Product Documentation

클라이언트 인증서 인증 또는 인증서와 도메인 인증

Feb 27, 2017

XenMobile에 대한 기본 구성은 사용자 이름 및 암호 인증입니다. XenMobile 환경에 대한 등록 및 액세스 시 추가 보안 계층을 추가하려면 인증서 기반 인증을 사용하는 것이 좋습니다. XenMobile 환경에서 이 구성은 NetScaler의 2단계 인증을 통한 보안과 최상의 SSO 기능으로 보안과 사용자 환경을 최적화합니다.

LDAP를 허용하지 않고 스마트 카드 또는 유사한 방법을 사용하는 경우 인증서를 구성하면 XenMobile에 스마트 카드를 나타낼 수 있습니다. 그런 다음 사용자는 XenMobile에서 생성된 고유한 PIN을 사용하여 등록합니다. 사용자가 액세스 권한을 획득하면 XenMobile이 이후에 XenMobile 환경에 인증하는 데 사용될 인증서를 만들어 배포합니다.

NetScaler 인증서 단독 인증 또는 인증서 및 도메인 인증을 사용하는 경우 NetScaler for XenMobile 마법사를 통해 XenMobile에 필요한 구성을 수행할 수 있습니다. NetScaler for XenMobile 마법사는 한 번만 실행할 수 있습니다.

조직 외부의 공용 네트워크 또는 보안되지 않은 네트워크에서 LDAP 자격 증명을 사용하는 것이 조직에 큰 보안 위협으로 간주되는 보안이 중요한 환경에서는 클라이언트 인증서와 보안 토큰을 사용한 2단계 인증을 고려할 수 있습니다. 자세한 내용은 Configuring XenMobile for Certificate and Security Token Authentication(인증서 및 보안 토큰 인증을 사용하기 위한 XenMobile 구성)을 참조하십시오.

클라이언트 인증서 인증은 XenMobile MAM 모드(MAM 단독) 및 ENT 모드(사용자가 MDM으로 등록 시)에 사용할 수 있습니다. 하지만 사용자가 레거시 MAM 모드로 등록하는 경우 클라이언트 인증서 인증을 XenMobile ENT 모드에 사용할 수 없습니다. XenMobile ENT 및 MAM 모드로 클라이언트 인증서 인증을 사용하려면 Microsoft 서버와 XenMobile 서버를 구성한 후 NetScaler Gateway를 구성해야 합니다. 이 문서에 설명된 대로 다음의 일반적인 단계를 따릅니다.

Microsoft 서버:

  1. Microsoft Management Console에 인증서 스냅인을 추가합니다.
  2. CA(인증 기관)에 템플릿을 추가합니다.
  3. CA 서버에서 PFX 인증서를 만듭니다.

XenMobile 서버:

  1. XenMobile에 인증서를 업로드합니다.
  2. 인증서 기반 인증을 위한 PKI 엔터티를 만듭니다.
  3. 자격 증명 공급자를 구성합니다.
  4. 인증을 위한 사용자 인증서를 제공하도록 NetScaler Gateway를 구성합니다.

NetScaler Gateway에서 NetScaler Gateway 문서의 Configuring Client Certificate or Client Certificate and Domain Authentication(클라이언트 인증서 또는 클라이언트 인증서 및 도메인 인증 구성)에 설명된 대로 구성합니다.

사전 요구 사항

  • 클라이언트 인증서 인증 및 SSL 오프로드를 사용하는 Windows Phone 8.1 장치의 경우 NetScaler의 두 부하 분산 가상 서버에서 포트 443에 대한 SSL 세션 재사용을 사용하지 않도록 설정해야 합니다. 이렇게 하려면 해당 vserver에서 포트 443에 대해 다음 명령을 실행합니다.

    set ssl vserver sessReuse DISABLE

    참고: SSL 세션 재사용을 사용하지 않도록 설정하면 NetScaler가 제공하는 일부 최적화 기능이 해제되어 NetScaler의 성능이 저하될 수 있습니다.

  • Exchange ActiveSync에 대한 인증서 기반 인증을 구성하려면 이 Microsoft 블로그를 참조하십시오.
  • Exchange Server로의 ActiveSync 트래픽을 보안하기 위해 개인 서버 인증서를 사용하는 경우, 모든 루트 및 중간 인증서가 모바일 장치에 있어야 합니다. 그렇지 않으면 Secure Mail에서 사서함을 설정하는 동안 인증서 기반 인증이 실패합니다. Exchange IIS 콘솔에서 다음 작업을 수행해야 합니다.
    • Exchange와 함께 XenMobile을 사용하기 위한 웹 사이트를 추가하고 웹 서버 인증서를 바인딩합니다.
    • 포트 9443을 사용합니다.
    • 해당 웹 사이트에 대해 "Microsoft Server ActiveSync"용 하나와 "EWS"용 하나의 두 가지 응용 프로그램을 추가해야 합니다. 이러한 응용 프로그램 모두에 대해 SSL 설정 아래에서 SSL 필요를 선택합니다.
  • 배포 방법에 필요한 경우 Secure Mail이 최신 MDX Toolkit으로 래핑되어 있는지 확인합니다.

Microsoft Management Console에 인증서 스냅인을 추가합니다.

1. 콘솔을 열고 스냅인 추가/제거를 클릭합니다.

2. 다음과 같은 스냅인을 추가합니다.

인증서 템플릿
인증서(로컬 컴퓨터)
인증서-현재 사용자
인증 기관(로컬)

localized image

3. 인증서 템플릿을 확장합니다.

localized image

4. 사용자 템플릿과 템플릿 복제를 선택합니다.

localized image

5. 템플릿 표시 이름을 제공합니다.

중요: 필요한 경우를 제외하고 Active Directory에 인증서 게시 확인란을 선택하지 마십시오. 이 옵션을 선택하면 모든 사용자 클라이언트 인증서가 Active Directory에서 푸시/생성되어 Active Directory 데이터베이스가 복잡해질 수 있습니다.

6. 템플릿 유형으로 Windows 2003 Server를 선택합니다. Windows 2012 R2 서버에서 호환성 아래에 있는 인증 기관을 선택하고 수신자를 Windows 2003으로 설정합니다.

7. 보안 아래에서 인증된 사용자에 대해 허용 열의 등록 옵션을 선택합니다.

localized image

8. 암호화 아래에서 XenMobile을 구성하는 동안 입력해야 하는 키 크기를 제공합니다.

localized image

9. 주체 이름 아래에서 요청에서 제공을 선택합니다. 변경 내용을 적용한 후 저장합니다.

localized image

인증 기관에 템플릿 추가

1. 인증 기관으로 이동하여 인증서 템플릿을 선택합니다.

2. 오른쪽 창에서 마우스 오른쪽 단추를 클릭한 후 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.

localized image

3. 이전 단계에서 만든 템플릿을 선택한 다음 확인을 클릭하여 인증 기관에 추가합니다.

localized image

CA 서버에서 PFX 인증서 만들기

1. 로그인한 서비스 계정을 사용하여 사용자 .pfx 인증서를 만듭니다. 이 .pfx가 XenMobile에 업로드되며, 이후에 XenMobile이 장치를 등록하는 사용자에 대해 사용자 인증서를 요구하게 됩니다.

2. 현재 사용자 아래에서 인증서를 확장합니다.

3. 오른쪽 창을 마우스 오른쪽 단추로 클릭하고 새 인증서 요청을 클릭합니다.

localized image

4. 인증서 등록 화면이 나타납니다. 다음을 클릭합니다.

localized image

5. Active Directory 등록 정책을 선택하고 다음을 클릭합니다.

localized image

6. 사용자 템플릿을 선택한 후 등록을 클릭합니다.

localized image

7. 이전 단계에서 만든 .pfx 파일을 내보냅니다.

localized image

8. 예, 개인 키를 내보냅니다를 클릭합니다.

localized image

9. 가능하면 인증 경로에 있는 인증서 모두 포함확장 속성 모두 내보내기 확인란을 선택합니다.

localized image

10. XenMobile에 이 인증서를 업로드할 때 사용할 암호를 설정합니다.

localized image

11. 하드 드라이브에 인증서를 저장합니다.

XenMobile에 인증서 업로드

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭합니다. 설정 화면이 나타납니다.

2. 인증서를 클릭한 후 가져오기를 클릭합니다.

3. 다음 매개 변수를 입력합니다.

  • 가져오기: 키 저장소
  • 키 저장소 유형: PKCS#12
  • 용도: 서버
  • 키 저장소 파일: 찾아보기를 클릭하여 방금 만든 .pfx 인증서를 선택합니다.
  • 암호: 이 인증서에 대해 만든 암호를 입력합니다.
localized image

4. 가져오기를 클릭합니다.

5. 인증서가 올바르게 설치되었는지 확인합니다. 사용자 인증서로 표시되어야 합니다.

인증서 기반 인증을 위한 PKI 엔터티 만들기

1. 설정에서 자세히 > 인증서 관리 > PKI 엔터티로 이동합니다.

2. 추가를 클릭한 후 Microsoft 인증서 서비스 엔터티를 클릭합니다. Microsoft 인증서 서비스 엔터티: 일반 정보 화면이 나타납니다.

3. 다음 매개 변수를 입력합니다.

  • 이름: 원하는 이름을 입력합니다.
  • 웹 등록 서비스 루트 URL: https://RootCA-URL/certsrv/
    경로에서 마지막 슬래시(/)를 반드시 추가해야 합니다.
  • certnew.cer 페이지 이름: certnew.cer(기본값)
  • certfnsh.asp: certfnsh.asp(기본값)
  • 인증 유형: 클라이언트 인증서
  • SSL 클라이언트 인증서: XenMobile 클라이언트 인증서를 발급하는 데 사용할 사용자 인증서를 선택합니다.
localized image

4. 템플릿 아래에서 Microsoft 인증서를 구성할 때 만든 템플릿을 추가합니다. 공백을 추가하지 마십시오.

localized image

5. HTTP 매개 변수를 생략하고 CA 인증서를 클릭합니다.

6. 사용자 환경에 해당하는 루트 CA 이름을 선택합니다. 이 루트 CA는 XenMobile 클라이언트 인증서에서 가져온 체인의 일부입니다.

localized image

7. 저장을 클릭합니다.

자격 증명 공급자 구성

1. 설정에서 자세히 > 인증서 관리 > 자격 증명 공급자로 이동합니다.

2. 추가를 클릭합니다.

3. 일반 아래에서 다음 매개 변수를 입력합니다.

  • 이름: 원하는 이름을 입력합니다.
  • 설명: 원하는 설명을 입력합니다.
  • 발급 엔터티: 이전에 만든 PKI 엔터티를 선택합니다.
  • 발급 방법: 서명
  • 템플릿: PKI 엔터티 아래에서 추가한 템플릿을 선택합니다.
localized image

4. CSR을 클릭한 후 다음 매개 변수를 입력합니다.

  • 키 알고리즘: RSA
  • 키 크기: 2048
  • 서명 알고리즘: SHA1withRSA
  • 주체 이름: cn=$user.username

주체 대체 이름에 대해 추가를 클릭한 후 다음 매개 변수를 입력합니다.

  • 유형: 사용자 계정 이름
  • : $user.userprincipalname
localized image

5. 배포를 클릭한 후 다음 매개 변수를 입력합니다.

  • CA 인증서 발급: XenMobile 클라이언트 인증서에 서명한 발급 CA를 선택합니다.
  • 배포 모드 선택: 중앙 집중식 선호: 서버측 키 생성을 선택합니다.
localized image

6. 그 다음의 두 섹션, 즉 해지 XenMobile해지 PKI에 대해 필요에 따라 매개 변수를 설정합니다. 이 문서에서는 두 옵션을 모두 건너뜁니다.

7. 갱신을 클릭합니다.

8. 인증서가 만료될 때 갱신에 대해 켜짐을 선택합니다.

9. 다른 모든 설정을 기본값으로 그대로 두거나 필요에 따라 변경합니다.

localized image

10. 저장을 클릭합니다.

인증서 기반 인증을 사용하도록 Secure Mail 구성

Secure Mail을 XenMobile에 추가할 경우, 앱 설정 아래에서 Exchange 설정을 구성해야 합니다.

localized image

XenMobile에서 NetScaler 인증서 제공 구성

1. XenMobile 콘솔에 로그온하고 오른쪽 위 모서리의 기어 아이콘을 클릭합니다. 설정 화면이 나타납니다.

2. 서버 아래에서 NetScaler Gateway를 클릭합니다.

3. NetScaler Gateway가 아직 추가되지 않은 경우 추가를 클릭하고 설정을 지정합니다.

  • 외부 URL: https://YourNetScalerGatewayURL
  • 로그온 유형: 인증서
  • 암호 필요: 꺼짐
  • 기본값으로 설정: 켜짐

4. 인증을 위한 사용자 인증서 제공에서 켜짐을 선택합니다.

localized image

5. 자격 증명 공급자에서 공급자를 선택한 다음 저장을 클릭합니다.

6. 사용자 인증서에서 UPN(사용자 계정 이름) 대신 sAMAccount 특성을 사용하려면 XenMobile에서 LDAP 커넥터를 다음과 같이 구성합니다. 설정 > LDAP로 이동한 후 디렉터리를 선택하고 편집을 클릭한 다음 사용자 검색 기준에서 sAMAccountName을 선택합니다.

localized image

Windows Phone 대한 엔터프라이즈 허브 정책 만들기

Windows Phone 장치에 대해 AETX 파일 및 Secure Hub 클라이언트를 제공하기 위한 엔터프라이즈 허브 장치 정책을 만들어야 합니다.

메모

AETX와 Secure Hub 파일이 인증서 공급자로부터 동일한 엔터프라이즈 인증서를 사용하고, Windows 스토어 개발 계정의 동일한 게시자 ID를 사용해야 합니다.

1. XenMobile 콘솔에서 구성 > 장치 정책을 클릭합니다.

2. 추가를 클릭한 후 자세히 > XenMobile 에이전트 아래에서 엔터프라이즈 허브를 클릭합니다.

3. 정책 이름을 지정한 후 엔터프라이즈 허브에 대한 올바른 .AETX 파일과 서명된 Secure Hub 앱을 선택해야 합니다.

localized image

4. 배달 그룹에 정책을 할당한 후 저장합니다.

클라이언트 인증서 구성 문제 해결

위의 구성과 NetScaler Gateway 구성을 성공적으로 완료한 후 사용자 워크플로는 다음과 같습니다.

1. 사용자가 모바일 장치를 등록합니다.

2. XenMobile에서 Citrix PIN을 만들라는 메시지를 사용자에게 표시합니다.

3. 그런 다음 사용자가 XenMobile Store로 리디렉션됩니다.

4. 사용자가 Secure Mail을 시작할 때는 XenMobile에서 사서함을 구성하기 위해 사용자 자격 증명을 입력하라는 메시지를 표시하지 않습니다. 대신 Secure Mail이 Secure Hub에서 클라이언트 인증서를 요청하고 인증을 위해 Microsoft Exchange Server에 제출합니다. 사용자가 Secure Mail을 시작할 때 자격 증명을 입력하라는 메시지가 표시될 경우 구성을 확인하십시오.

사용자가 Secure Mail을 다운로드하고 설치할 수 있지만 사서함 구성 중에 Secure Mail이 구성을 완료하지 못할 경우:

1. Microsoft Exchange Server ActiveSync에서 트래픽을 보안하기 위해 개인 SSL 서버 인증서를 사용하는 경우, 모든 루트 및 중간 인증서가 모바일 장치에 설치되어 있는지 확인합니다.

2. ActiveSync에 대해 선택한 인증 유형이 클라이언트 인증서 필요인지 확인합니다.

localized image

3. Microsoft Exchange Server에서 Microsoft-Server-ActiveSync 사이트를 확인하여 클라이언트 인증서 매핑 인증이 사용하도록 설정되어 있는지 검토합니다(기본적으로 사용되지 않음). 이 옵션은 구성 편집기 > 보안 > 인증 아래에 있습니다.

localized image

참고: True를 선택한 후에 적용을 클릭해야 변경 내용이 적용됩니다.

4. XenMobile 콘솔에서 NetScaler Gateway 설정을 확인합니다. 앞의 "XenMobile에서 NetScaler 인증서 제공을 구성하려면"에 설명되어 있는 대로 인증을 위한 사용자 인증서 제공켜짐이고 자격 증명 공급자에 올바른 프로필이 선택되어 있는지 확인합니다.


클라이언트 인증서가 모바일 장치에 제공되었는지 확인하려면:

1. XenMobile 콘솔에서 관리 > 장치로 이동하여 장치를 선택합니다.

2. 편집 또는 자세히 표시를 클릭합니다.

3. 배달 그룹 섹션으로 이동하여 다음 항목을 검색합니다.

NetScaler Gateway Credentials : Requested credential, CertId=


클라이언트 인증서 협상을 사용하도록 설정되어 있는지 확인하려면:

1. 다음 netsh 명령을 실행하여 IIS 웹 사이트에 바인딩된 SSL 인증서 구성을 표시합니다.

netsh http show sslcert

2. 클라이언트 인증서 협상의 값이 사용 안 함인 경우 다음 명령을 실행하여 사용하도록 설정합니다.

netsh http delete sslcert ipport=0.0.0.0:443

netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

예를 들면 다음과 같습니다.

netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

XenMobile을 통해 Windows Phone 8.1 장치에 루트/중간 인증서를 제공할 수 없는 경우:

  • 루트/중간 인증서(.cer) 파일을 전자 메일을 통해 Windows Phone 8.1 장치로 보낸 다음 직접 설치합니다.

Windows Phone 8.1에서 Secure Mail이 성공적으로 설치되지 않을 경우:

  • 응용 프로그램 등록 토큰(.AETX) 파일이 엔터프라이즈 허브 장치 정책을 사용하여 XenMobile를 통해 제공되는지 확인합니다.
  • Secure Mail을 래핑하고 Secure Hub 앱을 서명하는 데 사용된 인증서 공급자의 엔터프라이즈 인증서를 동일하게 사용하여 응용 프로그램 등록 토큰이 만들어졌는지 확인합니다.
  • Secure Hub, Secure Mail, 응용 프로그램 등록 토큰을 서명하고 래핑하는 데 동일한 게시자 ID가 사용되고 있는지 확인합니다.