Secure Mail에 대한 S/MIME 구성
Secure Mail은 S/MIME(Secure/Multipurpose Internet Mail Extensions)을 지원하여 보안 강화를 위해 사용자가 메시지에 서명하고 메시지를 암호화할 수 있게 합니다. 서명은 메시지를 보낸 식별된 사람이 사칭자가 아님을 받는 사람에게 확인시켜 줍니다. 암호화는 호환되는 인증서를 가진 받는 사람만 메시지를 열 수 있게 합니다.
S/MIME에 대한 자세한 내용은 Microsoft TechNet를 참조하십시오.
다음 표에서 X는 장치 OS에서 Secure Mail이 S/MIME 기능을 지원함을 나타냅니다.
S/MIME 기능 | iOS | Android |
---|---|---|
디지털 ID 공급자 통합: Secure Mail을 지원되는 타사 디지털 ID 공급자와 통합할 수 있습니다. ID 공급자 호스트는 사용자 장치의 ID 공급자 앱에 인증서를 공급합니다. 이 앱은 민감한 앱 데이터의 보안 스토리지 영역인 Endpoint Management 공유 저장소로 인증서를 보냅니다. Secure Mail은 공유 저장소에서 인증서를 얻습니다. 자세한 내용은 디지털 ID 공급자와의 통합 섹션을 참조하십시오. | X | |
파생된 자격 증명 지원 | Secure Mail이 파생된 자격 증명을 인증서 원본으로 지원합니다. 파생된 자격 증명에 대한 자세한 내용은 Citrix Endpoint Management 설명서의 iOS용 파생된 자격 증명 문서를 참조하십시오. | |
전자 메일에 의한 인증서 배포: 전자 메일로 인증서를 배포하려면 인증서 템플릿을 생성한 후에 템플릿을 사용하여 사용자 인증서를 요청해야 합니다. 인증서를 설치하고 유효성 검사를 수행한 후에 사용자 인증서를 내보내고 전자 메일로 사용자에게 보냅니다. 그러면 사용자가 Secure Mail에서 전자 메일을 열고 인증서를 가져옵니다. 자세한 내용은 전자 메일로 인증서 배포 섹션을 참조하십시오. | X | X |
단일 용도 인증서 자동으로 가져오기: Secure Mail은 서명 또는 암호화 전용 인증서인지 감지한 후에 자동으로 인증서를 가져오고 사용자에게 알려 줍니다. 인증서가 두 가지 용도로 사용되는 경우 해당 인증서를 가져오라는 메시지가 사용자에게 표시됩니다. | X |
디지털 ID 공급자와의 통합
다음 다이어그램은 디지털 ID 공급자 호스트에서 Secure Mail로 인증서가 이동하는 경로를 보여 줍니다. 이러한 작업은 Secure Mail을 지원되는 타사 디지털 ID 공급자 서비스와 통합할 때 이루어집니다.
MDX 공유 저장소는 인증서 같은 민감한 앱 데이터를 위한 보안 스토리지 영역입니다. Endpoint Management에서 사용하도록 설정된 앱만 공유 저장소에 액세스할 수 있습니다.
사전 요구 사항
Secure Mail은 Entrust IdentityGuard와의 통합을 지원합니다.
통합 구성
- ID 공급자 앱을 준비하여 사용자에게 제공합니다.
- Entrust에 연락하여 .ipa가 래핑되도록 합니다.
-
MDX Toolkit을 사용하여 앱을 래핑합니다.
Endpoint Management 환경 외부에서 이 앱의 다른 버전을 이미 보유하고 있는 사용자에게 앱을 배포할 경우 이 앱에 대해 고유한 앱 ID를 사용하십시오. 이 앱 및 Secure Mail에 대해 동일한 프로비전 프로필을 사용하십시오.
- 이 앱을 Endpoint Management에 추가하고 Endpoint Management 앱 스토어에 게시합니다.
-
ID 공급자 앱을 Secure Hub로부터 설치해야 한다는 점을 사용자에게 알려 줍니다. 필요에 따라 설치 이후 단계에 대한 지침을 제공합니다.
다음 단계에서 Secure Mail에 대해 S/MIME 정책을 구성하는 방식에 따라, 인증서를 설치하거나 Secure Mail 설정에서 S/MIME이 사용하도록 설정하라는 메시지가 표시될 수 있습니다. 두 절차의 단계는 iOS용 Secure Mail에서 S/MIME을 사용하도록 설정에 나와 있습니다.
-
Secure Mail을 Endpoint Management에 추가할 경우, 다음 정책을 구성해야 합니다.
-
S/MIME 인증서 출처 정책을 공유 저장소로 설정합니다. 그러면 Secure Mail이 디지털 ID 공급자에 의해 공유 저장소에 저장된 인증서를 사용합니다.
-
Secure Mail 초기 시작 중에 S/MIME을 사용하도록 설정하려면 처음 Secure Mail 시작 시 S/MIME 사용 정책을 구성합니다. 이 정책은 공유 저장소에 인증서가 있을 경우 Secure Mail이 S/MIME을 사용하도록 설정할지 여부를 결정합니다. 사용 가능한 인증서가 없으면 인증서를 가져오라는 메시지가 Secure Mail에서 사용자에게 표시됩니다. 이 정책이 사용되도록 설정하지 않은 경우, 사용자가 Secure Mail 설정에서 S/MIME을 사용하도록 설정할 수 있습니다. 기본적으로 Secure Mail은 S/MIME를 사용하지 않으므로 사용자가 Secure Mail 설정에서 S/MIME를 사용 설정해야 합니다.
-
파생된 자격 증명 사용
디지털 ID 공급자와 통합하는 대신 파생된 자격 증명을 사용할 수 있습니다.
Secure Mail을 Endpoint Management에 추가할 때 S/MIME 인증서 원본 정책을 파생된 자격 증명으로 구성합니다. 파생된 자격 증명에 대한 자세한 내용은 iOS용 파생된 자격 증명을 참조하십시오.
전자 메일로 인증서 배포
디지털 ID 공급자와 통합하거나 파생된 자격 증명을 사용하는 대신, 인증서를 전자 메일로 사용자에게 배포할 수 있습니다. 이 옵션에서는 이 섹션에 자세히 설명된 다음과 같은 일반 단계가 필요합니다.
-
Server Manager를 사용하여 Microsoft Certificate Services를 위한 웹 등록이 사용되도록 설정하고 IIS에서의 인증 설정을 확인합니다.
-
전자 메일 메시지 서명 및 암호화를 위한 인증서 템플릿을 생성합니다. 이러한 템플릿을 사용하여 사용자 인증서를 요청합니다.
-
인증서를 설치하고 유효성 검사를 수행한 후에 사용자 인증서를 내보내고 전자 메일로 사용자에게 보냅니다.
-
사용자는 Secure Mail에서 전자 메일을 열고 인증서를 가져옵니다. 이렇게 하면 Secure Mail에서만 인증서를 사용할 수 있습니다. S/MIME을 위한 iOS 프로필에는 인증서가 나타나지 않습니다.
사전 요구 사항
이 섹션에 있는 지침은 다음 구성 요소를 기반으로 합니다.
- XenMobile Server 10 이상
- 지원되는 버전의 Citrix Gateway(이전 명칭: NetScaler Gateway)
- iOS용 Secure Mail(버전 10.8.10 이상), Android 장치용 Secure Mail(버전 10.8.10 이상)
- 루트 CA(인증 기관) 역할을 하는 Microsoft Certificate Services를 포함하는 Microsoft Windows Server 2008 R2 이상
- Microsoft Exchange:
- Exchange Server 2016 누적 업데이트 4
- Exchange Server 2013 누적 업데이트 15
- Exchange Server 2010 SP3 업데이트 롤업 16
S/MIME을 구성하기 전에 다음과 같은 사전 요구 사항을 완료하십시오.
- 루트 및 중간 인증서를 수동으로 또는 Endpoint Management에서의 자격 증명 장치 정책을 통해 모바일 장치에 제공합니다. 자세한 내용은 자격 증명 장치 정책을 참조하십시오.
- Exchange Server로의 ActiveSync 트래픽을 보안하기 위해 사설 서버 인증서를 사용하는 경우, 다음을 수행하십시오. 모든 루트 및 중간 인증서를 모바일 장치에 설치합니다.
Microsoft Certificate Services를 위한 웹 등록이 사용되도록 설정
- 관리 도구로 이동하고 서버 관리자를 선택합니다.
- Active Directory 인증서 서비스 아래에서 인증 기관 웹 등록이 설치되어 있는지 확인합니다.
- 필요하면 역할 서비스 추가를 선택하여 인증 기관 웹 등록을 설치합니다.
- 인증 기관 웹 등록을 선택하고 다음을 클릭합니다.
- 설치가 완료되면 닫기 또는 마침을 클릭합니다.
IIS에서의 인증 설정 확인
- 사용자 인증서를 요청하는 데 사용되는 웹 등록 사이트(예:
https://ad.domain.com/certsrv/
)가 HTTPS 서버 인증서(개인 또는 공용)로 보안되는지 확인합니다. - 웹 등록 사이트는 HTTPS를 통해 액세스되어야 합니다.
- 관리 도구로 이동하고 서버 관리자를 선택합니다.
- 웹 서버(IIS)에서 역할 서비스 아래를 살펴봅니다. 클라이언트 인증서 매핑 인증 및 IIS 클라이언트 인증서 매핑 인증이 설치되어 있는지 확인합니다. 그렇지 않으면 해당 역할 서비스를 설치합니다.
- 관리 도구로 이동하여 IIS(인터넷 정보 서비스) 관리자를 선택합니다.
- IIS 관리자 창의 왼쪽에서 웹 등록을 위해 IIS 인스턴스를 실행하고 있는 서버를 선택합니다.
- 인증을 클릭합니다.
- Active Directory 클라이언트 인증서 인증이 사용으로 설정되어 있는지 확인합니다.
- 오른쪽 창에서 사이트 > Default site for Microsoft Internet Information Services(Microsoft Internet Information Services 기본 사이트) > 바인딩을 클릭합니다.
- HTTPS 바인딩이 없으면 이 바인딩을 추가합니다.
- 기본 웹 사이트 홈으로 이동합니다.
- SSL 설정을 클릭하고 클라이언트 인증서에 대해 수락을 클릭합니다.
새 인증서 템플릿 생성
Citrix에서는 전자 메일 메시지 서명 및 암호화를 수행하기 위해 Microsoft Active Directory 인증서 서비스에서 인증서를 생성하도록 권장합니다. 동일한 인증서를 두 가지 용도로 사용하고 암호화 인증서를 보관하는 경우, 서명 인증서를 복구하고 가장을 허용할 수 있습니다.
다음 절차는 CA(인증 기관) 서버에서 인증서 템플릿을 복제합니다.
- Exchange 서명만(서명용)
- Exchange 사용자(암호화용)
-
인증 기관 스냅인을 엽니다.
-
CA를 확장하고 인증서 템플릿으로 이동합니다.
-
마우스 오른쪽 버튼을 클릭하고 관리를 클릭합니다.
-
Exchange 서명만 템플릿을 검색하고 템플릿을 마우스 오른쪽 버튼으로 클릭한 후 템플릿 복제를 클릭합니다.
-
이름을 할당합니다.
-
Active Directory에 인증서 게시 확인란을 선택합니다.
참고:
Active Directory에 인증서 게시 확인란을 선택하지 않으면 사용자가 수동으로 사용자 인증서(서명 및 암호화 용도)를 게시해야 합니다. 이 작업은 Outlook 메일 클라이언트 > 보안 센터 > 전자 메일 보안 > GAL(전체 주소 목록)에 게시를 통해 수행할 수 있습니다.
-
요청 처리 탭을 클릭한 후 다음 매개 변수를 설정합니다.
- 용도: 서명
- 최소 키 크기: 2048
- 개인 키를 내보낼 수 있음 확인란: 선택됨
- 사용자 입력 요청 없이 주체 등록 확인란: 선택됨
-
보안 탭을 클릭하고 그룹 또는 사용자 이름 아래에서 인증된 사용자 또는 원하는 도메인 보안 그룹이 추가되어 있는지 확인합니다. 또한 인증된 사용자의 권한 아래에서 읽기 및 등록 확인란이 허용으로 선택되어 있는지 확인합니다.
-
다른 모든 탭과 설정은 기본 설정을 그대로 유지합니다.
-
인증서 템플릿에서 Exchange 사용자를 클릭한 후 4단계부터 9단계까지 반복합니다.
새 Exchange 사용자 템플릿에 대해 원본 템플릿과 동일한 기본 설정을 사용합니다.
-
요청 처리 탭을 클릭한 후 다음 매개 변수를 설정합니다.
- 용도: 암호화
- 최소 키 크기: 2048
- 개인 키를 내보낼 수 있음 확인란: 선택됨
-
사용자 입력 요청 없이 주체 등록 확인란: 선택됨
-
두 템플릿이 생성되면 두 인증서 템플릿을 발급해야 합니다. 새로 만들기를 클릭한 후 발급할 인증서 템플릿을 클릭합니다.
사용자 인증서 요청
이 절차에서는 “user1”을 사용하여 웹 등록 페이지(예: https://ad.domain.com/certsrv/
)를 탐색합니다. 절차를 수행하려면 보안 전자 메일을 위한 새 사용자 인증서 2개, 즉 서명용 인증서 1개 및 암호화용 인증서 1개가 필요합니다. Secure Mail을 통해 S/MIME을 사용할 필요가 있는 다른 도메인 사용자에 대해서도 동일한 절차를 반복할 수 있습니다.
서명 및 암호화용으로 사용자 인증서를 생성하기 위해 Microsoft Certificate Services에서 웹 등록 사이트(예: https://ad.domain.com/certsrv/
)를 통해 수동 등록이 사용됩니다. 다른 방법은 이 기능을 사용할 사용자 그룹에 대해 그룹 정책을 통해 자동 등록을 구성하는 것입니다.
-
Windows 기반 컴퓨터에서 Internet Explorer를 열고 웹 등록 사이트로 이동하여 새 사용자 인증서를 요청합니다.
참고:
인증서를 요청하려면 올바른 도메인 사용자로 로그온해야 합니다.
-
로그인한 상태에서 인증서 요청을 클릭합니다.
-
고급 인증서 요청을 클릭합니다.
-
이 CA에 요청을 만들어 제출합니다를 클릭합니다.
-
서명용 사용자 인증서를 생성합니다. 적절한 템플릿 이름을 선택하고 사용자 설정을 입력한 후 요청 형식으로 이동하여 PKCS10을 선택합니다.
요청이 제출되었습니다.
-
이 인증서 설치를 클릭합니다.
-
인증서가 성공적으로 설치되었는지 확인합니다.
-
이제는 전자 메일 메시지 암호화를 위해 동일한 절차를 반복합니다. 동일한 사용자로 웹 등록 사이트에 로그온한 상태에서 홈 링크로 이동하여 새 인증서를 요청합니다.
-
새 암호화 템플릿을 선택한 후 5단계에서 입력한 동일한 사용자 설정을 입력합니다.
-
인증서를 올바로 설치했는지 확인하고 동일한 절차를 반복하여 다른 도메인 사용자를 위해 한 쌍의 사용자 인증서를 생성합니다. 이 예제에서는 동일한 절차를 따르고 “User2”를 위해 한 쌍의 인증서를 생성합니다.
참고:
이 절차에서는 동일한 Windows 기반 컴퓨터를 사용하여 “User2”를 위한 두 번째 인증서 쌍을 요청합니다.
게시된 인증서 유효성 검사
-
인증서가 도메인 사용자 프로필에 올바로 설치되었는지 확인하려면 Active Directory 사용자 및 컴퓨터 > 보기 > 고급 기능으로 이동합니다.
-
사용자(이 예제에서는 User1)의 속성으로 이동한 후 게시된 인증서 탭을 클릭합니다. 두 인증서를 사용할 수 있는지 확인합니다. 인증서별로 특정 용도가 있는지도 확인할 수 있습니다.
이 그림은 전자 메일 메시지 암호화를 위한 인증서를 보여 줍니다.
이 그림은 전자 메일 메시지 서명을 위한 인증서를 보여 줍니다.
암호화된 올바른 인증서가 사용자에게 할당되어 있는지 확인합니다. 이 정보는 Active Directory 사용자 및 컴퓨터 > 사용자 속성에서 확인할 수 있습니다.
Secure Mail은 LDAP 쿼리를 통해 사용자 개체 특성 userCertificate를 확인하는 방식으로 작동합니다. 이 값은 특성 편집기 탭에서 읽을 수 있습니다. 이 필드가 비어 있거나 암호화용 사용자 인증서가 올바르지 않으면 Secure Mail이 메시지를 암호화하거나 해독할 수 없습니다.
사용자 인증서 내보내기
이 절차에서는 “User1” 및 “User2” 인증서 쌍을 .PFX(PKCS#12) 형식으로 개인 키와 함께 내보냅니다. 내보낼 때 인증서는 OWA(Outlook Web Access)를 사용하여 전자 메일을 통해 사용자에게 보내집니다.
-
MMC 콘솔을 열고 인증서 - 현재 사용자 스냅인으로 이동합니다. “User1” 및 User2” 인증서 쌍이 모두 표시됩니다.
-
인증서를 마우스 오른쪽 버튼으로 클릭하고 모든 작업 > 내보내기를 클릭합니다.
-
예, 개인 키를 내보냅니다를 선택하여 개인 키를 내보냅니다.
-
가능하면 인증 경로에 있는 인증서 모두 포함 및 확장 속성 모두 내보내기 확인란을 선택합니다.
-
첫 번째 인증서를 내보냈으면 사용자의 나머지 인증서에 대해 동일한 절차를 반복합니다.
참고:
참고: 어떤 인증서가 서명 인증서이고 어떤 인증서가 암호화 인증서인지 명확히 구분되도록 레이블을 지정합니다. 이 예에서 인증서는 userX-sign.pfx 및 “userX-enc.pfx로 레이블이 지정됩니다.
전자 메일을 통해 인증서 보내기
모든 인증서가 PFX 형식으로 내보내진 경우, OWA(Outlook Web Access)를 사용하여 전자 메일을 통해 인증서를 보낼 수 있습니다. 이 예에서 로그온 이름은 User1이고 보낸 전자 메일에는 두 인증서가 포함됩니다.
User2 또는 도메인의 다른 사용자에 대해 동일한 절차를 반복합니다.
iOS 및 Android용 Secure Mail에서 S/MIME이 사용되도록 설정
전자 메일이 전달된 후 다음 단계로 Secure Mail을 사용하여 메시지를 열고 적절한 서명 및 암호화용 인증서로 S/MIME이 사용되도록 설정합니다.
개별 서명 및 암호화 인증서와 함께 S/MIME를 사용하도록 설정하려면
-
Secure Mail을 열고 S/MIME 인증서가 포함된 전자 메일로 이동합니다.
-
다운로드하여 가져올 서명 인증서를 누릅니다.
-
서명 인증서를 서버에서 내보낼 때 개인 키에 할당된 암호를 입력합니다.
이제 인증서를 가져왔습니다.
-
서명 켜기를 누릅니다.
-
또는 설정 > S/MIME로 이동하여 서명 인증서를 설정할 S/MIME를 누릅니다.
-
서명 화면에서 올바른 서명 인증서를 가져왔는지 확인합니다.
-
전자 메일 메시지로 돌아가서 다운로드하고 가져올 암호화 인증서를 누릅니다.
-
암호화 인증서를 서버에서 내보낼 때 개인 키에 할당된 암호를 입력합니다.
이제 인증서를 가져왔습니다.
-
암호화 켜기를 누릅니다.
-
또는 설정 > S/MIME로 이동하여 기본적으로 암호화를 사용할 S/MIME를 누릅니다.
-
암호화 화면에서 올바른 암호화 인증서를 가져왔는지 확인합니다.
참고:
1. S/MIME으로 디지털 서명된 전자 메일에 첨부 파일이 있고 받는 사람 측에서 S/MIME을 사용하도록 설정하지 않은 경우, 첨부 파일을 받지 못합니다. 이 동작은 Active Sync의 제한 사항입니다. S/MIME 메시지를 효과적으로 받으려면 Secure Mail 설정에서 S/MIME을 활성화합니다. 1. **기본적으로 암호화** 옵션을 사용하면 전자 메일을 암호화하는 데 필요한 단계를 최소화할 수 있습니다. 이 기능이 켜져 있으면 전자 메일을 작성하는 동안 메일이 암호화 상태에 있게 됩니다. 이 기능이 꺼져 있으면 전자 메일을 작성하는 동안 메일이 암호화되지 않은 상태에 있으므로 암호화하려면 **잠금** 아이콘을 눌러야 합니다.
단일 서명 및 암호화 인증서와 함께 S/MIME를 사용하도록 설정하려면
-
Secure Mail을 열고 S/MIME 인증서가 포함된 전자 메일로 이동합니다.
-
다운로드하여 가져올 S/SMIME 인증서를 누릅니다.
-
인증서를 서버에서 내보낼 때 개인 키에 할당된 암호를 입력합니다.
-
표시되는 인증서 옵션에서 서명 인증서 또는 암호화 인증서를 가져오도록 해당 옵션을 누릅니다. 인증서 열기를 눌러 인증서에 대한 세부 정보를 봅니다.
이제 인증서를 가져왔습니다.
설정 > S/MIME로 이동하여 가져온 인증서를 볼 수 있습니다.
iOS 및 Android에서 S/MIME 테스트
앞의 섹션에 나열된 단계를 수행한 후에는 받는 사람이 서명 및 암호화된 메일을 읽을 수 있습니다.
다음 이미지는 받는 사람이 읽는 암호화된 메시지의 예를 보여 줍니다.
다음 이미지는 서명된 신뢰할 수 있는 인증서를 확인하는 예를 보여 줍니다.
Secure Mail은 Active Directory 도메인에서 받는 사람의 공용 암호화 인증서를 검색합니다. 유효한 공개 암호화 키가 없는 받는 사람에게 사용자가 암호화된 메시지를 보내는 경우, 메시지는 암호화되지 않은 상태로 보내집니다. 그룹 메시지의 경우, 단 한 명의 받는 사람이 유효한 키를 갖고 있지 않으면 메시지는 암호화되지 않은 상태로 모든 받는 사람에게 보내집니다.
공용 인증서 출처 구성
S/MIME 공용 인증서를 사용하려면, S/MIME 공용 인증서 원본, LDAP 서버 주소, LDAP 기본 DN 및 익명으로 LDAP 액세스 정책을 구성합니다.
앱 정책과 더불어, 다음을 수행하십시오.
- LDAP 서버가 공용인 경우 트래픽이 LDAP 서버로 직접 이동하는지 확인하십시오. 이렇게 하려면 Secure Mail의 네트워크 정책을 내부 네트워크로 터널링됨으로 구성하고 Citrix ADC에 대해 분할 DNS를 구성해야 합니다.
- LDAP 서버가 내부 네트워크에 있는 경우 다음을 수행하십시오.
- iOS의 경우 백그라운드 네트워크 서비스 게이트웨이 정책을 구성하지 않았는지 확인하십시오. 이 정책을 구성하는 경우 사용자가 인증 프롬프트가 빈번하게 나타납니다.
- Android의 경우 백그라운드 네트워크 서비스 게이트웨이 정책의 목록에 LDAP 서버 URL을 추가했는지 확인하십시오.