Product Documentation

PKI 엔터티

Feb 27, 2017

XenMobile PKI(공개 키 인프라) 엔터티 구성은 실제 PKI 작업(발급, 해지 및 상태 정보)을 수행하는 구성 요소를 나타냅니다. 이러한 구성 요소는 XenMobile의 내부 구성 요소이거나(임의 구성 요소라고 함), 기업 인프라의 일부인 경우 XenMobile의 외부 구성 요소가 될 수 있습니다.

XenMobile은 다음과 같은 PKI 엔터티 유형을 지원합니다.

  • 임의의 CA(인증 기관)
  • GPKI(제네릭 PKI)
  • Microsoft 인증서 서비스

XenMobile은 다음과 같은 CA 서버를 지원합니다.

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

일반적인 PKI 개념

유형에 관계없이 모든 PKI 엔터티는 다음과 같은 하위 집합의 기능을 갖습니다.

  • 서명: CSR(인증서 서명 요청)을 기반으로 새 인증서 발급
  • 가져오기: 기존 인증서 및 키 쌍 복구
  • 해지: 클라이언트 인증서 해지

CA 인증서 정보

PKI 엔터티를 구성하는 경우 해당 엔터티에 의해 발급(또는 복구)되는 인증서의 서명자가 어느 CA 인증서인지를 XenMobile에 알려야 합니다. 하나의 동일한 PKI 엔터티에서 개수에 제한 없이 서로 다른 CA가 서명한(가져오거나 새로 서명된) 인증서를 반환할 수도 있습니다. PKI 엔터티 구성의 일환으로 이러한 각 CA의 인증서를 제공해야 합니다. 이를 위해 인증서를 XenMobile에 업로드한 후 PKI 엔터티에서 참조해야 합니다. 임의 CA의 경우 인증서는 묵시적으로 서명 CA 인증서이지만 외부 엔터티의 경우 인증서를 수동으로 지정해야 합니다.

제네릭 PKI

GPKI(제네릭 PKI) 프로토콜은 다양한 PKI 솔루션과의 일관된 인터페이스를 제공하기 위해 SOAP 웹 서비스 계층을 통해 실행되는 XenMobile 고유 프로토콜입니다. GPKI 프로토콜은 다음 세 가지 기본 PKI 작업을 정의합니다.

  • 서명: 어댑터가 CSR을 생성하고, 이를 PKI에 전송하고, 새로 서명된 인증서를 반환할 수 있습니다.
  • 가져오기: 어댑터가 입력 매개 변수에 따라 PKI에서 기존 인증서 및 키 쌍을 검색(복구)할 수 있습니다.
  • 해지: 어댑터가 PKI로 하여금 해당 인증서를 해지하도록 할 수 있습니다.

GPKI 프로토콜을 받는 측은 GPKI 어댑터입니다. 어댑터는 기본 작업을 해당 용도별 PKI 유형으로 변환합니다. 예를 들어, RSA용 GPKI 어댑터, EnTrust용 GPKI 어댑터 등이 있습니다.

GPKI 어댑터는 SOAP 웹 서비스 끝점이며, 자체 설명형 WSDL(Web Services Description Language)을 게시합니다. GPKI PKI 엔터티를 만들어 URL을 사용하거나 파일 자체를 업로드함으로써 XenMobile에 WSDL 정의를 제공할 수 있습니다.

어댑터에서 각 PKI 작업에 대한 지원은 선택 사항입니다. 어댑터가 지정된 작업을 지원하는 경우 어댑터가 해당 기능(서명, 가져오기 또는 해지)을 갖는다고 합니다. 이러한 각 기능은 일련의 사용자 매개 변수에 연결할 수 있습니다.

사용자 매개 변수는 특정 작업을 위해 GPKI 어댑터에서 정의되었으며 XenMobile에 해당 값을 제공해야 하는 매개 변수입니다. XenMobile은 WSDL 파일을 구문 분석하여 어댑터가 지원하는 작업(기능)과 각 작업을 위해 어댑터에 필요한 매개 변수를 결정합니다. 원할 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 GPKI 어댑터 간의 연결을 보호할 수 있습니다.

제네릭 PKI를 추가하려면

1. XenMobile 콘솔에서 설정 > PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

localized image

3. 제네릭 PKI 엔터티를 클릭합니다.

제네릭 PKI 엔터티: 일반 정보 페이지가 나타납니다.

localized image

4. 제네릭 PKI 엔터티: 일반 정보 페이지에서 다음을 수행합니다.

  • 이름: PKI 엔터티를 설명하는 이름을 입력합니다.
  • WSDL URL: 어댑터를 설명하는 WSDL의 위치를 입력합니다.
  • 인증 유형: 사용하려는 인증 방법을 클릭합니다.
  • 없음
  • HTTP 기본: 어댑터에 연결하는 데 필요한 사용자 이름 및 암호를 입력합니다.
  • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.

5. 다음을 클릭합니다.

제네릭 PKI 엔터티: 어댑터 기능 페이지가 나타납니다.

6. 제네릭 PKI 엔터티: 어댑터 기능 페이지에서 어댑터와 관련된 기능과 매개 변수를 검토하고 다음을 클릭합니다.

제네릭 PKI 엔터티: CA 인증서 발급 페이지가 나타납니다.

7. 제네릭 PKI 엔터티: CA 인증서 발급 페이지에서 엔터티에 사용할 인증서를 선택합니다.

참고: 엔터티에서 서로 다른 CA가 서명한 인증서를 반환하더라도 주어진 인증서 공급자를 통해 얻은 모든 인증서는 동일한 CA가 서명해야 합니다. 따라서 여기에서 구성한 인증서 중 하나를 자격 증명 공급자 설정의 배포 페이지에서 선택해야 합니다.

8. 저장을 클릭합니다.

PKI 엔터티 테이블에 해당 엔터티가 나타납니다.

Microsoft 인증서 서비스

XenMobile은 웹 등록 인터페이스를 통해 Microsoft 인증서 서비스와 상호 작용합니다. XenMobile은 그 인터페이스를 통해 새 인증서 발급만 지원합니다(GPKI 서명 기능에 해당).

XenMobile에서 Microsoft CA PKI 엔터티를 만들려면 인증서 서비스 웹 인터페이스의 기본 URL을 지정해야 합니다. 원할 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 인증서 서비스 웹 인터페이스 간의 연결을 보호할 수 있습니다.

Microsoft 인증서 서비스 엔터티를 추가하려면

1. XenMobile 콘솔에서 오른쪽 위 모서리의 렌치 아이콘을 클릭하고 PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

3. Microsoft 인증서 서비스 엔터티를 클릭합니다.

Microsoft 인증서 서비스 엔터티: 일반 정보 페이지가 나타납니다.

4. Microsoft 인증서 서비스 엔터티: 일반 정보 페이지에서 다음 설정을 구성합니다.

  • 이름: 나중에 엔터티를 참조하는 데 사용할 새 엔터티 이름을 입력합니다. 엔터티 이름은 고유해야 합니다.
  • 웹 등록 서비스 루트 URL: Microsoft CA 웹 등록 서비스의 기본 URL(예: https://192.0.2.13/certsrv/)을 입력합니다. URL은 일반 HTTP 또는 HTTP-over-SSL을 사용할 수 있습니다.
  • certnew.cer 페이지 이름: certnew.cer 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
  • certfnsh.asp: certfnsh.asp 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
  • 인증 유형: 사용하려는 인증 방법을 선택합니다.
    • 없음
    • HTTP 기본: 연결하는 데 필요한 사용자 이름 및 암호를 입력합니다.
    • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.

5. 연결 테스트를 클릭하여 서버에 액세스할 수 있는지 확인합니다. 액세스할 수 없는 경우 연결에 실패했음을 알리는 메시지가 나타납니다. 구성 설정을 확인합니다.

6. 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: 템플릿 페이지가 나타납니다. 이 페이지에서는 해당 Microsoft CA가 지원하는 템플릿의 내부 이름을 지정합니다. 자격 증명 공급자를 만들 때 여기에 정의된 목록에서 템플릿을 선택합니다. 이 엔터티를 사용하는 모든 자격 증명 공급자가 해당 템플릿 하나만 사용합니다.

Microsoft 인증서 서비스 템플릿 요구 사항은 해당 Microsoft 서버 버전에 대한 Microsoft 설명서를 참조하십시오. XenMobile에는 인증서에 명시된 인증서 형식을 제외하고 배포하는 인증서에 대한 요구 사항이 없습니다.

7. Microsoft 인증서 서비스 엔터티: 템플릿 페이지에서 추가를 클릭하고 템플릿 이름을 입력한 후 저장을 클릭합니다. 추가할 각 템플릿에 대해 이 단계를 반복합니다.

8. 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지가 나타납니다. 이 페이지에서는 XenMobile이 Microsoft 웹 등록 인터페이스에 대한 HTTP 요청에 입력해야 하는 사용자 지정 매개 변수를 지정합니다. 이는 CA에서 스크립트를 사용자 지정한 경우에만 유용합니다.

9. Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지에서 추가를 클릭하고 추가할 HTTP 매개 변수의 이름과 값을 입력한 후 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: CA 인증서 페이지가 나타납니다. 이 페이지에서는 시스템이 이 엔터티를 통해 얻는 인증서의 서명자를 XenMobile에 알려야 합니다. CA 인증서가 갱신되면 XenMobile에서 업데이트합니다. 그러면 변경 내용이 투명하게 엔터티에 적용됩니다.

10. Microsoft 인증서 서비스 엔터티: CA 인증서 페이지에서 엔터티에 사용할 인증서를 선택합니다.

11. 저장을 클릭합니다.

PKI 엔터티 테이블에 해당 엔터티가 나타납니다.

NetScaler CRL(인증서 해지 목록)

XenMobile은 타사 인증 기관에 대해서만 CRL(인증서 해지 목록)을 지원합니다. Microsoft CA가 구성된 경우 XenMobile은 NetScaler를 사용하여 해지를 관리합니다. 클라이언트 인증서 기반 인증을 구성하는 경우 NetScaler CRL(인증서 해지 목록) 설정인 Enable CRL Auto Refresh(CRL 자동 새로 고침 사용)을 구성해야 하는지 여부를 고려합니다. 이렇게 하면 MAM 전용 모드의 장치 사용자가 장치의 기존 인증서를 사용하여 인증할 수 없습니다. 이 경우 XenMobile은 새 인증서를 다시 발급합니다. 사용자 인증서가 해지된 경우 사용자의 인증서 생성을 제한하지 않기 때문입니다. 이 설정을 사용하면 CRL이 만료된 PKI 엔터티를 확인하는 경우 PKI 엔터티의 보안이 강화됩니다.

임의의 CA

임의의 CA는 CA 인증서와 연결된 개인 키를 XenMobile에 제공하는 경우 만들어집니다. XenMobile은 지정된 매개 변수에 따라 인증서 발급, 해지 및 상태 정보를 내부적으로 처리합니다.

임의의 CA를 구성하는 경우 해당 CA에 대한 OCSP(온라인 인증서 상태 프로토콜) 지원을 활성화할 수 있습니다. OCSP 지원을 활성화한 경우에 한해 CA는 id-pe-authorityInfoAccess 확장을 CA가 발급한 인증서에 추가하여 다음 위치의 XenMobile 내부 OCSP 응답자를 가리킵니다.

https://server/instance/ocsp

OCSP 서비스를 구성하는 경우 해당 임의의 엔터티에 대한 OCSP 서명 인증서를 지정해야 합니다. CA 인증서 자체를 서명자로 사용할 수 있습니다. CA 개인 키의 불필요한 노출을 방지하려면(권장) CA 인증서로 서명된 위임자 OCSP 서명 인증서를 만들고 id-kp-OCSPSigning extendedKeyUsage 확장을 포함합니다.

XenMobile OCSP 응답자 서비스는 기본 OCSP 응답과 다음 해시 알고리즘을 요청에 지원합니다.

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

응답은 SHA-256 및 서명 인증서 키 알고리즘(DSA, RSA 또는 ECDSA)으로 서명됩니다.

임의의 CA를 추가하려면

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭하고 자세히 > PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

3. 임의의 CA를 클릭합니다.

임의의 CA: 일반 정보 페이지가 나타납니다.

4. 임의의 CA: 일반 정보 페이지에서 다음을 수행합니다.

  • 이름: 임의의 CA를 설명하는 이름을 입력합니다.
  • 인증서 요청에 서명할 CA 인증서: 인증서 요청에 서명하는 데 사용할 임의의 CA용 인증서를 클릭합니다. XenMobile에서 구성 > 설정 > 인증서를 통해 업로드한 개인 키를 사용하여 CA 인증서에서 인증서 목록이 생성됩니다.

5. 다음을 클릭합니다.

임의의 CA: 매개 변수 페이지가 나타납니다.

6. 임의의 CA: 매개 변수 페이지에서 다음을 수행합니다.
  • 일련 번호 생성기: 임의의 CA가 발급한 인증서에 대한 일련 번호를 생성합니다. 이 목록에서 순차적 또는 비순차적을 클릭하여 숫자가 생성되는 방식을 지정합니다.
  • 다음 일련 번호: 다음번 발급될 번호를 지정하는 값을 입력합니다.
  • 인증서 유효 기간: 인증서가 유효한 일수를 입력합니다.
  • 키 사용: 해당 키를 켜짐으로 설정하여 임의의 CA에서 발급하는 인증서의 용도를 지정합니다. 이 항목을 설정하면 해당 CA가 지정된 용도로만 인증서를 발급할 수 있게 됩니다.
  • 확장 키 사용: 매개 변수를 더 추가하려면 추가를 클릭하고 키 이름을 입력한 후 저장을 클릭합니다.

7. 다음을 클릭합니다.

임의의 CA: 배포 페이지가 나타납니다.

8. 임의의 CA: 배포 페이지에서 배포 모드를 선택합니다.

  • 중앙 집중식: 서버측 키 생성. 중앙 집중식 옵션을 사용하는 것이 좋습니다. 개인 키가 생성되어 서버에 저장되고 사용자 장치에 배포됩니다.
  • 분산: 장치측 키 생성. 개인 키가 사용자 장치에 생성됩니다. 이 분산 모드에서는 SCEP를 사용하며 keyUsage keyEncryption을 사용한 RA 암호화 인증서와 KeyUsage digitalSignature를 사용한 RA 서명 인증서가 필요합니다. 암호화와 서명에 모두 동일한 인증서를 사용할 수 있습니다.

9. 다음을 클릭합니다.

임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지가 나타납니다.

임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지에서 다음을 수행합니다.

  • 이 CA가 서명한 인증서에 AuthorityInfoAccess(RFC2459) 확장을 추가하려면 이 CA에 OCSP 지원 사용켜짐으로 설정합니다. 이 확장은 CA의 OCSP 응답자(https://server/instance/ocsp)를 가리킵니다.
  • OCSP 지원을 사용하도록 설정한 경우 OSCP 서명 CA 인증서를 선택합니다. XenMobile에 업로드한 CA 인증서에서 인증서 목록이 생성됩니다.

10. 저장을 클릭합니다.

PKI 엔터티 테이블에 임의의 CA가 나타납니다.