리 탭을 선택한 다음 프라이빗 키를 내보낼 수 있도록 허용을 선택합니다.
보안 탭을 선택한 다음 엔터프라이즈 관리자 보안 그룹에서 등록 권한을 제거합니다.
추가를 선택하고 텍스트 상자에 ConfigMgr 사이트 서버를 입력한 다음 확인을 선택합니다.
이 그룹에 대한 등록 권한을 선택하고 읽기 권한을 지우지 않습니다.
암호화 탭을 선택하고 최소 키 크기가 2048로 설정되었는지 확인합니다.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr Cloud-Based 배포 지점 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관을 닫습니다.
사용자 지정 웹 서버 인증서 요청
이 절차는 사이트 서버를 실행할 멤버 서버에 사용자 지정 웹 서버 인증서를 요청한 다음 설치합니다.
사용자 지정 웹 서버 인증서를 요청하려면
구성한 읽기 및 등록 권한을 사용하여 만든 인증서 템플릿에 컴퓨터가 액세스할 수 있도록 ConfigMgr 사이트 서버 보안 그룹을 만들고 구성한 후 멤버 서버를 다시 시작합니다.
시작을 선택하고 실행을 선택한 다음 ,mmc.exe 입력합니다. 빈 콘솔에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.
스냅인 추가 또는 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 선택합니다.
인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.
컴퓨터 선택 대화 상자에서 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)가 선택되어 있는지 확인하고 마침을 선택합니다.
스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.
콘솔에서 인증서(로컬 컴퓨터)를 확장한 다음 개인을 선택합니다.
인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 새 인증서 요청을 선택합니다.
시작하기 전에 페이지에서 다음을 선택합니다.
인증서 등록 정책 선택 페이지가 표시되면 다음을 선택합니다.
인증서 요청 페이지에서 사용 가능한 인증서 목록에서 ConfigMgr Cloud-Based 배포 지점 인증서를 식별한 다음, 이 인증서에 등록하는 데 필요한 추가 정보를 선택합니다. 설정을 구성하려면 여기를 선택합니다.
인증서 속성 대화 상자의 주체 탭에서 주체 이름에 대해 일반 이름을형식으로 선택합니다.
값 상자에서 FQDN 형식을 사용하여 서비스 이름 및 도메인 이름을 선택합니다. 예: clouddp1.contoso.com.
참고
네임스페이스에서 서비스 이름을 고유하게 만듭니다. DNS를 사용하여 별칭(CNAME 레코드)을 만들어 이 서비스 이름을 자동으로 생성된 식별자(GUID) 및 Windows Azure의 IP 주소에 매핑합니다.
추가를 선택한 다음 확인을 선택하여 인증서 속성 대화 상자를 닫습니다.
인증서 요청 페이지의 사용 가능한 인증서 목록에서 ConfigMgr Cloud-Based 배포 지점 인증서를 선택한 다음 등록을 선택합니다.
인증서 설치 결과 페이지에서 인증서가 설치될 때까지 기다린 다음 마침을 선택합니다.
인증서(로컬 컴퓨터)를 닫습니다.
클라우드 기반 배포 지점에 대한 사용자 지정 웹 서버 인증서 내보내기
이 절차에서는 클라우드 기반 배포 지점을 만들 때 가져올 수 있도록 사용자 지정 웹 서버 인증서를 파일로 내보냅니다.
클라우드 기반 배포 지점에 대한 사용자 지정 웹 서버 인증서를 내보내려면
인증서(로컬 컴퓨터) 콘솔에서 방금 설치한 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택합니다.
인증서 내보내기 마법사에서 다음을 선택합니다.
프라이빗 키 내보내기 페이지에서 예를 선택하고 프라이빗 키를 내보낸 다음, 다음을 선택합니다.
참고
이 옵션을 사용할 수 없는 경우 프라이빗 키를 내보내는 옵션 없이 인증서가 만들어졌습니다. 이 시나리오에서는 인증서를 필요한 형식으로 내보낼 수 없습니다. 프라이빗 키를 내보낼 수 있도록 인증서 템플릿을 설정한 다음 인증서를 다시 요청해야 합니다.
파일 형식 내보내기 페이지에서 개인 정보 교환 - PKCS #12(. PFX) 옵션이 선택되어 있습니다.
암호 페이지에서 강력한 암호를 지정하여 내보낸 인증서를 프라이빗 키로 보호한 다음, 다음을 선택합니다.
내보낼 파일 페이지에서 내보낼 파일의 이름을 지정한 다음, 다음을 선택합니다.
마법사를 닫려면 인증서 내보내기 마법사 페이지에서 마침을 선택한 다음 확인 대화 상자에서 확인을 선택합니다.
인증서(로컬 컴퓨터)를 닫습니다.
파일을 안전하게 저장하고 Configuration Manager 콘솔에서 액세스할 수 있는지 확인합니다.
이제 클라우드 기반 배포 지점을 만들 때 인증서를 가져올 준비가 되었습니다.
Windows 컴퓨터용 클라이언트 인증서 배포
이 인증서 배포에는 다음 절차가 있습니다.
인증 기관에서 워크스테이션 인증 인증서 템플릿 만들기 및 발급
그룹 정책 사용하여 워크스테이션 인증 템플릿의 자동 등록 구성
워크스테이션 인증 인증서를 자동으로 등록하고 컴퓨터에 설치 확인
인증 기관에서 워크스테이션 인증 인증서 템플릿 만들기 및 발급
이 절차에서는 Configuration Manager 클라이언트 컴퓨터에 대한 인증서 템플릿을 만들고 인증 기관에 추가합니다.
인증 기관에서 워크스테이션 인증 인증서 템플릿을 만들고 발급하려면
인증 기관 콘솔을 실행하는 멤버 서버에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 관리 콘솔을 로드합니다.
결과 창의 템플릿 표시 이름 열에서 워크스테이션 인증이 있는 항목을 마우스 오른쪽 단추로 클릭한 다음 템플릿 중복을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr 클라이언트 인증서와 같은 템플릿 이름을 입력하여 Configuration Manager 클라이언트 컴퓨터에서 사용할 클라이언트 인증서를 생성합니다.
보안 탭을 선택하고 도메인 컴퓨터 그룹을 선택한 다음 읽기 및 자동 등록의 추가 권한을 선택합니다. 등록을 지우지 마세요.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr 클라이언트 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관을 닫습니다.
그룹 정책 사용하여 워크스테이션 인증 템플릿의 자동 등록 구성
이 절차에서는 컴퓨터에서 클라이언트 인증서를 자동 등록하는 그룹 정책 설정합니다.
그룹 정책 사용하여 워크스테이션 인증 템플릿의 자동 등록을 설정하려면
도메인 컨트롤러에서 시작을 선택하고 관리 도구를 선택한 다음 그룹 정책 관리를 선택합니다.
도메인으로 이동하여 도메인을 마우스 오른쪽 단추로 클릭한 다음 , 이 도메인에서 GPO 만들기를 선택하고 여기에 연결을 선택합니다.
참고
이 단계에서는 Active Directory Domain Services 함께 설치된 기본 도메인 정책을 편집하는 대신 사용자 지정 설정에 대한 새 그룹 정책 만드는 모범 사례를 사용합니다. 도메인 수준에서 이 그룹 정책 할당하면 도메인의 모든 컴퓨터에 적용됩니다. 프로덕션 환경에서는 자동 등록을 제한하여 선택한 컴퓨터에만 등록할 수 있습니다. 조직 단위 수준에서 그룹 정책 할당하거나, 그룹의 컴퓨터에만 적용되도록 보안 그룹을 사용하여 도메인 그룹 정책 필터링할 수 있습니다. 자동 등록을 제한하는 경우 관리 지점으로 설정된 서버를 포함해야 합니다.
새 GPO 대화 상자에서 새 그룹 정책 대한 이름(예: 인증서 자동 등록)을 입력한 다음 확인을 선택합니다.
결과 창의 연결된 그룹 정책 개체 탭에서 새 그룹 정책 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
그룹 정책 관리 편집기에서 컴퓨터 구성에서 정책을 확장한 다음 Windows 설정보안 설정 / / 공개 키 정책으로 이동합니다.
Certificate Services 클라이언트 - 자동 등록이라는 개체 형식을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
구성 모델 드롭다운 목록에서 사용을 선택하고 만료된 인증서 갱신, 보류 중인 인증서 업데이트, 해지된 인증서 제거, 인증서 템플릿을 사용하는 인증서 업데이트, 확인을 차례로 선택합니다.
그룹 정책 관리를 닫습니다.
워크스테이션 인증 인증서를 자동으로 등록하고 컴퓨터에 설치 확인
이 절차에서는 컴퓨터에 클라이언트 인증서를 설치하고 설치를 확인합니다.
워크스테이션 인증 인증서를 자동으로 등록하고 클라이언트 컴퓨터에 설치를 확인하려면
워크스테이션 컴퓨터를 다시 시작하고 로그인하기 전에 몇 분 정도 기다립니다.
참고
컴퓨터를 다시 시작하는 것은 인증서 자동 등록으로 성공을 보장하는 가장 신뢰할 수 있는 방법입니다.
관리 권한이 있는 계정으로 로그인합니다.
검색 상자에 mmc.exe 입력한 다음 Enter 키를 누릅니 다.
빈 관리 콘솔에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.
스냅인 추가 또는 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 선택합니다.
인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.
컴퓨터 선택 대화 상자에서 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)가 선택되어 있는지 확인하고 마침을 선택합니다.
스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.
콘솔에서 인증서(로컬 컴퓨터)를 확장하고 개인을 확장한 다음 인증서를 선택합니다.
결과 창에서 인증서에 의도된 목적 열에 클라이언트 인증이 있고 ConfigMgr 클라이언트 인증서가 인증서 템플릿 열에 있는지 확인합니다.
인증서(로컬 컴퓨터)를 닫습니다.
멤버 서버에 대해 1~11단계를 반복하여 관리 지점으로 설정될 서버에 클라이언트 인증서도 있는지 확인합니다.
이제 컴퓨터가 Configuration Manager 클라이언트 인증서로 설정됩니다.
배포 지점에 대한 클라이언트 인증서 배포
참고
인증서 요구 사항이 동일하기 때문에 PXE 부팅을 사용하지 않는 미디어 이미지에도 이 인증서를 사용할 수 있습니다.
이 인증서 배포에는 다음 절차가 있습니다.
인증 기관에서 사용자 지정 워크스테이션 인증 인증서 템플릿 만들기 및 발급
사용자 지정 워크스테이션 인증 인증서 요청
배포 지점에 대한 클라이언트 인증서 내보내기
인증 기관에서 사용자 지정 워크스테이션 인증 인증서 템플릿 만들기 및 발급
이 절차에서는 프라이빗 키를 내보낼 수 있도록 Configuration Manager 배포 지점에 대한 사용자 지정 인증서 템플릿을 만들고 인증 기관에 인증서 템플릿을 추가합니다.
참고
이 절차에서는 클라이언트 컴퓨터에 대해 만든 인증서 템플릿과 다른 인증서 템플릿을 사용합니다. 두 인증서 모두 클라이언트 인증 기능이 필요하지만 배포 지점에 대한 인증서를 사용하려면 프라이빗 키를 내보내야 합니다. 보안 모범 사례로, 이 구성이 필요하지 않은 한 프라이빗 키를 내보낼 수 있도록 인증서 템플릿을 설정하지 마세요. 인증서 저장소에서 인증서를 선택하지 않고 파일로 가져와야 하므로 배포 지점에 이 구성이 필요합니다.
이 인증서에 대한 새 인증서 템플릿을 만들 때 프라이빗 키를 내보낼 수 있는 인증서를 요청할 수 있는 컴퓨터를 제한할 수 있습니다. 이 예제 배포에서는 IIS를 실행하는 Configuration Manager 사이트 시스템 서버에 대해 이전에 만든 보안 그룹이 됩니다. IIS 사이트 시스템 역할을 배포하는 프로덕션 네트워크에서는 이러한 사이트 시스템 서버로만 인증서를 제한할 수 있도록 배포 지점을 실행하는 서버에 대한 새 보안 그룹을 만드는 것이 좋습니다. 이 인증서에 대해 다음과 같은 수정 사항을 추가하는 것도 고려할 수 있습니다.
- 추가 보안을 위해 인증서를 설치하려면 승인이 필요합니다.
- 인증서 유효 기간을 늘입니다. 인증서가 만료되기 전에 매번 인증서를 내보내고 가져와야 하므로 유효 기간이 늘어나면 이 절차를 반복해야 하는 빈도가 줄어듭니다. 그러나 유효 기간이 늘어나면 공격자가 프라이빗 키를 해독하고 인증서를 도용하는 데 더 많은 시간이 필요하기 때문에 인증서의 보안도 저하됩니다.
- 인증서 주체 필드 또는 SAN(주체 대체 이름)의 사용자 지정 값을 사용하여 표준 클라이언트 인증서에서 이 인증서를 식별할 수 있습니다. 이는 여러 배포 지점에 대해 동일한 인증서를 사용하는 경우에 특히 유용할 수 있습니다.
인증 기관에서 사용자 지정 워크스테이션 인증 인증서 템플릿을 만들고 발급하려면
인증 기관 콘솔을 실행하는 멤버 서버에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 관리 콘솔을 로드합니다.
결과 창의 템플릿 표시 이름 열에서 워크스테이션 인증이 있는 항목을 마우스 오른쪽 단추로 클릭한 다음 템플릿 중복을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr 클라이언트 배포 지점 인증서와 같은 템플릿 이름을 입력하여 배포 지점에 대한 클라이언트 인증 인증서를 생성합니다.
요청 처리 탭을 선택한 다음 프라이빗 키를 내보낼 수 있도록 허용을 선택합니다.
보안 탭을 선택한 다음 엔터프라이즈 관리자 보안 그룹에서 등록 권한을 제거합니다.
추가를 선택하고 텍스트 상자에 ConfigMgr IIS 서버를 입력한 다음 확인을 선택합니다.
이 그룹에 대한 등록 권한을 선택하고 읽기 권한을 지우지 않습니다.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr 클라이언트 배포 지점 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관을 닫습니다.
사용자 지정 워크스테이션 인증 인증서 요청
이 절차는 IIS를 실행하고 배포 지점으로 설정될 멤버 서버에 사용자 지정 클라이언트 인증서를 요청한 다음 설치합니다.
사용자 지정 워크스테이션 인증 인증서를 요청하려면
시작을 선택하고 실행을 선택한 다음 ,mmc.exe 입력합니다. 빈 콘솔에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.
스냅인 추가 또는 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 선택합니다.
인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.
컴퓨터 선택 대화 상자에서 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)가 선택되어 있는지 확인하고 마침을 선택합니다.
스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.
콘솔에서 인증서(로컬 컴퓨터)를 확장한 다음 개인을 선택합니다.
인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 새 인증서 요청을 선택합니다.
시작하기 전에 페이지에서 다음을 선택합니다.
인증서 등록 정책 선택 페이지가 표시되면 다음을 선택합니다.
인증서 요청 페이지의 사용 가능한 인증서 목록에서 ConfigMgr 클라이언트 배포 지점 인증서를 선택한 다음 등록을 선택합니다.
인증서 설치 결과 페이지에서 인증서가 설치될 때까지 기다린 다음 마침을 선택합니다.
결과 창에서 인증서에 의도된 목적 열에 클라이언트 인증이 있고 ConfigMgr 클라이언트 배포 지점 인증서가 인증서 템플릿 열에 있는지 확인합니다.
인증서(로컬 컴퓨터)를 닫지 마세요.
배포 지점에 대한 클라이언트 인증서 내보내기
이 절차에서는 배포 지점 속성에서 가져올 수 있도록 사용자 지정 워크스테이션 인증 인증서를 파일로 내보냅니다.
배포 지점에 대한 클라이언트 인증서를 내보내려면
인증서(로컬 컴퓨터) 콘솔에서 방금 설치한 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택합니다.
인증서 내보내기 마법사에서 다음을 선택합니다.
프라이빗 키 내보내기 페이지에서 예를 선택하고 프라이빗 키를 내보낸 다음, 다음을 선택합니다.
참고
이 옵션을 사용할 수 없는 경우 프라이빗 키를 내보내는 옵션 없이 인증서가 만들어졌습니다. 이 시나리오에서는 인증서를 필요한 형식으로 내보낼 수 없습니다. 프라이빗 키를 내보낸 다음 인증서를 다시 요청할 수 있도록 인증서 템플릿을 설정해야 합니다.
파일 형식 내보내기 페이지에서 개인 정보 교환 - PKCS #12(. PFX) 옵션이 선택되어 있습니다.
암호 페이지에서 강력한 암호를 지정하여 내보낸 인증서를 프라이빗 키로 보호한 다음, 다음을 선택합니다.
내보낼 파일 페이지에서 내보낼 파일의 이름을 지정한 다음, 다음을 선택합니다.
마법사를 닫려면 인증서 내보내기 마법사 페이지에서 마침을 선택하고 확인 대화 상자에서 확인을 선택합니다.
인증서(로컬 컴퓨터)를 닫습니다.
파일을 안전하게 저장하고 Configuration Manager 콘솔에서 액세스할 수 있는지 확인합니다.
이제 배포 지점을 설정할 때 인증서를 가져올 준비가 되었습니다.
팁
PXE 부팅을 사용하지 않는 운영 체제 배포에 대한 미디어 이미지를 설정할 때 동일한 인증서 파일을 사용할 수 있으며, 이미지를 설치하는 작업 순서는 HTTPS 클라이언트 연결이 필요한 관리 지점에 연결해야 합니다.
모바일 디바이스에 대한 등록 인증서 배포
이 인증서 배포에는 인증 기관에서 등록 인증서 템플릿을 만들고 발급하는 단일 절차가 있습니다.
인증 기관에서 등록 인증서 템플릿 만들기 및 발급
이 절차에서는 Configuration Manager 모바일 디바이스에 대한 등록 인증서 템플릿을 만들고 인증 기관에 추가합니다.
인증 기관에서 등록 인증서 템플릿을 만들고 발급하려면
Configuration Manager 모바일 디바이스를 등록할 사용자가 있는 보안 그룹을 만듭니다.
인증서 서비스가 설치된 멤버 서버의 인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 관리 콘솔을 로드합니다.
결과 창의 템플릿 표시 이름 열에서 인증된 세션이 있는 항목을 마우스 오른쪽 단추로 클릭한 다음, 중복 템플릿을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr 모바일 디바이스 등록 인증서와 같은 템플릿 이름을 입력하여 Configuration Manager 관리할 모바일 디바이스에 대한 등록 인증서를 생성합니다.
주체 이름 탭을 선택하고, 이 Active Directory 정보에서 빌드가 선택되어 있는지 확인하고, 주체 이름 형식에 대한 일반 이름을 선택한 다음, 대체 주체 이름에 이 정보 포함에서UPN(사용자 계정 이름)을 선택 취소합니다.
보안 탭을 선택하고 등록할 모바일 디바이스가 있는 사용자가 있는 보안 그룹을 선택한 다음 등록의 추가 권한을 선택합니다. 읽기를 지우지 마세요.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr 모바일 디바이스 등록 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관 콘솔을 닫습니다.
이제 클라이언트 설정에서 모바일 디바이스 등록 프로필을 설정할 때 모바일 디바이스 등록 인증서 템플릿을 선택할 준비가 되었습니다.
Mac 컴퓨터에 대한 클라이언트 인증서 배포
이 인증서 배포에는 인증 기관에서 등록 인증서 템플릿을 만들고 발급하는 단일 절차가 있습니다.
인증 기관에서 Mac 클라이언트 인증서 템플릿 만들기 및 발급
이 절차는 Configuration Manager Mac 컴퓨터에 대한 사용자 지정 인증서 템플릿을 만들고 인증 기관에 인증서 템플릿을 추가합니다.
참고
이 절차에서는 Windows 클라이언트 컴퓨터 또는 배포 지점에 대해 만든 인증서 템플릿의 다른 인증서 템플릿을 사용합니다.
이 인증서에 대한 새 인증서 템플릿을 만들 때 인증서 요청을 권한 있는 사용자로 제한할 수 있습니다.
인증 기관에서 Mac 클라이언트 인증서 템플릿을 만들고 발급하려면
Configuration Manager 사용하여 Mac 컴퓨터에 인증서를 등록할 관리자에 대한 사용자 계정이 있는 보안 그룹을 만듭니다.
인증 기관 콘솔을 실행하는 멤버 서버에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증서 템플릿 관리 콘솔을 로드합니다.
결과 창에서 템플릿 표시 이름 열에서 인증된 세션을 표시하는 항목을 마우스 오른쪽 단추로 클릭한 다음, 중복 템플릿을 선택합니다.
템플릿 중복 대화 상자에서 Windows 2003 Server, Enterprise Edition 선택되어 있는지 확인하고 확인을 선택합니다.
중요
Windows 2008 Server, Enterprise Edition 선택하지 마세요.
새 템플릿의 속성 대화 상자의 일반 탭에서 ConfigMgr Mac 클라이언트 인증서와 같은 템플릿 이름을 입력하여 Mac 클라이언트 인증서를 생성합니다.
주체 이름 탭을 선택하고, 이 Active Directory 정보에서 빌드가 선택되어 있는지 확인하고, 주체 이름 형식에 대한 일반 이름을 선택한 다음, 대체 주체 이름에 이 정보 포함에서 UPN(사용자 계정 이름)을 선택 취소합니다.
보안 탭을 선택한 다음 도메인 관리자 및 엔터프라이즈 관리자 보안 그룹에서 등록 권한을 제거합니다.
추가를 선택하고 1단계에서 만든 보안 그룹을 지정한 다음 확인을 선택합니다.
이 그룹에 대한 등록 권한을 선택하고 읽기 권한을 지우지 않습니다.
확인을 선택한 다음 인증서 템플릿 콘솔을 닫습니다.
인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.
인증서 템플릿 사용 대화 상자에서 방금 만든 새 템플릿 ConfigMgr Mac 클라이언트 인증서를 선택한 다음 확인을 선택합니다.
더 많은 인증서를 만들고 발급할 필요가 없는 경우 인증 기관을 닫습니다.
이제 등록에 대한 클라이언트 설정을 설정할 때 Mac 클라이언트 인증서 템플릿을 선택할 준비가 되었습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기