XenMobile® Server

클라이언트 인증서 또는 인증서 및 도메인 인증

XenMobile®의 기본 구성은 사용자 이름 및 암호 인증입니다. XenMobile 환경에 등록 및 액세스하기 위한 보안 계층을 추가하려면 인증서 기반 인증 사용을 고려하십시오. XenMobile 환경에서 이 구성은 보안과 사용자 경험의 최상의 조합입니다. 인증서 및 도메인 인증은 Citrix ADC의 2단계 인증이 제공하는 보안과 결합된 최상의 SSO 가능성을 제공합니다.

최적의 유용성을 위해 인증서 및 도메인 인증을 Citrix PIN 및 Active Directory 암호 캐싱과 결합할 수 있습니다. 결과적으로 사용자는 LDAP 사용자 이름과 암호를 반복해서 입력할 필요가 없습니다. 사용자는 등록, 암호 만료 및 계정 잠금을 위해 사용자 이름과 암호를 입력합니다.

중요:

XenMobile은 사용자가 XenMobile에 장치를 등록한 후 인증 모드를 도메인 인증에서 다른 인증 모드로 변경하는 것을 지원하지 않습니다.

LDAP를 허용하지 않고 스마트 카드 또는 유사한 방법을 사용하는 경우, 인증서를 구성하면 스마트 카드를 XenMobile에 나타낼 수 있습니다. 그러면 사용자는 XenMobile이 생성하는 고유 PIN을 사용하여 등록합니다. 사용자가 액세스 권한을 얻으면 XenMobile은 XenMobile 환경에 인증하는 데 사용되는 인증서를 생성하고 배포합니다.

XenMobile용 Citrix ADC 마법사를 사용하여 Citrix ADC 인증서 전용 인증 또는 인증서 및 도메인 인증을 사용할 때 XenMobile에 필요한 구성을 수행할 수 있습니다. XenMobile용 Citrix ADC 마법사는 한 번만 실행할 수 있습니다.

고도로 안전한 환경에서는 조직 외부의 공용 또는 안전하지 않은 네트워크에서 LDAP 자격 증명을 사용하는 것이 조직에 대한 주요 보안 위협으로 간주됩니다. 고도로 안전한 환경의 경우 클라이언트 인증서와 보안 토큰을 사용하는 2단계 인증이 옵션입니다. 자세한 내용은 인증서 및 보안 토큰 인증을 위한 XenMobile 구성을 참조하십시오.

클라이언트 인증서 인증은 XenMobile MAM 모드(MAM 전용) 및 ENT 모드(사용자가 MDM에 등록할 때)에서 사용할 수 있습니다. 클라이언트 인증서 인증은 사용자가 레거시 MAM 모드에 등록할 때 XenMobile ENT 모드에서는 사용할 수 없습니다. XenMobile ENT 및 MAM 모드에서 클라이언트 인증서 인증을 사용하려면 Microsoft 서버, XenMobile Server 및 Citrix Gateway를 구성해야 합니다. 이 문서에 설명된 대로 다음 일반 단계를 따르십시오.

Microsoft 서버에서:

  1. Microsoft Management Console에 인증서 스냅인을 추가합니다.
  2. 인증 기관(CA)에 템플릿을 추가합니다.
  3. CA 서버에서 PFX 인증서를 생성합니다.

XenMobile Server에서:

  1. XenMobile에 인증서를 업로드합니다.
  2. 인증서 기반 인증을 위한 PKI 엔터티를 생성합니다.
  3. 자격 증명 공급자를 구성합니다.
  4. 인증을 위한 사용자 인증서를 전달하도록 Citrix Gateway를 구성합니다.

Citrix Gateway 구성에 대한 자세한 내용은 Citrix ADC 설명서의 다음 문서를 참조하십시오.

필수 구성 요소

  • Microsoft 인증서 서비스 엔터티 템플릿을 생성할 때 특수 문자를 제외하여 등록된 장치에서 발생할 수 있는 인증 문제를 방지하십시오. 예를 들어 템플릿 이름에 다음 문자를 사용하지 마십시오. : ! $ () # % + * ~ ? | {} []

  • Exchange ActiveSync용 인증서 기반 인증을 구성하려면 이 Microsoft 블로그를 참조하십시오. Exchange ActiveSync용 인증 기관(CA) 서버 사이트에서 클라이언트 인증서를 요구하도록 구성하십시오.
  • Exchange Server로의 ActiveSync 트래픽을 보호하기 위해 개인 서버 인증서를 사용하는 경우, 모바일 장치에 필요한 모든 루트/중간 인증서가 있는지 확인하십시오. 그렇지 않으면 Secure Mail에서 사서함 설정 중에 인증서 기반 인증이 실패합니다. Exchange IIS 콘솔에서 다음을 수행해야 합니다.
    • Exchange와 함께 XenMobile에서 사용할 웹 사이트를 추가하고 웹 서버 인증서를 바인딩합니다.
    • 포트 9443을 사용합니다.
    • 해당 웹 사이트에 “Microsoft-Server-ActiveSync” 및 “EWS”용 애플리케이션 두 개를 추가해야 합니다. 이 두 애플리케이션 모두 SSL 설정에서 SSL 필요를 선택해야 합니다.

Microsoft Management Console에 인증서 스냅인 추가

  1. 콘솔을 열고 스냅인 추가/제거를 클릭합니다.

  2. 다음 스냅인을 추가합니다.

    • 인증서 템플릿
    • 인증서(로컬 컴퓨터)
    • 인증서 - 현재 사용자
    • 인증 기관(로컬)

    Microsoft Management Console

  3. 인증서 템플릿을 확장합니다.

    Microsoft Management Console

  4. 사용자 템플릿을 선택하고 템플릿 복제를 선택합니다.

    Microsoft Management Console

  5. 템플릿 표시 이름을 제공합니다.

    중요:

    Active Directory에 인증서 게시 옵션을 선택하는 것은 권장되지 않습니다. 이 옵션을 선택하면 Active Directory의 모든 사용자에 대한 클라이언트 인증서가 생성되어 Active Directory 데이터베이스가 복잡해질 수 있습니다.

  6. 템플릿 유형으로 Windows 2003 Server를 선택합니다. Windows 2012 R2 서버에서는 호환성에서 인증 기관을 선택하고 수신자를 Windows 2003으로 설정합니다.

  7. 보안에서 다음을 구성합니다.

    1. 추가를 클릭한 다음 XenMobile Server가 인증서를 생성하는 데 사용하는 AD 사용자 계정을 선택합니다.

      중요:

      여기에 서비스 계정 사용자만 추가하십시오. 이 AD 사용자 계정에만 등록 권한을 추가하십시오.

      이 문서의 뒷부분에 설명된 대로 서비스 계정을 사용하여 사용자 .pfx 인증서를 생성합니다. 자세한 내용은 CA 서버에서 PFX 인증서 생성을 참조하십시오.

      인증서 테스트

    2. 도메인 사용자에서 등록 권한을 취소합니다.

      도메인 사용자

  8. 암호화에서 키 크기를 제공했는지 확인합니다. 나중에 XenMobile을 구성할 때 키 크기를 입력합니다.

    Microsoft Management Console

  9. 주체 이름에서 요청 시 제공을 선택합니다. 변경 사항을 적용한 다음 저장합니다.

    Microsoft Management Console

인증 기관에 템플릿 추가

  1. 인증 기관으로 이동하여 인증서 템플릿을 선택합니다.

  2. 오른쪽 창에서 마우스 오른쪽 버튼을 클릭한 다음 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.

    Microsoft Management Console

  3. 이전 단계에서 생성한 템플릿을 선택한 다음 확인을 클릭하여 인증 기관에 추가합니다.

    Microsoft Management Console

CA 서버에서 PFX 인증서 생성

  1. 로그인한 서비스 계정을 사용하여 사용자 .pfx 인증서를 생성합니다. .pfx는 XenMobile에 업로드되며, XenMobile은 장치를 등록하는 사용자를 대신하여 사용자 인증서를 요청합니다.

  2. 현재 사용자에서 인증서를 확장합니다.

  3. 오른쪽 창에서 마우스 오른쪽 버튼을 클릭한 다음 새 인증서 요청을 클릭합니다.

    Microsoft Management Console

  4. 인증서 등록 화면이 나타납니다. 다음을 클릭합니다.

    Microsoft Management Console

  5. Active Directory 등록 정책을 선택한 다음 다음을 클릭합니다.

    Microsoft Management Console

  6. 사용자 템플릿을 선택한 다음 등록을 클릭합니다.

    Microsoft Management Console

  7. 이전 단계에서 생성한 .pfx 파일을 내보냅니다.

    Microsoft Management Console

  8. 예, 개인 키를 내보냅니다를 클릭합니다.

    Microsoft Management Console

  9. 가능한 경우 인증 경로의 모든 인증서 포함을 선택하고 모든 확장 속성 내보내기 확인란을 선택합니다.

    Microsoft Management Console

  10. 이 인증서를 XenMobile에 업로드할 때 사용할 암호를 설정합니다.

    Microsoft Management Console

  11. 하드 드라이브에 인증서를 저장합니다.

XenMobile에 인증서 업로드

  1. XenMobile 콘솔에서 오른쪽 상단 모서리에 있는 톱니바퀴 아이콘을 클릭합니다. 설정 화면이 나타납니다.

  2. 인증서를 클릭한 다음 가져오기를 클릭합니다.

  3. 다음 매개 변수를 입력합니다.

    • 가져오기: 키 저장소
    • 키 저장소 유형: PKCS #12
    • 용도: 서버
    • 키 저장소 파일: 생성한 .pfx 인증서를 선택하려면 찾아보기를 클릭합니다.
    • 암호: 이 인증서에 대해 생성한 암호를 입력합니다.

    인증서 구성 화면

  4. 가져오기를 클릭합니다.

  5. 인증서가 올바르게 설치되었는지 확인합니다. 올바르게 설치된 인증서는 사용자 인증서로 표시됩니다.

인증서 기반 인증을 위한 PKI 엔터티 생성

  1. 설정에서 더 보기 > 인증서 관리 > PKI 엔터티로 이동합니다.

  2. 추가를 클릭한 다음 Microsoft 인증서 서비스 엔터티를 클릭합니다. Microsoft 인증서 서비스 엔터티: 일반 정보 화면이 나타납니다.

  3. 다음 매개 변수를 입력합니다.

    • 이름: 원하는 이름을 입력합니다.
    • 웹 등록 서비스 루트 URL: https://RootCA-URL/certsrv/ (URL 경로에 마지막 슬래시(/)를 추가해야 합니다.)
    • certnew.cer 페이지 이름: certnew.cer (기본값)
    • certfnsh.asp: certfnsh.asp (기본값)
    • 인증 유형: 클라이언트 인증서
    • SSL 클라이언트 인증서: XenMobile 클라이언트 인증서를 발급하는 데 사용할 사용자 인증서를 선택합니다.

    인증서 구성 화면

  4. 템플릿에서 Microsoft 인증서를 구성할 때 생성한 템플릿을 추가합니다. 공백을 추가하지 마십시오.

    인증서 구성 화면

  5. HTTP 매개 변수를 건너뛴 다음 CA 인증서를 클릭합니다.

  6. 환경에 해당하는 루트 CA 이름을 선택합니다. 이 루트 CA는 XenMobile 클라이언트 인증서에서 가져온 체인의 일부입니다.

    인증서 구성 화면

  7. 저장을 클릭합니다.

자격 증명 공급자 구성

  1. 설정에서 더 보기 > 인증서 관리 > 자격 증명 공급자로 이동합니다.

  2. 추가를 클릭합니다.

  3. 일반에서 다음 매개 변수를 입력합니다.

    • 이름: 원하는 이름을 입력합니다.
    • 설명: 원하는 설명을 입력합니다.
    • 발급 엔터티: 이전에 생성한 PKI 엔터티를 선택합니다.
    • 발급 방법: SIGN
    • 템플릿: PKI 엔터티 아래에 추가된 템플릿을 선택합니다.

    자격 증명 공급자 구성 화면

  4. 인증서 서명 요청을 클릭한 다음 다음 매개 변수를 입력합니다.

    • 키 알고리즘: RSA
    • 키 크기: 2048
    • 서명 알고리즘: SHA256withRSA
    • 주체 이름: cn=$user.username

    주체 대체 이름의 경우 추가를 클릭한 다음 다음 매개 변수를 입력합니다.

    • 유형: 사용자 주체 이름
    • 값: $user.userprincipalname

    자격 증명 공급자 구성 화면

  5. 배포를 클릭하고 다음 매개 변수를 입력합니다.

    • 발급 CA 인증서: XenMobile 클라이언트 인증서에 서명한 발급 CA를 선택합니다.
    • 배포 모드 선택: 중앙 집중식 선호: 서버 측 키 생성을 선택합니다.

    자격 증명 공급자 구성 화면

  6. 다음 두 섹션인 해지 XenMobile해지 PKI의 경우 필요에 따라 매개 변수를 설정합니다. 이 예에서는 두 옵션 모두 건너뜁니다.

  7. 갱신을 클릭합니다.

  8. 인증서 만료 시 갱신의 경우 켜기를 선택합니다.

  9. 다른 모든 설정은 기본값으로 두거나 필요에 따라 변경합니다.

    자격 증명 공급자 구성 화면

  10. 저장을 클릭합니다.

인증서 기반 인증을 사용하도록 Secure Mail 구성

Secure Mail을 XenMobile에 추가할 때 앱 설정에서 Exchange 설정을 구성해야 합니다.

앱 구성 화면

XenMobile에서 Citrix ADC 인증서 전달 구성

  1. XenMobile 콘솔에 로그온하고 오른쪽 상단 모서리에 있는 톱니바퀴 아이콘을 클릭합니다. 설정 화면이 나타납니다.

  2. 서버에서 Citrix Gateway를 클릭합니다.

  3. Citrix Gateway가 아직 추가되지 않은 경우 추가를 클릭하고 설정을 지정합니다.

    • 외부 URL: https://YourCitrixGatewayURL
    • 로그온 유형: 인증서 및 도메인
    • 암호 필요: 끄기
    • 기본값으로 설정: 켜기
  4. 인증을 위한 사용자 인증서 전달의 경우 켜기를 선택합니다.

    Citrix Gateway 구성 화면

  5. 자격 증명 공급자의 경우 공급자를 선택한 다음 저장을 클릭합니다.

  6. 사용자 인증서에서 sAMAccount 특성을 사용자 주체 이름(UPN)의 대안으로 사용하려면 XenMobile에서 LDAP 커넥터를 다음과 같이 구성합니다. 설정 > LDAP로 이동하여 디렉터리를 선택하고 편집을 클릭한 다음 사용자 검색 기준에서 sAMAccountName을 선택합니다.

    LDAP 구성 화면

Citrix PIN 및 사용자 암호 캐싱 사용

Citrix PIN 및 사용자 암호 캐싱을 사용하려면 설정 > 클라이언트 속성으로 이동하여 Citrix PIN 인증 사용사용자 암호 캐싱 사용 확인란을 선택합니다. 자세한 내용은 클라이언트 속성을 참조하십시오.

클라이언트 인증서 구성 문제 해결

이전 구성과 Citrix Gateway 구성이 성공적으로 완료되면 사용자 워크플로는 다음과 같습니다.

  1. 사용자가 모바일 장치를 등록합니다.

  2. XenMobile은 사용자에게 Citrix PIN을 생성하라는 메시지를 표시합니다.

  3. 사용자는 XenMobile Store로 리디렉션됩니다.

  4. 사용자가 Secure Mail을 시작할 때 XenMobile은 사서함 구성을 위한 사용자 자격 증명을 요청하지 않습니다. 대신 Secure Mail은 Secure Hub에서 클라이언트 인증서를 요청하고 인증을 위해 Microsoft Exchange Server에 제출합니다. 사용자가 Secure Mail을 시작할 때 XenMobile이 자격 증명을 요청하면 구성을 확인하십시오.

사용자가 Secure Mail을 다운로드하여 설치할 수 있지만 사서함 구성 중에 Secure Mail이 구성을 완료하지 못하는 경우:

  1. Microsoft Exchange Server ActiveSync가 개인 SSL 서버 인증서를 사용하여 트래픽을 보호하는 경우, 모바일 장치에 루트/중간 인증서가 설치되어 있는지 확인하십시오.

  2. ActiveSync에 대해 선택된 인증 유형이 클라이언트 인증서 필요인지 확인하십시오.

    Microsoft ActiveSync 속성 화면

  3. Microsoft Exchange Server에서 Microsoft-Server-ActiveSync 사이트를 확인하여 클라이언트 인증서 매핑 인증이 사용하도록 설정되어 있는지 확인하십시오. 기본적으로 클라이언트 인증서 매핑 인증은 사용하지 않도록 설정되어 있습니다. 이 옵션은 구성 편집기 > 보안 > 인증 아래에 있습니다.

    Microsoft ActiveSync 구성 화면

    True를 선택한 후 변경 사항을 적용하려면 적용을 클릭해야 합니다.

  4. XenMobile 콘솔에서 Citrix Gateway 설정을 확인하십시오. 인증을 위한 사용자 인증서 전달켜기로 설정되어 있고 자격 증명 공급자에 올바른 프로필이 선택되어 있는지 확인하십시오.

클라이언트 인증서가 모바일 장치로 전달되었는지 확인하려면

  1. XenMobile 콘솔에서 관리 > 장치로 이동하여 장치를 선택합니다.

  2. 편집 또는 더 보기를 클릭합니다.

  3. 배달 그룹 섹션으로 이동하여 다음 항목을 검색합니다.

    Citrix Gateway 자격 증명: 요청된 자격 증명, CertId=

클라이언트 인증서 협상이 사용하도록 설정되었는지 확인하려면

  1. netsh 명령을 실행하여 IIS 웹 사이트에 바인딩된 SSL 인증서 구성을 표시합니다.

    netsh http show sslcert

  2. 클라이언트 인증서 협상 값이 사용 안 함인 경우 다음 명령을 실행하여 사용하도록 설정합니다.

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    예시:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable