Product Documentation

인증서 및 인증

Feb 21, 2018

XenMobile 작동 중에 다음과 같은 다양한 구성 요소가 인증에 관여합니다.

  • XenMobile Server: XenMobile Server는 등록 보안 기능 및 등록 환경을 정의하는 장소입니다. 등록하는 사용자를 위한 옵션에는 등록 과정을 모든 사용자에게 공개할지, 아니면 초대만 사용할지 여부와 2단계 인증을 요구할지, 아니면 3단계 인증을 요구할지 여부가 포함됩니다. XenMobile의 클라이언트 속성을 통해 Citrix PIN 인증을 사용하도록 설정하고 PIN의 복잡성과 만료 시간을 구성합니다.
  • NetScaler: NetScaler는 Micro VPN SSL 세션의 종료 기능을 제공합니다. 또한 NetScaler는 네트워크 전송 중 보안 기능을 제공하며 사용자가 앱에 액세스할 때마다 사용되는 인증 환경을 정의할 수 있게 해 줍니다.
  • Secure Hub: 등록 작업에서 Secure Hub와 XenMobile Server가 함께 작동합니다. Secure Hub는 장치에서 NetScaler와 통신하는 엔터티입니다. 세션이 만료되면 Secure Hub가 NetScaler로부터 인증 티켓을 받아 MDX 앱에 해당 티켓을 전달합니다. 메시지 가로채기(man-in-the-middle) 공격을 방지할 수 있도록 인증서 고정 기능을 사용하는 것이 좋습니다. 자세한 내용은 Secure Hub 문서에서 인증서 고정 관련 섹션을 참조하십시오.

    Secure Hub는 MDX 보안 컨테이너를 지원합니다. 앱이 시간 초과되면 Secure Hub가 정책을 푸시하고 NetScaler에서 세션을 생성한 다음 MDX 시간 초과 및 인증 환경을 정의합니다. 또한 Secure Hub는 탈옥 감지, 지오로케이션 확인 및 사용자가 적용한 모든 정책을 관리합니다.
  • MDX 정책: MDX 정책은 장치에서 데이터 저장소를 만듭니다. MDX 정책은 Micro VPN 연결을 다시 NetScaler로 리디렉션하고, 오프라인 모드 제한을 적용하고, 시간 초과 같은 클라이언트 정책을 적용합니다.

1단계 및 2단계 인증 방법의 개요를 비롯한 인증 구성 방법과 관련된 고려 사항에 대해 자세히 알아보려면 배포 핸드북 인증 문서를 참조하십시오.

XenMobile의 인증서를 사용하여 보안 연결을 만들고 사용자를 인증할 수 있습니다. 이 문서의 나머지 부분에서 인증서에 대해 설명합니다. 다른 구성 세부 정보에 대해서는 다음과 같은 문서를 참조하십시오.

인증서

기본적으로 XenMobile에는 서버로 전달되는 통신을 보호하기 위해 설치 중에 생성되는 자체 서명된 SSL(Secure Sockets Layer) 인증서가 포함되어 있습니다. 이 SSL 인증서를 잘 알려진 CA(인증 기관)의 신뢰할 수 있는 SSL 인증서로 교체하는 것이 좋습니다.

메모

iOS 10.3 장치는 자체 서명 인증서를 지원하지 않습니다. XenMobile이 자체 서명 인증서를 사용하는 경우 iOS 10.3 장치를 XenMobile에 등록할 수 없습니다. iOS 10.3 이상을 실행하는 장치를 XenMobile에 등록하려면 XenMobile에서 신뢰할 수 있는 SSL 인증서를 사용해야 합니다.

또한 XenMobile은 자체 PKI(공개 키 인프라) 서비스를 사용하거나 클라이언트 인증서에 대한 CA로부터 인증서를 가져옵니다. 모든 Citrix 제품은 와일드카드 인증서와 SAN(주체 대체 이름) 인증서를 지원합니다. 대부분의 배포에서 와일드카드 또는 SAN 인증서 두 개만 있으면 됩니다.

클라이언트 인증서 인증에는 모바일 앱을 위한 추가 보안 계층이 제공되기 때문에 사용자가 HDX 앱에 원활하게 액세스할 수 있습니다. 클라이언트 인증서 인증이 구성된 경우 사용자가 XenMobile 지원 앱에 액세스하려면 SSO(Single Sign-on)용 Citrix PIN을 입력해야 합니다. 또한 Citrix PIN은 사용자 인증 환경을 간소화합니다. Citrix PIN은 클라이언트 인증서를 보호하거나 Active Directory 자격 증명을 장치에 로컬로 저장하는 데 사용됩니다.

XenMobile에서 iOS 장치를 등록하고 관리하려면 Apple에서 APNs(Apple 푸시 알림 서비스) 인증서를 설정하고 만드십시오. 단계에 대해서는 APNs 인증서를 참조하십시오.

다음 표에서는 각 XenMobile 구성 요소에 대한 인증서 형식 및 유형을 보여 줍니다.

XenMobile 구성 요소

인증서 형식

필요한 인증서 유형

NetScaler Gateway

PEM(BASE64), PFX(PKCS#12) SSL, 루트. NetScaler Gateway가 PFX를 자동으로 PEM으로 변환합니다.

XenMobile Server

.p12(Windows 기반 컴퓨터의 경우 .pfx)

SSL, SAML, APNs. 또한 XenMobile은 설치 프로세스 중에 완전한 PKI를 생성합니다. 중요: XenMobile Server는 확장명이 .pem인 인증서를 지원하지 않습니다. .pem 인증서를 사용하려면 .pem 파일을 인증서와 키로 분할하고 각각을 XenMobile 서버로 가져옵니다. 

StoreFront

PFX(PKCS#12)

SSL, 루트

XenMobile은 비트 길이가 4096, 2048 및 1024인 SSL 수신기 인증서 및 클라이언트 인증서를 지원합니다. 1024비트 인증서는 쉽게 손상될 수 있습니다.

NetScaler Gateway 및 XenMobile Server의 경우 Verisign, DigiCert, Thawte 등과 같은 공용 CA로부터 서버 인증서를 받는 것이 좋습니다. NetScaler Gateway 또는 XenMobile 구성 유틸리티에서 CSR(인증서 서명 요청)을 만들 수 있습니다. CSR을 만든 후 CA에 제출하여 서명을 받을 수 있습니다. CA가 서명된 인증서를 반환하면 해당 인증서를 NetScaler Gateway 또는 XenMobile에 설치할 수 있습니다.

XenMobile에서 인증서 업로드

인증서 테이블에는 업로드한 각 인증서의 콘텐츠를 요약하는 항목이 있습니다. 인증서가 필요한 PKI 통합 구성 요소를 구성할 때 컨텍스트에 종속적인 조건을 충족하는 서버 인증서를 선택하십시오. 예를 들어 Microsoft CA와 통합되도록 XenMobile을 구성한다고 가정합니다. Microsoft CA에 대한 연결은 클라이언트 인증서를 사용하여 인증되어야 합니다.

이 섹션에서는 인증서를 업로드하는 일반적인 절차를 제공합니다. 클라이언트 인증서 만들기, 업로드 및 구성에 대한 자세한 내용은 클라이언트 인증서 인증 또는 인증서와 도메인 인증을 참조하십시오.

개인 키 요구 사항

XenMobile은 지정된 인증서에 대한 개인 키를 소유하거나 소유하지 않을 수 있습니다. 마찬가지로 사용자가 업로드한 인증서에 대해 XenMobile이 개인 키를 요구하거나 요구하지 않을 수 있습니다.

콘솔에 인증서 업로드

콘솔에 인증서를 업로드할 때 주요 옵션 두 가지가 있습니다.

  • 키 저장소 가져오기를 클릭할 수 있습니다. PKCS#12 형식을 업로드하려는 경우가 아니라면 계속해서 설치하려는 키 저장소의 항목을 식별합니다.
  • 인증서 가져오기를 클릭할 수 있습니다.

CA가 요청에 서명하기 위해 사용하는 CA 인증서(개인 키 포함 안 함)를 업로드할 수 있습니다. 또한 클라이언트 인증을 위해 SSL 클라이언트 인증서(개인 키 포함)를 업로드할 수 있습니다.

Microsoft CA 엔터티를 구성할 때 CA 인증서를 지정합니다. CA 인증서인 모든 서버 인증서 목록에서 CA 인증서를 선택합니다. 마찬가지로, 클라이언트 인증을 구성할 때 XenMobile에 개인 키가 있는 모든 서버 인증서의 목록에서 선택할 수 있습니다.

키 저장소를 가져오려면

보안 인증서 저장소인 키 저장소는 여러 항목을 포함할 수 있도록 설계되어 있습니다. 따라서 키 저장소에서 로드할 경우 로드할 항목을 식별하는 항목 별칭을 지정하라는 메시지가 나타납니다. 별칭을 지정하지 않으면 저장소의 첫 번째 항목이 로드됩니다. PKCS#12 파일은 대개 항목 하나만 포함하기 때문에 PKCS#12를 키 저장소 유형으로 선택하면 별칭 필드가 나타나지 않습니다.

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭합니다. 설정 페이지가 나타납니다.

2. 인증서를 클릭합니다. 인증서 페이지가 나타납니다.

localized image

3. 가져오기를 클릭합니다. 가져오기 대화 상자가 나타납니다.

4. 다음 설정을 구성합니다.

  • 가져오기: 목록에서 키 저장소를 클릭합니다. 가져오기 대화 상자가 변경되어 사용 가능한 키 저장소 옵션이 나타납니다.
localized image
  • 키 저장소 유형: 목록에서 PKCS#12를 클릭합니다.
  • 용도: 목록에서 인증서 사용 방법을 클릭합니다. 사용 가능한 옵션은 다음과 같습니다.
    • 서버. 서버 인증서는 XenMobile 웹 콘솔에 업로드되어 XenMobile Server에서 기능적으로 사용되는 인증서입니다. 여기에는 CA 인증서, RA 인증서 및 클라이언트 인증용 인증서와 인프라의 다른 구성 요소가 포함됩니다. 또한 서버 인증서를 장치에 배포할 인증서의 저장소로 사용할 수 있습니다. 이 용도는 특히 장치에서 신뢰를 형성하는 데 사용되는 CA에 적용됩니다.
    • SAML. SAML(Security Assertion Markup Language) 인증을 사용하면 서버, 웹 사이트 및 앱에 대한 SSO 액세스를 제공할 수 있습니다.
    • APNs. Apple의 APNs 인증서를 사용하면 Apple Push Network를 통해 모바일 장치를 관리할 수 있습니다.
    • SSL 수신기. SSL(Secure Sockets Layer) 수신기는 XenMobile에 SSL 암호화 활동을 알립니다.
  • 키 저장소 파일: 찾아보기로 가져올 .p12(또는 Windows 기반 컴퓨터의 경우 .pfx) 파일 형식의 키 저장소를 찾습니다.
  • 암호: 인증서에 할당된 암호를 입력합니다.
  • 설명: 필요한 경우 서로 다른 키 저장소를 구분하는 데 도움이 되는 설명을 입력합니다.

5. 가져오기를 클릭합니다. 키 저장소가 인증서 테이블에 추가됩니다.

인증서를 가져오려면

파일 또는 키 저장소 항목에서 인증서를 가져올 때 XenMobile은 입력에서 인증서 체인을 구성한 후 해당 체인의 모든 인증서(각 서버 인증서 항목 생성)를 가져오려고 합니다. 이 작업은 파일 또는 키 저장소 항목의 인증서가 체인을 형성하는 경우에만 작동합니다. 예를 들어 체인의 각 후속 인증서가 이전 인증서의 발급자여야 합니다.

추론 목적으로 가져온 인증서에 대한 선택적 설명을 추가할 수 있습니다. 설명은 체인의 첫 번째 인증서에만 첨부됩니다. 나중에 나머지 인증서의 설명을 업데이트할 수 있습니다.

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭한 다음 인증서를 클릭합니다.

2. 인증서 페이지에서 가져오기를 클릭합니다. 가져오기 대화 상자가 나타납니다.

3. 가져오기 대화 상자의 가져오기에서 인증서가 선택되어 있지 않은 경우 클릭합니다.

4. 가져오기 대화 상자가 변경되어 사용 가능한 인증서 옵션이 나타납니다. 용도에서 키 저장소 사용 방법을 클릭합니다. 사용 가능한 옵션은 다음과 같습니다.

  • 서버. 서버 인증서는 XenMobile 웹 콘솔에 업로드되어 XenMobile Server에서 기능적으로 사용되는 인증서입니다. 여기에는 CA 인증서, RA 인증서 및 클라이언트 인증용 인증서와 인프라의 다른 구성 요소가 포함됩니다. 또한 서버 인증서를 장치에 배포할 인증서의 저장소로 사용할 수 있습니다. 이 옵션은 특히 장치에서 신뢰를 형성하는 데 사용되는 CA에 적용됩니다.
  • SAML. SAML(Security Assertion Markup Language) 인증을 사용하면 서버, 웹 사이트 및 앱에 대한 SSO(Single Sign-On) 액세스를 제공할 수 있습니다.
  • SSL 수신기. SSL(Secure Sockets Layer) 수신기는 XenMobile에 SSL 암호화 활동을 알립니다.

5. 찾아보기로 가져올 .p12(또는 Windows 기반 컴퓨터의 경우 .pfx) 파일 형식의 키 저장소를 찾습니다.

6. 찾아보기로 인증서에 대한 선택적인 개인 키 파일을 찾습니다. 개인 키는 인증서의 암호화 및 암호 해독에 사용됩니다.

7. 필요한 경우 서로 다른 인증서를 구분할 때 도움이 되도록 인증서에 대한 설명을 입력합니다.

8. 가져오기를 클릭합니다. 인증서가 인증서 테이블에 추가됩니다.

인증서 업데이트

XenMobile은 특정 시점에 공개 키당 하나의 인증서만 시스템에 존재하도록 허용합니다. 이미 가져온 인증서와 동일한 키 쌍의 인증서를 가져오려고 하면 기존 항목을 바꾸거나 항목을 삭제할 수 있습니다.

인증서를 가장 효과적으로 업데이트하려면 XenMobile 콘솔에서 다음을 수행하십시오. 콘솔의 오른쪽 위 모서리에 있는 기어 아이콘을 클릭하여 설정 페이지를 연 다음 인증서를 클릭합니다. 가져오기 대화 상자에서 새 인증서를 가져옵니다.

서버 인증서를 업데이트할 경우 이전 인증서를 사용하는 구성 요소가 자동으로 새 인증서를 사용하도록 전환됩니다. 마찬가지로, 장치에 서버 인증서를 배포한 경우 인증서가 다음 번 배포에서 자동으로 업데이트됩니다.

XenMobile 인증서 관리

특히 만료 날짜와 관련 암호에 대해, XenMobile 배포에서 사용하는 인증서를 기록해 두는 것이 좋습니다. 이 섹션에서는 XenMobile에서 인증서를 보다 쉽게 관리할 수 있도록 도와 줍니다.

환경에 다음과 같은 인증서 중 일부 또는 전체가 포함될 수 있습니다.

XenMobile Server
MDM FQDN용 SSL 인증서
SAML 인증서(ShareFile용)
이전 인증서 및 다른 모든 내부 리소스에 대한 루트 및 중간 CA 인증서(StoreFront/Proxy 등)
iOS 장치 관리용 APN 인증서
XenMobile Server Secure Hub 알림용 내부 APNs 인증서
PKI 연결용 PKI 사용자 인증서

MDX Toolkit
Apple Developer 인증서
Apple 프로비전 프로필(응용 프로그램별)
Apple APNs 인증서(Citrix Secure Mail에 사용)
Android 키 저장소 파일
Windows Phone – Symantec 인증서

NetScaler
MDM FQDN용 SSL 인증서
Gateway FQDN용 SSL 인증서
ShareFile SZC FQDN용 SSL 인증서
Exchange 부하 분산용 SSL 인증서(오프로드 구성)
StoreFront 부하 분산용 SSL 인증서
이전 인증서용 루트 및 중간 CA 인증서

XenMobile 인증서 만료 정책

인증서가 만료되도록 허용하는 경우 인증서가 무효화됩니다. 더 이상 환경에서 보안 트랜잭션을 실행할 수 없으며 XenMobile 리소스에 액세스할 수 없습니다.

메모

만료 날짜 전에 CA(인증 기관)에서 SSL 인증서를 갱신하라는 메시지를 표시합니다.

Citrix Secure Mail용 APNs 인증서

APNs(Apple 푸시 알림 서비스) 인증서는 매년 만료됩니다. 따라서 APNs SSL 인증서가 만료되기 전에 인증서를 만들고 Citrix 포털에서 업데이트해야 합니다. 인증서가 만료되면 Secure Mail 푸시 알림에서 불일치가 발생합니다. 또한 더 이상 앱에 대한 푸시 알림을 보낼 수 없습니다.

iOS 장치 관리용 APNs 인증서

XenMobile에서 iOS 장치를 등록하고 관리하려면 Apple에서 APNs 인증서를 설정하고 만드십시오. 인증서가 만료되면 사용자가 XenMobile에 등록할 수 없으며 사용자의 iOS 장치를 관리할 수 없게 됩니다. 자세한 내용은 APNs 인증서를 참조하십시오.

Apple Push Certificates Portal에 로그온하여 APNs 인증서 상태 및 만료 날짜를 확인할 수 있습니다. 인증서를 만든 사용자로 로그온해야 합니다.

또한 만료 날짜 30일 전과 10일 전에 Apple로부터 다음과 같은 정보가 포함된 전자 메일 알림을 받게 됩니다.

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date.(Apple ID CustomerID에 대해 생성된 다음과 같은 Apple 푸시 알림 서비스 인증서가 Date에 만료됩니다.) Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.(이 인증서를 해지하거나 만료되도록 허용하면 기존 장치를 새 푸시 인증서로 재등록해야 합니다.)

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.(공급업체에 문의하여 새 요청(서명된 CSR)을 생성한 다음 https://identity.apple.com/pushcert를 방문하여 Apple 푸시 알림 서비스 인증서를 갱신하십시오.)

Thank You,(감사합니다.)

Apple Push Notification Service(Apple 푸시 알림 서비스)

MDX Toolkit(iOS 배포 인증서)

물리적 iOS 장치에서 실행되는 앱(Apple App Store의 앱 제외)은 프로비전 프로필로 서명되어야 합니다. 또한 앱은 해당하는 배포 인증서로 서명되어야 합니다.

유효한 iOS 배포 인증서가 있는지 확인하려면 다음을 수행하십시오.

1. Apple Enterprise Developer 포털에서 MDX Toolkit으로 래핑할 각 앱에 대한 명시적 앱 ID를 만듭니다. 사용할 수 있는 앱 ID의 예는 com.CompanyName.ProductName입니다.
2. Apple Enterprise Developer 포털에서 Provisioning Profiles(프로비전 프로필) > Distribution(배포)으로 이동하고 내부 프로비전 프로필을 만듭니다. 이전 단계에서 만든 각 앱 ID에 대해 이 단계를 반복합니다.
3. 모든 프로비전 프로필을 다운로드합니다. 자세한 내용은 iOS 모바일 앱 래핑을 참조하십시오.

모든 XenMobile Server 인증서가 유효한지 확인하려면 다음을 수행하십시오.

  1. XenMobile 콘솔에서 설정을 클릭한 다음 인증서를 클릭합니다.
  2. APNs, SSL 수신기, 루트 및 중간 인증서를 비롯한 모든 인증서가 유효한지 확인합니다.

Android 키 저장소

키 저장소는 Android 앱에 서명하는 데 사용된 인증서가 들어 있는 파일입니다. 키 유효 기간이 만료되면 사용자가 더 이상 새 버전의 앱으로 원활하게 업그레이드할 수 없습니다.

Windows Phone용 Symantec 엔터프라이즈 인증서

Symantec은 Microsoft App Hub 서비스용 코드 서명 인증서의 독점적 공급자입니다. 개발자 및 소프트웨어 게시자는 App Hub에 가입하여 Windows Marketplace에 Windows Phone 및 Xbox 360 응용 프로그램을 배포하고 다운로드하게 만들 수 있습니다. 자세한 내용은 Symantec 설명서에서 Symantec Code Signing Certificates for Windows Phone(Windows Phone용 Symantec 코드 서명 인증서)을 참조하십시오.

인증서가 만료되면 Windows Phone 사용자가 등록할 수 없게 됩니다. 사용자는 회사가 게시하고 서명한 앱을 설치할 수 없거나 휴대폰에 설치된 회사 앱을 시작할 수 없습니다.

NetScaler

NetScaler에서 인증서 만료를 처리하는 방법에 대한 자세한 내용은 Citrix Support Knowledge Center에서 How to handle certificate expiry on NetScaler(NetScaler에서 인증서 만료를 처리하는 방법)를 참조하십시오.

만료된 NetScaler 인증서를 통해서는 사용자가 스토어에 등록 및 액세스할 수 없으며, Secure Mail 사용 시 Exchange Server에 연결할 수 없습니다. 또한 사용자가 HDX 앱을 나열하고 열 수 없습니다(만료된 인증서에 따라 다름).

Expiry Monitor 및 Command Center를 사용하면 NetScaler 인증서를 추적할 수 있습니다. 인증서 만료 시 Center로부터 알림을 받게 됩니다. 이러한 도구를 사용하여 다음과 같은 NetScaler 인증서를 모니터링할 수 있습니다.

  • MDM FQDN에 대한 SSL 인증서
  • Gateway FQDN에 대한 SSL 인증서
  • ShareFile SZC FQDN에 대한 SSL 인증서
  • Exchange 부하 분산에 대한 SSL 인증서(오프로드 구성)
  • StoreFront 부하 분산에 대한 SSL 인증서
  • 이전 인증서에 대한 루트 및 중간 CA 인증서