Configuration Manager의 인증서 프로필 소개
적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
참고
이 항목의 정보는 System Center 2012 R2 Configuration Manager 및 System Center 2012 R2 Configuration Manager SP1에 해당됩니다.
System Center 2012 Configuration Manager의 인증서 프로필은 Active Directory 인증서 서비스 및 네트워크 장치 등록 서비스 역할과 함께 작동하여 관리 장치에 대한 인증 인증서를 프로비전하므로 사용자가 회사 리소스에 원활하게 액세스할 수 있습니다. 예를 들어, 인증서 프로필을 만들고 배포하여 사용자가 VPN 및 무선 연결을 시작하는 데 필요한 인증서를 제공할 수 있습니다.
Configuration Manager의 인증서 프로필은 다음과 같은 관리 기능을 제공합니다.
iOS, Windows 8.1, Windows RT 8.1, Android를 실행하는 장치의 엔터프라이즈 CA(인증 기관)에서 인증서 등록 및 갱신. 이후에 Wi-Fi 및 VPN 연결에 이러한 인증서를 사용할 수 있습니다.
서버 인증이 필요한 경우 VPN 및 Wi-Fi 연결용 장치에서 신뢰 체인을 구성할 수 있도록 신뢰할 수 있는 루트 CA 인증서 및 중간 CA 인증서 배포
설치된 인증서를 모니터링하고 보고하는 기능
인증서 프로필은 수동으로 인증서를 설치하거나 대역 외 프로세스를 사용하지 않고도 Wi-Fi 네트워크 및 VPN 서버와 같은 회사 리소스에 액세스할 수 있도록 자동으로 사용자 장치를 구성할 수 있습니다. 인증서 프로필은 엔터프라이즈 PKI(공개 키 인프라)가 지원하는 안전한 설정을 더 많이 사용할 수 있으므로 회사 리소스를 안전하게 유지하는 데도 도움이 됩니다. 예를 들어, 관리되는 장치에 필요한 인증서를 프로비전했기 때문에 모든 Wi-Fi 및 VPN 연결에 대해 서버 인증을 요구할 수 있습니다.
예: 모든 직원이 회사의 여러 위치에서 Wi-Fi 핫스폿에 연결할 수 있어야 합니다. 이를 위해 Wi-Fi 연결을 만드는 데 필요한 인증서를 배포할 수 있으며, 사용할 올바른 인증서를 참조하는 Wi-Fi 프로필을 Configuration Manager에 배포하여 사용자가 원활하게 Wi-Fi 연결을 사용하도록 지원할 수도 있습니다.
예: PKI를 보유하고 있으며, 보안 수준을 그대로 유지하면서 사용자가 개인 장치에서 회사 리소스에 액세스할 수 있는 보다 유연하고 안전한 인증서 프로비전 방법으로 바꾸려는 경우. 이를 위해 특정 장치 플랫폼을 지원하는 설정 및 프로토콜을 사용하여 인증서 프로필을 구성할 수 있습니다. 그러고 나면 장치는 인터넷에 연결된 등록 서버에서 이 인증서를 자동으로 요청할 수 있습니다. 그런 다음 장치가 회사 리소스에 액세스할 수 있도록 VPN 프로필을 구성하여 이러한 인증서를 사용할 수 있습니다.
인증서 프로필의 유형
Configuration Manager에서는 다음 두 가지 유형의 인증서 프로필을 만들 수 있습니다.
신뢰할 수 있는 CA 인증서 - 장치에서 서버를 인증해야 할 경우 신뢰할 수 있는 루트 CA 또는 중간 CA 인증서를 배포하여 인증서 신뢰 체인을 형성할 수 있습니다.
단순 인증서 등록 프로토콜(SCEP) 설정 - Windows Server 2012 R2를 실행 중인 서버의 네트워크 장치 등록 서비스 및 SCEP 프로토콜을 사용하여 장치 또는 사용자에 대한 인증서를 요청할 수 있습니다.
참고
SCEP(단순 인증서 등록 프로토콜) 설정 유형의 인증서 프로필을 만들려면 먼저 신뢰할 수 있는 CA 인증서 유형의 인증서 프로필을 만들어야 합니다.
요구 사항 및 지원되는 플랫폼
단순 인증서 등록 프로토콜을 사용하는 인증서 프로필을 배포하려면 중앙 관리 사이트나 기본 사이트의 사이트 시스템 서버에 인증서 등록 지점을 설치해야 합니다. 작동 중인 네트워크 장치 등록 서비스(인증서를 요구하는 장치에 액세스 가능) 및 Active Directory 인증서 서비스 역할과 함께 Windows Server 2012 R2를 실행하는 서버에 네트워크 장치 등록 서비스용 정책 모듈인, Configuration Manager 정책 모듈도 설치해야 합니다.Microsoft Intune에서 등록한 장치의 경우 네트워크 장치 등록 서비스를 인터넷(예: DMZ라고도 하는 스크린된 서브넷)에서 액세스할 수 있어야 합니다.
Configuration Manager가 인증서를 배포할 수 있도록 네트워크 장치 등록 서비스에서 정책 모듈을 지원하는 방법에 대한 자세한 내용은 Using a Policy Module with the Network Device Enrollment Service(네트워크 장치 등록 서비스에 정책 모듈 사용)를 참조하세요.
Configuration Manager에서는 요구 사항에 따라, 그리고 장치 유형과 운영 체제에 따라 여러 인증서 저장소에 인증서를 배포할 수 있습니다. 다음 장치 및 운영 체제가 지원됩니다.
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
경고Windows Phone 8.1을 지원하려면 선택적 Windows Phone 8.1 확장을 설치해야 합니다. 확장을 설치하는 방법에 대한 자세한 내용은 Configuration Manager에서 확장 사용 계획 항목을 참조하세요.
iOS
Android
참고
Android를 실행하는 장치에 인증서를 설치할 때 최종 사용자가 수행해야 하는 작업에 대해서는 Configuration Manager에서 Android 장치에 인증서를 설치하는 방법 항목을 참조하세요.
.jpeg "System_CAPS_important") 중요 |
|---|
Android, iOS, Windows Phone 및 등록된 Windows 8.1 장치에 프로필을 배포하려면 이러한 장치를 Microsoft Intune에 등록해야 합니다. 장치를 등록하는 방법에 대한 자세한 내용은 Microsoft Intune을 사용하여 모바일 장치 관리를 참조하세요. |
System Center 2012 Configuration Manager의 일반적인 시나리오는 연결 시 EAP-TLS, EAP-TTLS, PEAP 인증 프로토콜 및 IKEv2, L2TP/IPsec, Cisco IPsec VPN 터널링 프로토콜을 사용할 경우 Wi-Fi 및 VPN 서버를 인증하기 위해 신뢰할 수 있는 루트 CA 인증서를 설치하는 것입니다.
장치에서 SCEP 인증서 프로필을 사용하여 인증서를 요청하려면 먼저 장치에 엔터프라이즈 루트 CA 인증서가 설치되어 있어야 합니다.
여러 환경 또는 연결 요구 사항에 맞게 사용자 지정된 인증서를 요청할 수 있도록 SCEP 인증서 프로필에서 여러 가지 설정을 지정할 수 있습니다.인증서 프로필 만들기 마법사에는 등록 매개 변수에 대한 두 페이지가 포함되어 있습니다. 먼저 SCEP 등록에는 등록 요청 및 인증서를 설치할 위치에 대한 설정이 포함되어 있습니다. 두 번째 페이지인 인증서 속성에서는 요청된 인증서 자체에 대해 설명합니다.
인증서 프로필 배포
인증서 프로필을 배포할 때 프로필 내의 인증서 파일이 클라이언트 장치에 설치됩니다. 모든 SCEP 매개 변수도 배포되고 SCEP 요청이 클라이언트 장치에서 처리됩니다. 사용자 컬렉션 또는 장치 컬렉션에 인증서 프로필을 배포하고 각 인증서의 대상 저장소를 지정할 수 있습니다. 적용 가능성 규칙은 인증서를 장치에 설치할 수 있는지 여부를 결정합니다. 인증서 프로필이 사용자 컬렉션에 배포된 경우에는 사용자 장치 선호도에 따라 인증서를 설치할 사용자의 장치가 결정됩니다. 사용자 인증서가 포함된 인증서 프로필을 장치 컬렉션에 배포하면 기본적으로 사용자의 각 기본 장치에 인증서가 설치됩니다.인증서 프로필 만들기 마법사의 SCEP 등록 페이지에서 사용자의 장치에 인증서를 설치하도록 이 동작을 수정할 수 있습니다. 또한, 장치가 작업 그룹 컴퓨터인 경우 사용자 인증서가 장치에 배포되지 않습니다.
인증서 프로필 모니터링
Configuration Manager 콘솔의 모니터링 작업 영역 배포 노드에서 인증서 프로필 배포를 모니터링할 수 있습니다.
다음 Configuration Manager 보고서 중 하나를 사용하여 인증서 프로필을 모니터링할 수도 있습니다.
인증서 등록 지점에서 발급한 인증서의 기록
인증서 등록 지점에서 등록한 인증서의 인증서 발급 상태별 자산 목록
만료 날짜에 가까운 인증서가 있는 자산 목록
인증서 자동 해지
Configuration Manager는 다음과 같은 상황에서 인증서 프로필을 사용하여 배포된 사용자 및 컴퓨터 인증서를 자동으로 해지합니다.
장치가 Configuration Manager 관리에서 사용 중지됩니다.
장치가 선택적으로 초기화됩니다.
장치가 Configuration Manager 계층에서 차단됩니다.
인증서를 해지하기 위해 사이트 서버가 발급 인증 기관으로 해지 명령을 보냅니다. 해지의 원인은 사용 중단입니다.
System Center 2012 R2 Configuration Manager의 새로운 기능
참고
이 섹션의 정보는System Center 2012 Configuration Manager 시작 가이드에도 나옵니다.
인증서 프로필은 System Center 2012 R2 Configuration Manager의 새로운 기능입니다. 이 프로필은 다음 기능을 제공하며 몇 가지 종속된 구성을 포함합니다.
SCEP(단순 인증서 등록 프로토콜)를 사용하여 관리되는 장치에 사용자 및 장치 인증서 배포. 이러한 인증서를 사용하여 Wi-Fi 및 VPN 연결을 지원할 수 있습니다.
지원되는 장치로는 iOS, Windows 8.1, Windows RT 8.1 및 Android를 실행하는 장치가 있습니다.
장치에서 네트워크 연결을 위해 서버 인증을 사용할 때 신뢰 체인을 만들 수 있도록 루트 CA(인증 기관) 인증서 및 중간 CA 인증서 배포
중앙 관리 사이트 또는 기본 사이트에서 인증서 등록 지점을 배포해야 하고 Active Directory 인증서 서비스 및 네트워크 장치 등록 서비스 역할과 함께 Windows Server 2012 R2를 실행하는 서버에 Configuration Manager 정책 모듈을 설치해야 합니다. 이 서버는 인터넷에서 액세스할 수 있어야 하고 엔터프라이즈 CA와 통신하여 인증서를 발급해야 합니다. 이 시나리오를 지원하기 위한 네트워크 장치 등록 서비스의 변경 사항에 대한 자세한 내용은 What's New in Certificate Services in Windows Server 2012 R2(Windows Server 2012 R2에서 인증서 서비스의 새로운 기능)를 참조하세요.
System Center 2012 Configuration Manager SP2의 새로운 기능
Configuration Manager 2012 SP2에서는 사용자 장치에 개인 정보 교환(.pfx) 파일을 프로비전할 수 있습니다. PFX 파일을 사용하면 암호화된 데이터 교환을 지원하기 위한 사용자별 인증서를 생성할 수 있습니다. PFX 인증서는 Configuration Manager 내에서 만들 수도 있고 가져올 수도 있습니다. Configuration Manager 2012 SP2에서는 가져오거나 새로 만든 PFX 인증서를 iOS 장치, Android 장치, Windows 8.1 이상 장치 및 Windows Phone 8.1 이상 장치로 배포할 수 있습니다. 그런 후에 사용자 기반 PKI 통신을 지원하기 위해 이러한 파일을 여러 장치로 배포할 수 있습니다. 자세한 내용은 Configuration Manager에서 PFX 인증서 프로필을 만드는 방법을 참조하세요.