Product Documentation

SCEP 장치 정책

Feb 27, 2017

이 정책을 사용하면 SCEP(단순 인증서 등록 프로토콜)를 사용하여 외부 SCEP 서버에서 인증서를 검색하도록 iOS 및 Mac OS X 장치를 구성할 수 있습니다. XenMobile에 연결된 PKI에서 SCEP를 사용하여 장치에 인증서를 제공하려면 분산 모드에서 PKI 엔터티 및 PKI 공급자를 만들어야 합니다. 자세한 내용은 PKI 엔터티를 참조하십시오.

iOS 설정

Mac OS X 설정

1. XenMobile 콘솔에서 구성 > 장치 정책을 클릭합니다. 장치 정책 페이지가 나타납니다.

2. 추가를 클릭합니다. 새 정책 추가 대화 상자가 나타납니다.

3. 더 보기를 확장하고 보안에서 SCEP을 클릭합니다. SCEP 정책 정보 페이지가 나타납니다.

localized image

4. 정책 정보 창에서 다음 정보를 입력합니다.

  • 정책 이름: 정책을 설명하는 이름을 입력합니다.
  • 설명: 정책에 대한 선택적 설명을 입력합니다.

5. 다음을 클릭합니다. 플랫폼 페이지가 나타납니다.

6. 플랫폼 아래에서 추가할 플랫폼을 선택합니다. 하나의 플랫폼에 대해서만 구성하는 경우 다른 플랫폼의 선택을 취소합니다.

플랫폼에 대한 설정을 모두 구성했으면 7단계에서 해당 플랫폼의 배포 규칙을 설정하는 방법을 확인하십시오.

iOS 설정 구성

localized image

다음 설정을 구성합니다.

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.
  • 정책 설정
    • 정책 설정정책 제거 옆에서 날짜 선택 또는 제거할 때까지의 기간(일)을 클릭합니다.
    • 날짜 선택을 클릭하는 경우 달력을 클릭하여 제거할 날짜를 선택합니다.
    • 사용자가 정책을 제거하도록 허용 목록에서 항상, 암호 필요 또는 안 함을 클릭합니다.
    • 암호 필요를 클릭하는 경우 제거 암호 옆에 필요한 암호를 입력합니다.

Mac OS X 설정 구성

localized image

다음 설정을 구성합니다.

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.
  • 정책 설정
    • 정책 설정정책 제거 옆에서 날짜 선택 또는 제거할 때까지의 기간(일)을 클릭합니다.
    • 날짜 선택을 클릭하는 경우 달력을 클릭하여 제거할 날짜를 선택합니다.
    • 사용자가 정책을 제거하도록 허용 목록에서 항상, 암호 필요 또는 안 함을 클릭합니다.
    • 암호 필요를 클릭하는 경우 제거 암호 옆에 필요한 암호를 입력합니다.
    • 프로필 범위 옆에서 사용자 또는 시스템을 클릭합니다. 기본값은 사용자입니다. 이 옵션은 OS X 10.7 이상에서만 사용할 수 있습니다.
7. 배포 규칙을 구성합니다.

8. 다음을 클릭합니다. SCEP 정책 할당 페이지가 나타납니다.

9. 배달 그룹 선택 옆에서 정책을 할당할 배달 그룹을 입력하여 찾거나 목록에서 그룹을 하나 이상 선택합니다. 선택한 그룹이 오른쪽의 앱 할당을 받을 배달 그룹 목록에 나타납니다.

10. 배포 일정을 확장하고 다음 설정을 구성합니다.

  • 배포 옆에서 켜짐을 클릭하여 배포를 예약하거나 꺼짐을 클릭하여 배포를 차단합니다. 기본 옵션은 켜짐입니다. 꺼짐을 선택하는 경우 다른 옵션을 구성할 필요가 없습니다.
  • 배포 일정 옆에서 지금 또는 나중에를 클릭합니다. 기본 옵션은 지금입니다.
  • 나중에를 클릭하는 경우 달력 아이콘을 클릭하고 배포 날짜와 시간을 선택합니다.
  • 배포 조건 옆에서 모든 연결에서를 클릭하거나 이전 배포가 실패한 경우에만을 클릭합니다. 기본 옵션은 모든 연결에서입니다.
  • 상시 연결에 대해 배포 옆에서 켜짐 또는 꺼짐을 클릭합니다. 기본 옵션은 꺼짐입니다.

참고:

  • 설정 > 서버 속성에서 백그라운드 배포 예약 키를 구성한 경우에만 이 옵션이 적용됩니다. iOS 장치에는 상시 연결 옵션을 사용할 수 없습니다.
  • 구성하는 배포 일정은 모든 플랫폼에 동일하게 적용됩니다. 변경 사항은 모든 플랫폼에 적용되지만 상시 연결에 대해 배포를 선택한 경우 iOS에는 적용되지 않습니다.

11. 저장을 클릭하여 정책을 저장합니다.