인증 기관을 사용하여 PFX 인증서 프로필 만들기

아티클
04/04/2023

적용 대상: Configuration Manager(현재 분기)

자격 증명에 인증 기관을 사용하는 인증서 프로필을 만드는 방법을 알아봅니다. 이 문서에서는 PFX(개인 정보 교환) 인증서 프로필에 대한 특정 정보를 강조 표시합니다. 이러한 프로필을 만들고 구성하는 방법에 대한 자세한 내용은 인증서 프로필을 참조하세요.

Configuration Manager 인증 기관에서 발급한 자격 증명을 사용하여 PFX 인증서 프로필을 만들 수 있습니다. 인증 기관으로 Microsoft 또는 Entrust를 선택할 수 있습니다. 사용자 디바이스에 배포되면 PFX 파일은 암호화된 데이터 교환을 지원하기 위해 사용자별 인증서를 생성합니다.

기존 인증서 파일에서 인증서 자격 증명을 가져오려면 PFX 인증서 프로필 가져오기를 참조하세요.

필수 조건

인증서 프로필 만들기를 시작하기 전에 필요한 필수 구성 요소가 준비되었는지 확인합니다. 자세한 내용은 인증서 프로필에 대한 필수 구성 요소를 참조하세요. 예를 들어 PFX 인증서 프로필의 경우 인증서 등록 지점 사이트 시스템 역할이 필요합니다.

프로필 만들기

Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하여 규정 준수 설정을 확장하고 회사 리소스 액세스를 확장한 다음 인증서 프로필을 선택합니다.
리본의 홈 탭에 있는 만들기 그룹에서 인증서 프로필 만들기를 선택합니다.
인증서 프로필 만들기 마법사의 일반 페이지에서 다음 정보를 지정합니다.
- 이름: 인증서 프로필의 고유한 이름을 입력합니다. 최대 256자를 사용할 수 있습니다.
- 설명: Configuration Manager 콘솔에서 인증서 프로필을 식별하는 데 도움이 되는 인증서 프로필의 개요를 제공하는 설명을 제공합니다. 최대 256자를 사용할 수 있습니다.
개인 정보 교환 - PKCS #12(PFX) 설정 - 만들기를 선택합니다. 이 옵션은 연결된 온-프레미스 CA(인증 기관)에서 사용자를 대신하여 인증서를 요청합니다. 인증 기관(Microsoft 또는 Entrust)을 선택합니다.

참고

가져오기 옵션은 기존 인증서에서 정보를 가져와서 인증서 프로필을 만듭니다. 자세한 내용은 PFX 인증서 프로필 가져오기를 참조하세요.
지원되는 플랫폼 페이지에서 이 인증서 프로필이 지원하는 OS 버전을 선택합니다. Configuration Manager 버전에 지원되는 OS 버전에 대한 자세한 내용은 클라이언트 및 디바이스에 대해 지원되는 OS 버전을 참조하세요.
인증 기관 페이지에서 CRP(인증서 등록 지점)를 선택하여 PFX 인증서를 처리합니다.
1. 기본 사이트: CA에 대한 CRP 역할이 포함된 서버를 선택합니다.
2. 인증 기관: 관련 CA를 선택합니다.
자세한 내용은 인증서 인프라를 참조하세요.

PFX 인증서 페이지의 설정은 일반 페이지에서 선택한 CA에 따라 달라집니다.

Microsoft CA
Entrust CA

Microsoft CA에 대한 PFX 인증서 설정 구성

인증서 템플릿 이름으로 인증서 템플릿을 선택합니다.
S/MIME 서명 또는 암호화에 인증서 프로필을 사용하려면 인증서 사용을 사용하도록 설정합니다.

이 옵션을 사용하도록 설정하면 대상 사용자와 연결된 모든 PFX 인증서를 모든 디바이스에 전달합니다. 이 옵션을 사용하도록 설정하지 않으면 각 디바이스에서 고유한 인증서를 받습니다.
주체 이름 형식을 일반 이름 또는 완전 구분 이름으로 설정합니다. 사용할 항목이 확실하지 않은 경우 CA 관리자에게 문의하세요.
주체 대체 이름에 대해 CA에 적합한 Email 주소 및 UPN(사용자 원칙 이름)을 사용하도록 설정합니다.
갱신 임계값: 만료 전에 남은 시간 비율에 따라 인증서가 자동으로 갱신되는 시기를 결정합니다.
인증서 유효 기간을 인증서의 수명으로 설정합니다.
인증서 등록 지점에서 Active Directory 자격 증명을 지정하는 경우 Active Directory 게시를 사용하도록 설정합니다.
하나 이상의 Windows 10 지원되는 플랫폼을 선택한 경우:
1. Windows 인증서 저장소를 사용자로 설정합니다. ( 로컬 컴퓨터 옵션은 인증서를 배포하지 않고 선택하지 않습니다.)
2. 다음 KSP(키 스토리지 공급자) 중 하나를 선택합니다.
  - TPM(신뢰할 수 있는 플랫폼 모듈)에 설치(있는 경우)
  - TPM(신뢰할 수 있는 플랫폼 모듈)에 설치하지 않으면 실패합니다.
  - 설치하여 비즈니스용 Windows Hello 그렇지 않으면 실패합니다.
  - 소프트웨어 키 스토리지 공급자에 설치
마법사를 완료합니다.

Entrust CA에 대한 PFX 인증서 설정 구성

디지털 ID 구성의 경우 구성 프로필을 선택합니다. Entrust 관리자는 디지털 ID 구성 옵션을 만듭니다.
S/MIME 서명 또는 암호화에 인증서 프로필을 사용하려면 인증서 사용을 사용하도록 설정합니다.

이 옵션을 사용하도록 설정하면 대상 사용자와 연결된 모든 PFX 인증서를 모든 디바이스에 전달합니다. 이 옵션을 사용하도록 설정하지 않으면 각 디바이스에서 고유한 인증서를 받습니다.
Entrust Subject name format 토큰을 Configuration Manager 필드에 매핑하려면 서식을 선택합니다.

인증서 이름 서식 대화 상자에 Entrust Digital ID 구성 변수가 나열됩니다. 각 Entrust 변수에 대해 적절한 Configuration Manager 필드를 선택합니다.
Entrust Subject Alternative Name 토큰을 지원되는 LDAP 변수에 매핑하려면 형식을 선택합니다.

인증서 이름 서식 대화 상자에 Entrust Digital ID 구성 변수가 나열됩니다. 각 Entrust 변수에 대해 적절한 LDAP 변수를 선택합니다.
갱신 임계값: 만료 전에 남은 시간 비율에 따라 인증서가 자동으로 갱신되는 시기를 결정합니다.
인증서 유효 기간을 인증서의 수명으로 설정합니다.
인증서 등록 지점에서 Active Directory 자격 증명을 지정하는 경우 Active Directory 게시를 사용하도록 설정합니다.
하나 이상의 Windows 10 지원되는 플랫폼을 선택한 경우:
1. Windows 인증서 저장소를 사용자로 설정합니다. ( 로컬 컴퓨터 옵션은 인증서를 배포하지 않고 선택하지 않습니다.)
2. 다음 KSP(키 스토리지 공급자) 중 하나를 선택합니다.
  - TPM(신뢰할 수 있는 플랫폼 모듈)에 설치(있는 경우)
  - TPM(신뢰할 수 있는 플랫폼 모듈)에 설치하지 않으면 실패합니다.
  - 설치하여 비즈니스용 Windows Hello 그렇지 않으면 실패합니다.
  - 소프트웨어 키 스토리지 공급자에 설치
마법사를 완료합니다.