자격 증명 공급자
자격 증명 공급자는 XenMobile 시스템의 다양한 부분에서 사용하는 실제 인증서 구성입니다. 자격 증명 공급자는 인증서의 원본, 매개 변수 및 수명 주기를 정의합니다. 이러한 작업은 인증서가 장치 구성의 일부인지 독립 실행형(즉, 있는 그대로 장치에 푸시됨)인지에 따라 발생합니다.
장치 등록은 인증서 수명주기를 제한합니다. 즉, XenMobile은 등록 과정에서 일부 인증서를 발급할 수 있지만 등록 전에는 인증서를 발급하지 않습니다. 또한 등록이 해지되면 하나의 등록 컨텍스트 내에서 내부 PKI에 의해 발급된 인증서가 해지됩니다. 관리 관계가 종료된 후에는 유효한 인증서가 남아 있지 않습니다.
단일 구성이 동시에 여러 개의 인증서를 관리할 수 있도록 여러 곳에서 단일 자격 증명 공급자 구성을 사용할 수 있습니다. 통일성은 배포 리소스 및 배포에 기반합니다. 예를 들어 자격 증명 공급자 P가 구성 C의 일부로 장치 D에 배포된 경우 P에 대한 발급 설정은 D에 배포된 인증서를 결정합니다. 마찬가지로 D에 대한 갱신 설정은 C가 업데이트될 때 적용됩니다. D에 대한 해지 설정도 C가 삭제되거나 D가 해지될 때 적용됩니다.
이 규칙에 따라 XenMobile의 자격 증명 공급자 구성은 다음을 결정합니다.
- 인증서의 원본.
- 인증서를 얻는 방법: 새 인증서에 서명하거나 기존 인증서 및 키 쌍을 가져옵니다(복구).
- 발급 또는 복구를 위한 매개 변수. 예: 키 크기, 키 알고리즘 및 인증서 확장 같은 CSR(인증서 서명 요청) 매개 변수.
- 인증서가 장치로 전달되는 방식.
- 해지 조건. XenMobile에서 관리 관계가 끊어지면 모든 인증서가 해지되지만 구성에서 만료 이전에 해지되도록 지정할 수 있습니다. 예를 들어 연결된 장치 구성이 삭제된 경우 인증서가 해지되도록 구성할 수 있습니다. 또한 특정 조건에서는 XenMobile에서 관련 인증서의 해지가 백엔드 PKI(공개 키 인프라)로 전송될 수 있습니다. 즉, XenMobile에서 인증서가 해지되면 PKI에서 인증서가 해지될 수 있습니다.
- 갱신 설정. 지정된 자격 증명 공급자를 통해 받은 인증서는 만료 날짜가 가까워질 때 자동으로 갱신될 수 있습니다. 또는 이러한 상황과 별개로 만료 날짜가 다가올 때 알림을 실행할 수 있습니다.
사용 가능한 구성 옵션은 주로 자격 증명 공급자에 대해 선택한 PKI 엔터티 및 발급 방법의 유형에 따라 다릅니다.
인증서 발급 방법
서명을 통해 발급 방법이라고 하는 인증서를 얻을 수 있습니다.
이 방법을 사용할 경우 발급에 새 개인 키를 만들고, CSR을 만들고, 서명을 위해 CSR을 CA(인증 기관)에 제출하는 과정이 포함됩니다. XenMobile은 MS 인증서 서비스 엔터티와 임의의 CA 엔터티 모두에 대한 서명 방법을 지원합니다.
자격 증명 공급자는 서명 발급 방법을 사용합니다.
인증서 제공
XenMobile에서는 중앙 집중식 모드와 분산 모드의 두 가지 인증서 전달 모드를 사용할 수 있습니다. 분산 모드는 SCEP(단순 인증서 등록 프로토콜)를 사용하며 클라이언트가 프로토콜을 지원하는 경우에만 사용할 수 있습니다(iOS만 해당). 일부 상황에서는 분산 모드가 필수입니다.
자격 증명 공급자가 분산(SCEP 지원) 전달을 지원하려면 RA(등록 기관) 인증서 설정이라는 특수한 구성 단계가 필요합니다. SCEP 프로토콜을 사용하는 경우 XenMobile이 실제 인증 기관의 대리인(등록 기관) 역할을 하기 때문에 RA 인증서가 필요합니다. XenMobile은 클라이언트에게 인증 기관의 역할을 수행할 권한이 있음을 입증해야 합니다. 이 권한은 앞서 언급한 인증서를 XenMobile에 업로드하여 설정됩니다.
단일 인증서로 두 가지 요구 사항을 모두 충족시킬 수 있지만, 두 가지 고유한 인증서 역할(RA 서명 및 RA 암호화)이 필요합니다. 이러한 역할에 대한 제약 조건은 다음과 같습니다.
- RA 서명 인증서에는 X.509 키 사용 디지털 서명이 있어야 합니다.
- RA 암호화 인증서에는 X.509 키 사용 키 암호화가 있어야 합니다.
자격 증명 공급자 RA 인증서를 구성하려면 XenMobile에 인증서를 업로드한 다음 자격 증명 공급자에서 인증서에 연결합니다.
자격 증명 공급자는 인증서 역할에 대해 구성된 인증서가 있는 경우에만 분산 전달을 지원하는 것으로 간주됩니다. 중앙 집중식 모드를 선호하거나, 분산 모드를 선호하거나 또는 분산 모드를 요구하도록 각 자격 증명 공급자를 구성할 수 있습니다. 실제 결과는 컨텍스트에 따라 달라집니다. 컨텍스트가 분산 모드를 지원하지 않지만 자격 증명 공급자가 이 모드를 요구하면 배포가 실패합니다. 마찬가지로 컨텍스트에서 분산 모드를 요구하지만 자격 증명 공급자가 분산 모드를 지원하지 않으면 배포가 실패합니다. 다른 모든 경우에는 기본 설정이 적용됩니다.
다음 표에서는 XenMobile의 SCEP 배포를 보여 줍니다.
컨텍스트 | SCEP 지원 | SCEP 필요 |
---|---|---|
iOS 프로필 서비스 | 예 | 예 |
iOS 모바일 기기 관리 등록 | 예 | 아니요 |
iOS 구성 프로필 | 예 | 아니요 |
SHTP 등록 | 아니요 | 아니요 |
SHTP 구성 | 아니요 | 아니요 |
Windows 태블릿 등록 | 아니요 | 아니요 |
Windows 태블릿 구성 | 아니요(Windows 10 및 Windows 11 릴리스에서 지원되는 Wi-Fi 장치 정책 제외) | 아니요 |
인증서 해지
해지에는 세 가지 유형이 있습니다.
- 내부적 해지: 내부적 해지는 XenMobile에서 유지 관리하는 인증서 상태에 영향을 줍니다. XenMobile은 제시된 인증서를 평가하거나 인증서에 대한 OCSP 상태 정보를 제공할 때 이 상태를 고려합니다. 자격 증명 공급자 구성에 따라 다양한 조건에서 이러한 상태가 영향을 받는 방식이 결정됩니다. 예를 들어 자격 증명 공급자는 인증서가 장치에서 삭제된 경우 인증서에 해지 플래그를 지정하도록 지정할 수 있습니다.
- 외부에서 전파된 해지: 해지 XenMobile이라고 알려진 이 해지 유형은 외부 PKI에서 취득한 인증서에 적용됩니다. 자격 증명 공급자 구성에 정의된 조건에 따라 XenMobile에서 내부적으로 인증서가 해지되는 경우 PKI에서 인증서가 해지됩니다.
- 외부에서 유도된 해지: 해지 PKI라고 알려진 이 해지 유형도 외부 PKI에서 취득한 인증서에만 적용됩니다. XenMobile이 지정된 인증서 상태를 평가할 때마다 XenMobile은 해당 상태에 대해 PKI를 쿼리합니다. 인증서가 해지된 경우에는 XenMobile이 내부적으로 인증서를 해지합니다. 이 메커니즘에서 OCSP 프로토콜을 사용합니다.
이 세 가지 유형은 배타적이지 않으며 함께 적용됩니다. 외부 해지 또는 독립적 결과로 인해 내부 해지가 발생할 수 있습니다. 내부 해지는 외부 해지에 영향을 미칠 수 있습니다.
인증서 갱신
인증서 갱신은 기존 인증서의 해지와 다른 인증서 발급의 조합입니다.
XenMobile은 발급 실패로 인한 서비스 중단을 방지하기 위해 이전 인증서를 해지하기 전에 먼저 새 인증서를 얻으려고 시도합니다. 분산(SCEP 지원) 제공의 경우 해지는 인증서가 장치에 설치된 후에만 발생합니다. 그렇지 않은 경우 해지는 새 인증서가 장치에 전송되기 전에 발생합니다. 이 해지는 인증서 설치의 성공 또는 실패와 관계가 없습니다.
해지 구성에서 특정 기간(일)을 지정해야 합니다. 장치가 연결되면 서버는 인증서 NotAfter
날짜가 현재 날짜에서 지정된 기간을 뺀 날짜보다 이후인지 여부를 확인합니다. 인증서가 조건을 충족하면 XenMobile이 인증서 갱신을 시도합니다.
자격 증명 공급자 생성
자격 증명 공급자 구성은 주로 자격 증명 공급자에 대해 선택한 발급 엔터티 및 발급 방법의 요인에 따라 달라집니다. 내부 엔터티 또는 외부 엔터티를 사용하는 자격 증명 공급자를 구분할 수 있습니다.
-
XenMobile에 대해 내부인 임의의 엔터티는 내부 엔터티입니다. 임의의 엔터티에 대한 발급 방법은 항상 서명입니다. 서명은 발급 작업을 수행할 때마다 XenMobile이 엔터티에 대해 선택된 CA 인증서로 새 키 쌍을 서명한다는 것을 의미합니다. 키 쌍이 장치에서 생성되는지, 아니면 서버에서 생성되는지는 선택한 배포 방법에 따라 다릅니다.
-
회사 인프라의 일부인 외부 엔터티에는 Microsoft CA가 포함됩니다.
-
XenMobile 콘솔에서 오른쪽 맨 위의 기어 아이콘을 클릭하고 설정 > 자격 증명 공급자를 클릭합니다.
-
자격 증명 공급자 페이지에서 추가를 클릭합니다.
자격 증명 공급자: 일반 정보 페이지가 나타납니다.
-
자격 증명 공급자: 일반 정보 페이지에서 다음을 수행합니다.
- 이름: 새 공급자 구성의 고유한 이름을 입력합니다. 이 이름은 나중에 XenMobile 콘솔의 다른 부분에서 구성을 식별할 때 사용됩니다.
- 설명: 자격 증명 공급자를 설명합니다. 이 필드는 선택 사항이지만 설명을 사용하면 이 자격 증명 공급자에 대한 유용한 세부 정보를 제공할 수 있습니다.
- 발급 엔터티: 인증서 발급 엔터티를 클릭합니다.
- 발급 방법: 시스템이 구성된 엔터티에서 인증서를 가져올 때 사용할 방법으로 서명 또는 가져오기를 클릭합니다. 클라이언트 인증서 인증의 경우 서명을 사용합니다.
-
템플릿 목록을 사용할 수 있는 경우 자격 증명 공급자에 대한 PKI 엔터티 아래에 추가한 템플릿을 선택합니다.
설정 > PKI 엔터티에서 Microsoft 인증서 서비스 엔터티를 추가하면 이러한 템플릿을 사용할 수 있게 됩니다.
-
다음을 클릭합니다.
자격 증명 공급자: CSR 페이지가 나타납니다.
-
자격 증명 공급자: CSR 페이지에서 인증서 구성에 따라 다음을 구성합니다.
-
키 알고리즘: 새 키 쌍에 대한 키 알고리즘을 선택합니다. 사용 가능한 값은 RSA, DSA및 ECDSA입니다.
-
키 크기: 키 쌍의 크기(비트)를 입력합니다. 이것은 필수 필드입니다.
허용되는 값은 키 유형에 따라 다릅니다. 예를 들어 DSA 키의 최대 크기는 1024비트입니다. 기본 하드웨어 및 소프트웨어에 따라 달라질 수 있는 거짓 음성 반응을 방지하기 위해 XenMobile은 키 크기를 강제하지 않습니다. 자격 증명 공급자 구성을 프로덕션 환경에서 활성화하기 전에 항상 테스트 환경에서 테스트해야 합니다.
-
서명 알고리즘: 새 인증서에 대한 값을 클릭합니다. 값은 키 알고리즘에 따라 달라집니다.
-
주체 이름: 필수 항목입니다. 새 인증서 주체의 DN(고유 이름)을 입력합니다. 예:
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
예를 들어 클라이언트 인증서 인증의 경우 다음 설정을 사용합니다.
- 키 알고리즘: RSA
- 키 크기: 2048
- 서명 알고리즘: SHA256withRSA
-
주체 이름
cn=$user.username
-
주체 대체 이름 테이블에 항목을 추가하려면 추가를 클릭합니다. 대체 이름의 유형을 선택하고 두 번째 열에 값을 입력합니다.
클라이언트 인증서 인증의 경우 다음을 지정합니다.
- 유형: 사용자 계정 이름
-
값:
$user.userprincipalname
주체 이름과 마찬가지로 값 필드에 XenMobile 매크로를 사용할 수 있습니다.
-
-
다음을 클릭합니다.
자격 증명 공급자: 배포 페이지가 나타납니다.
-
자격 증명 공급자: 배포 페이지에서 다음을 수행합니다.
- CA 인증서 발급 목록에서 제공된 CA 인증서를 클릭합니다. 자격 증명 공급자가 임의의 CA 엔터티를 사용하기 때문에 자격 증명 공급자에 대한 CA 인증서는 항상 엔터티 자체에서 구성된 CA 인증서입니다. 여기에 나온 CA 인증서는 외부 엔터티를 사용하는 구성과의 일관성을 위한 것입니다.
-
배포 모드 선택에서 다음과 같은 키 생성 및 배포 방법 중 하나를 클릭합니다.
- 중앙 집중식 선호: 서버 측 키 생성: 이 중앙 집중식 옵션을 사용하는 것이 좋습니다. 이 옵션은 XenMobile에서 지원하는 모든 플랫폼을 지원하며 Citrix Gateway 인증을 사용할 때 필요합니다. 개인 키가 생성되어 서버에 저장되고 사용자 장치에 배포됩니다.
- 분산식 선호: 장치측 키 생성: 개인 키가 생성되고 사용자 장치에 저장됩니다. 이 분산 모드에서는 SCEP를 사용하며 keyUsage keyEncryption이 포함된 RA 암호화 인증서와 KeyUsage digitalSignature가 포함된 RA 서명 인증서가 필요합니다. 암호화와 서명에 모두 동일한 인증서를 사용할 수 있습니다.
- 분산 전용: 장치측 키 생성: 이 옵션은 “선호”가 아닌 “전용”이기 때문에 장치 측 키 생성이 실패하거나 사용할 수 없는 경우 사용할 수 있는 옵션이 없다는 것을 제외하면 분산식 선호: 장치측 키 생성과 동일하게 작동합니다.
분산식 선호: 장치측 키 생성 또는 분산 전용: 장치측 키 생성을 선택한 경우 RA 서명 인증서 및 RA 암호화 인증서를 클릭합니다. 둘 모두에 동일한 인증서를 사용할 수 있습니다. 인증서에 대한 새 필드가 나타납니다.
-
다음을 클릭합니다.
자격 증명 공급자: 해지 XenMobile 페이지가 나타납니다. 이 페이지에서 XenMobile이 이 공급자 구성을 통해 발급된 인증서를 어떤 조건일 때 내부적으로 해지된 것으로 플래그 지정해야 하는지를 구성합니다.
-
자격 증명 공급자: 해지 XenMobile 페이지에서 다음을 수행합니다.
- 발급된 인증서 해지에서 인증서를 해지할 시기를 나타내는 옵션 중 하나를 선택합니다.
-
인증서가 해지될 때 XenMobile의 알림을 받으려면 알림 보내기의 값을 켜짐으로 설정하고 알림 템플릿을 선택합니다.
- XenMobile에서 인증서가 해지될 때 PKI에서 인증서를 해지하려면 PKI에 대한 인증서 해지를 켜짐으로 설정하고 엔터티 목록에서 템플릿을 클릭합니다. 엔터티 목록에 해지 기능이 있는 모든 사용 가능한 엔터티가 표시됩니다. XenMobile에서 인증서가 해지되면 해지 요청이 엔터티 목록에서 선택된 PKI로 전송됩니다.
-
다음을 클릭합니다.
자격 증명 공급자: 해지 PKI 페이지가 나타납니다. 이 페이지에서 인증서가 해지된 경우 PKI에서 수행할 동작을 식별합니다. 알림 메시지를 생성하는 옵션도 사용할 수 있습니다.
-
PKI에서 인증서를 해지하려면 자격 증명 공급자: 해지 PKI 페이지에서 다음을 수행합니다.
- 외부 해지 확인 사용 설정을 켜짐으로 변경합니다. 해지 PKI와 관련된 추가 필드가 나타납니다.
-
OCSP 응답자 CA 인증서 목록에서 인증서 주체의 DN(고유 이름)을 클릭합니다.
DN 필드 값에 XenMobile 매크로를 사용할 수 있습니다. 예:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
-
인증서가 해지된 경우 목록에서 다음 동작 중 하나를 클릭하여 인증서가 해지될 때 PKI 엔터티에서 수행되게 합니다.
- 아무 작업도 하지 않습니다.
- 인증서를 갱신합니다.
- 장치를 해지 및 초기화합니다.
-
인증서가 해지될 때 XenMobile의 알림을 받으려면 알림 보내기의 값을 켜짐으로 설정합니다.
두 알림 옵션 중에서 선택할 수 있습니다.
- 알림 템플릿 선택을 선택한 경우 미리 작성된 알림 메시지를 선택하여 사용자 지정할 수 있습니다. 이러한 템플릿은 알림 템플릿 목록에 있습니다.
- 알림 세부 정보 입력을 선택한 경우 고유한 알림 메시지를 작성할 수 있습니다. 받는 사람의 전자 메일 주소와 메시지를 제공하는 것 외에도 알림을 보내는 빈도를 설정할 수 있습니다.
-
다음을 클릭합니다.
자격 증명 공급자: 갱신 페이지가 나타납니다. 이 페이지에서 다음을 수행하도록 XenMobile을 구성할 수 있습니다.
- 인증서를 갱신합니다. 필요한 경우 갱신 시 알림을 보내고, 이미 만료된 인증서를 필요에 따라 작업에서 제외할 수 있습니다.
- 만료가 임박한 인증서에 대한 알림을 실행합니다(갱신 전 알림).
-
인증서가 만료될 경우 인증서를 갱신하려면 자격 증명 공급자: 갱신 페이지에서 다음을 수행합니다.
인증서가 만료될 때 갱신에 대해 켜짐을 선택합니다. 추가 필드가 나타납니다.
- 인증서가 다음 기간 내에 있는 경우 갱신 필드에 인증서를 갱신해야 하는 만료 전까지 남은 일 수를 입력합니다.
- 필요한 경우 이미 만료된 인증서는 갱신하지 않음을 선택합니다. 이 경우 “이미 만료”되었다는 의미는 인증서가 해지되었다는 것이 아니라
NotAfter
날짜가 지났다는 것입니다. XenMobile은 내부적으로 해지된 인증서를 갱신하지 않습니다.
인증서가 갱신되었을 때 XenMobile의 알림을 받으려면 알림 보내기를 켜짐으로 설정합니다. 인증서의 만료가 임박한 경우 XenMobile의 알림을 받으려면 인증서 만료가 다가오면 알림을 켜짐으로 설정합니다. 어느 항목을 선택하든 두 알림 옵션 중에서 선택할 수 있습니다.
- 알림 템플릿 선택: 미리 작성된 알림 메시지를 선택한 후 사용자 지정합니다. 이러한 템플릿은 알림 템플릿 목록에 있습니다.
- 알림 세부 정보 입력: 고유한 알림 메시지를 작성합니다. 받는 사람의 전자 메일 주소, 메시지 및 알림을 보낼 빈도를 제공합니다.
인증서가 다음 기간 내에 있는 경우 알림 필드에 알림을 보낼 인증서의 만료 전 일 수를 입력합니다.
-
저장을 클릭합니다.
자격 증명 공급자가 자격 증명 공급자 테이블에 표시됩니다.