Product Documentation

자격 증명 공급자

Feb 21, 2018

자격 증명 공급자는 XenMobile 시스템의 다양한 부분에서 사용하는 실제 인증서 구성입니다. 자격 증명 공급자는 인증서가 장치 구성의 일부인지, 아니면 장치에 그대로 푸시된 독립 실행형인지 여부와 관계없이 인증서의 출처, 매개 변수 및 수명주기를 정의합니다.

장치 등록은 인증서 수명주기를 제한합니다. 즉, XenMobile은 등록 과정에서 일부 인증서를 발급할 수 있지만 등록 전에는 인증서를 발급하지 않습니다. 또한 등록이 해지되면 하나의 등록 컨텍스트 내에서 내부 PKI에 의해 발급된 인증서가 해지됩니다. 관리 관계가 종료된 후에는 유효한 인증서가 남아 있지 않습니다.

단일 구성이 동시에 여러 개의 인증서를 관리할 수 있도록 여러 곳에서 단일 자격 증명 공급자 구성을 사용할 수 있습니다. 통일성은 배포 리소스 및 배포에 기반합니다. 예를 들어 자격 증명 공급자 P가 구성 C의 일부로 장치 D에 배포된 경우 P에 대한 발급 설정은 D에 배포된 인증서를 결정합니다. 마찬가지로 D에 대한 갱신 설정은 C가 업데이트될 때 적용되며 D에 대한 해지 설정도 C가 삭제되거나 D가 해지될 때 적용됩니다.

이 사실을 고려하면, XenMobile의 자격 증명 공급자 구성은 다음을 수행합니다.

  • 인증서 출처를 결정합니다.
  • 인증서를 얻는 방법을 결정합니다. 즉, 새 인증서에 서명하거나 기존 인증서 및 키 쌍을 가져옵니다(복구).
  • 발급 또는 복구를 위한 매개 변수를 결정합니다. 예를 들어 키 크기, 키 알고리즘, 고유 이름, 인증서 확장 등과 같은 CSR(인증서 서명 요청) 매개 변수를 결정합니다.
  • 인증서가 장치로 전달되는 방식을 결정합니다.
  • 해지 조건을 결정합니다. XenMobile에서 관리 관계가 끊어지면 모든 인증서가 해지되지만 구성에서 만료 이전에 해지되도록 지정할 수 있습니다. 예를 들어 연결된 장치 구성이 삭제된 경우 인증서가 해지되도록 구성할 수 있습니다. 또한 특정 조건에서는 XenMobile에서 관련 인증서의 해지가 백엔드 PKI(공개 키 인프라)로 전송될 수 있습니다. 즉, XenMobile의 해지로 인해 PKI에서 해지될 수 있습니다.
  • 갱신 설정을 결정합니다. 지정된 자격 증명 공급자를 통해 얻은 인증서는 만료 날짜가 가까워지면 자동으로 갱신될 수 있습니다. 또한 이러한 상황과 별도로 만료 날짜가 가까워지면 알림이 발행될 수 있습니다.

다양한 구성 옵션을 사용할 수 있는 범위는 주로 자격 증명 공급자에 대해 선택한 PKI 엔터티 및 발급 방법의 유형에 따라 다릅니다.

인증서 발급 방법

발급 방법이라고 하는 두 가지 방법으로 인증서를 얻을 수 있습니다.

  • 서명. 이 방법을 사용할 경우 발급에 새 개인 키를 만들고, CSR을 만들고, 서명을 위해 CSR을 CA(인증 기관)에 제출하는 과정이 포함됩니다. XenMobile은 세 가지 PKI 엔터티(MS 인증서 서비스 엔터티, 제네릭 PKI 및 임의의 CA)에 대한 서명 방법을 지원합니다.
  • 가져오기. 이 방법을 사용할 경우 XenMobile에서 발급은 기존 키 쌍을 복구하는 것입니다. XenMobile은 제네릭 PKI에 대해서만 가져오기 방법을 지원합니다.

자격 증명 공급자는 서명 또는 가져오기 발급 방법을 사용합니다. 선택한 방법에 따라 사용 가능한 구성 옵션이 달라집니다. 특히 CSR 구성 및 분산 전달은 발급 방법이 서명인 경우에만 사용할 수 있습니다. 가져온 인증서는 항상 PKCS#12로 장치에 전송되며, 이 형식은 서명 방법에 대한 중앙 집중식 전달 모드와 동일합니다.

인증서 제공

XenMobile에서는 중앙 집중식 모드와 분산 모드의 두 가지 인증서 전달 모드를 사용할 수 있습니다. 분산 모드는 SCEP(단순 인증서 등록 프로토콜)를 사용하며 클라이언트가 프로토콜을 지원하는 경우에만 사용할 수 있습니다(iOS만 해당). 일부 상황에서는 분산 모드가 필수입니다.

자격 증명 공급자가 분산(SCEP 지원) 전달을 지원하려면 RA(등록 기관) 인증서 설정이라는 특수한 구성 단계가 필요합니다. SCEP 프로토콜을 사용하는 경우 XenMobile이 실제 인증 기관의 대리인(등록 기관) 역할을 하기 때문에 RA 인증서가 필요합니다. XenMobile은 클라이언트에게 인증 기관의 역할을 수행할 권한이 있음을 입증해야 합니다. 이 권한은 앞서 언급한 인증서를 XenMobile에 업로드하여 설정됩니다.

단일 인증서로 두 가지 요구 사항을 모두 충족시킬 수 있지만, 두 가지 고유한 인증서 역할(RA 서명 및 RA 암호화)이 필요합니다. 이러한 역할에 대한 제약 조건은 다음과 같습니다.

  • RA 서명 인증서에는 X.509 키 사용 디지털 서명이 있어야 합니다.
  • RA 암호화 인증서에는 X.509 키 사용 키 암호화가 있어야 합니다.

자격 증명 공급자 RA 인증서를 구성하려면 XenMobile에 인증서를 업로드한 다음 자격 증명 공급자에서 인증서에 연결해야 합니다.

자격 증명 공급자는 인증서 역할에 대해 구성된 인증서가 있는 경우에만 분산 전달을 지원하는 것으로 간주됩니다. 중앙 집중식 모드를 선호하거나, 분산 모드를 선호하거나 또는 분산 모드를 요구하도록 각 자격 증명 공급자를 구성할 수 있습니다. 실제 결과는 컨텍스트에 따라 달라집니다. 컨텍스트가 분산 모드를 지원하지 않지만 자격 증명 공급자가 이 모드를 요구하면 배포가 실패합니다. 마찬가지로 컨텍스트에서 분산 모드를 요구하지만 자격 증명 공급자가 분산 모드를 지원하지 않으면 배포가 실패합니다. 다른 모든 경우에는 기본 설정이 적용됩니다.

다음 표에서는 XenMobile의 SCEP 배포를 보여 줍니다.

컨텍스트 SCEP 지원 SCEP 필요
iOS 프로필 서비스
iOS 모바일 기기 관리 등록 아니요
iOS 구성 프로필 아니요
SHTP 등록 아니요 아니요
SHTP 구성 아니요 아니요
Windows Phone 및 Tablet 등록 아니요 아니요
Windows Phone 및 Tablet 구성 아니요(Windows Phone 8.1 및 최신 Windows 10 릴리스에서 지원되는
WiFi 장치 정책 제외)
아니요

인증서 해지

해지에는 세 가지 유형이 있습니다.

  • 내부적 해지. 내부적 해지는 XenMobile에서 유지 관리하는 인증서 상태에 영향을 줍니다. 이 상태는 XenMobile에서 제시된 인증서를 평가할 때 또는 XenMobile이 일부 인증서에 대해 OCSP 상태 정보를 제공해야 하는 경우에 고려됩니다. 자격 증명 공급자 구성에 따라 다양한 조건에서 이러한 상태가 영향을 받는 방식이 결정됩니다. 예를 들어 자격 증명 공급자는 인증서가 장치에서 삭제된 경우 인증서 공급자를 통해 취득한 인증서가 해지된 것으로 플래그를 지정하도록 지정할 수 있습니다.
  • 외부에서 전파된 해지. 해지 XenMobile이라고 알려진 이 해지 유형은 외부 PKI에서 취득한 인증서에 적용됩니다. 자격 증명 공급자 구성에 정의된 조건에 따라 XenMobile에 의해 내부적으로 인증서가 해지되는 경우 PKI에서 인증서가 해지됩니다. 해지를 수행하는 요청에는 해지 가능한 일반 PKI(GPKI) 엔터티가 필요합니다.
  • 외부에서 유도된 해지. 해지 PKI라고 알려진 이 해지 유형도 외부 PKI에서 취득한 인증서에만 적용됩니다. XenMobile이 지정된 인증서 상태를 평가할 때마다 XenMobile은 해당 상태에 대해 PKI를 쿼리합니다. 인증서가 해지된 경우에는 XenMobile이 내부적으로 인증서를 해지합니다. 이 메커니즘에서 OCSP 프로토콜을 사용합니다.

이 세 가지 유형은 상호 배타적이 아니며, 오히려 함께 적용됩니다. 내부적 해지는 외부의 해지 또는 독립적 조사에 의해 이루어지며, 마찬가지로 내부 해지는 잠재적으로 외부 해지에 영향을 미칩니다.

인증서 갱신

인증서 갱신은 기존 인증서의 해지와 다른 인증서 발급의 조합입니다.

XenMobile은 발급 실패로 인한 서비스 중단을 방지하기 위해 이전 인증서를 해지하기 전에 먼저 새 인증서를 얻으려고 시도합니다. 분산(SCEP 지원) 전달을 사용하는 경우 인증서가 장치에 성공적으로 설치된 후에만 해지가 실행됩니다. 그렇지 않으면 새 인증서가 장치로 전송되기 전에 설치의 성공 또는 실패와 무관하게 해지가 발생합니다.

해지 구성에서 특정 기간(일)을 지정해야 합니다. 장치가 연결되면 서버는 인증서 NotAfter 날짜가 현재 날짜에서 지정된 기간을 뺀 날짜보다 이후인지 여부를 확인합니다. 그렇다면 갱신을 시도합니다.

자격 증명 공급자 생성

자격 증명 공급자 구성은 주로 자격 증명 공급자에 대해 선택한 발급 엔터티 및 발급 방법의 요인에 따라 달라집니다. 내부 엔터티 또는 외부 엔터티를 사용하는 자격 증명 공급자를 구분할 수 있습니다.

  • XenMobile에 대해 내부인 임의의 엔터티는 내부 엔터티입니다. 임의의 엔터티에 대한 발급 방법은 항상 서명입니다. 즉, 발급 작업을 수행할 때마다 XenMobile이 엔터티에 대해 선택된 CA 인증서로 새 키 쌍을 서명합니다. 키 쌍이 장치에서 생성되는지, 아니면 서버에서 생성되는지는 선택한 배포 방법에 따라 다릅니다.

  • 회사 인프라의 일부인 외부 엔터티에는 Microsoft CA 또는 GPKI가 포함됩니다.

자격 증명 공급자 생성을 포함한 Symantec 관리 PKI 설정에 대한 자세한 내용은 PKI 엔터티의 "Symantec 관리 PKI"를 참조하십시오.

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭하고 자세히 > 자격 증명 공급자를 클릭합니다.

2. 자격 증명 공급자 페이지에서 추가를 클릭합니다.

자격 증명 공급자: 일반 정보 페이지가 나타납니다.

3. 자격 증명 공급자: 일반 정보 페이지에서 다음을 수행합니다.

  • 이름: 새 공급자 구성의 고유한 이름을 입력합니다. 이 이름은 나중에 XenMobile 콘솔의 다른 부분에서 구성을 참조할 때 사용됩니다.
  • 설명: 자격 증명 공급자를 설명합니다. 이 필드는 선택 사항이지만 나중에 이 자격 증명 공급자에 대한 세부 정보를 기억할 때 설명이 유용할 수 있습니다.
  • 발급 엔터티: 인증서 발급 엔터티를 클릭합니다.
  • 발급 방법: 시스템이 구성된 엔터티에서 인증서를 가져올 때 사용할 방법으로 서명 또는 가져오기를 클릭합니다. 클라이언트 인증서 인증의 경우 서명을 사용합니다.
  • 템플릿 목록을 사용할 수 있는 경우 자격 증명 공급자에 대한 PKI 엔터티 아래에 추가한 템플릿을 선택합니다.

4. 다음을 클릭합니다.

참고: 설정 > PKI 엔터티에서 Microsoft 인증서 서비스 엔터티를 추가하면 이러한 템플릿을 사용할 수 있게 됩니다.

자격 증명 공급자: 인증서 서명 요청 페이지가 나타납니다.

5. 자격 증명 공급자: 인증서 서명 요청 페이지에서 인증서 구성에 따라 다음을 구성합니다.

  • 키 알고리즘: 새 키 쌍에 대한 키 알고리즘을 선택합니다. 사용 가능한 값은 RSA, DSA ECDSA입니다.
  • 키 크기: 키 쌍의 크기(비트)를 입력합니다. 이것은 필수 필드입니다.

    참고: 허용되는 값은 키 유형에 따라 다릅니다. 예를 들어, DSA 키의 최대 크기는 1024비트입니다. 기본 하드웨어 및 소프트웨어에 따라 달라질 수 있는 거짓 음성 반응을 방지하기 위해 XenMobile은 키 크기를 강제하지 않습니다. 자격 증명 공급자 구성을 프로덕션 환경에서 활성화하기 전에 항상 테스트 환경에서 테스트해야 합니다.

  • 서명 알고리즘: 새 인증서에 대한 값을 클릭합니다. 값은 키 알고리즘에 따라 달라집니다.
  • 주체 이름: 필수 항목입니다. 새 인증서 주체의 DN(고유 이름)을 입력합니다. 예:
    CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation

예를 들어 클라이언트 인증서 인증의 경우 다음 설정을 사용합니다.

키 알고리즘: RSA
키 크기: 2048
서명 알고리즘: SHA1withRSA
주체 이름: cn=$user.username

6. 주체 대체 이름 테이블에 새 항목을 추가하려면 추가를 클릭합니다. 대체 이름의 유형을 선택하고 두 번째 열에 값을 입력합니다.

클라이언트 인증서 인증의 경우 다음을 지정합니다.

유형: 사용자 계정 이름
: $user.userprincipalname

참고: 주체 이름과 마찬가지로 값 필드에 XenMobile 매크로를 사용할 수 있습니다.

7. 다음을 클릭합니다.

자격 증명 공급자: 배포 페이지가 나타납니다.

8. 자격 증명 공급자: 배포 페이지에서 다음을 수행합니다.

  • CA 인증서 발급 목록에서 제공된 CA 인증서를 클릭합니다. 자격 증명 공급자가 임의의 CA 엔터티를 사용하기 때문에 자격 증명 공급자에 대한 CA 인증서는 항상 엔터티 자체에서 구성된 CA 인증서입니다. 여기에서 이 엔터티를 설명하는 이유는 외부 엔터티를 사용하는 구성과의 일관성을 위한 것입니다.
  • 배포 모드 선택에서 다음과 같은 키 생성 및 배포 방법 중 하나를 클릭합니다.
    • 중앙 집중식 선호: 서버측 키 생성. 이 중앙 집중식 옵션을 사용하는 것이 좋습니다. 이 옵션은 XenMobile에서 지원하는 모든 플랫폼을 지원하며 NetScaler Gateway 인증을 사용할 때 필요합니다. 개인 키가 생성되어 서버에 저장되고 사용자 장치에 배포됩니다.
    • 분산식 선호: 장치측 키 생성. 개인 키가 생성되어 사용자 장치에 저장됩니다. 이 분산 모드에서는 SCEP를 사용하며 keyUsage keyEncryption을 사용한 RA 암호화 인증서와 KeyUsage digitalSignature를 사용한 RA 서명 인증서가 필요합니다. 암호화와 서명에 모두 동일한 인증서를 사용할 수 있습니다.
    • 분산 전용: 장치측 키 생성. 이 옵션은 "선호"가 아닌 "전용"이기 때문에 장치 측 키 생성이 실패하거나 사용할 수 없는 경우 사용할 수 있는 옵션이 없다는 것을 제외하면 분산식 선호: 장치측 키 생성과 동일하게 작동합니다.

분산식 선호: 장치측 키 생성 또는 분산 전용: 장치측 키 생성을 선택한 경우 RA 서명 인증서 및 RA 암호화 인증서를 클릭합니다. 둘 모두에 동일한 인증서를 사용할 수 있습니다. 인증서에 대한 새 필드가 나타납니다.

9. 다음을 클릭합니다.

자격 증명 공급자: 해지 XenMobile 페이지가 나타납니다. 이 페이지에서 XenMobile이 이 공급자 구성을 통해 발급된 인증서를 어떤 조건일 때 내부적으로 해지된 것으로 플래그 지정해야 하는지를 구성합니다.

12. 자격 증명 공급자: 해지 XenMobile 페이지에서 다음을 수행합니다.

  • 발급된 인증서 해지에서 인증서가 해지되어야 하는 때를 나타내는 옵션 중 하나를 선택합니다.
  • 인증서가 해지될 때 XenMobile이 알림을 보내게 하려면 알림 보내기의 값을 켜짐으로 설정하고 알림 템플릿을 선택합니다.
  • XenMobile에서 인증서가 해지되었을 때 PKI에서 인증서를 해지하려면 PKI에 대한 인증서 해지켜짐으로 설정하고 엔터티 목록에서 템플릿을 클릭합니다. 엔터티 목록에 해지 기능이 있는 모든 사용 가능한 GPKI 엔터티가 표시됩니다. XenMobile에서 인증서가 해지되면 해지 요청이 엔터티 목록에서 선택된 PKI로 전송됩니다.

13. 다음을 클릭합니다.

자격 증명 공급자: 해지 PKI 페이지가 나타납니다. 이 페이지에서 인증서가 해지된 경우 PKI에서 수행할 동작을 식별합니다. 알림 메시지를 생성하는 옵션도 사용할 수 있습니다.

14. PKI에서 인증서를 해지하려면 자격 증명 공급자: 해지 PKI 페이지에서 다음을 수행합니다.

  • 외부 해지 확인 사용 설정을 켜짐으로 변경합니다. 해지 PKI와 관련된 추가 필드가 나타납니다.
  • OCSP 응답자 CA 인증서 목록에서 인증서 주체의 DN(고유 이름)을 클릭합니다. 참고: DN 필드 값에 XenMobile 매크로를 사용할 수 있습니다. 예: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
  • 인증서가 해지된 경우 목록에서 다음 동작 중 하나를 클릭하여 인증서가 해지될 때 PKI 엔터티에서 수행되게 합니다.

아무 작업도 하지 않음.

인증서 갱신.

장치 해지 및 초기화.

  • 인증서가 해지될 때 XenMobile이 알림을 보내게 하려면 알림 보내기의 값을 켜짐으로 설정합니다.

두 알림 옵션 중에서 선택할 수 있습니다.

  • 알림 템플릿 선택을 선택한 경우 미리 작성된 알림 메시지를 선택하여 사용자 지정할 수 있습니다. 이러한 템플릿은 알림 템플릿 목록에 있습니다.
  • 알림 세부 정보 입력을 선택한 경우 고유한 알림 메시지를 작성할 수 있습니다. 받는 사람의 전자 메일 주소와 메시지를 제공하는 것 외에도 알림을 보내는 빈도를 설정할 수 있습니다.

15. 다음을 클릭합니다.

자격 증명 공급자: 갱신 페이지가 나타납니다. 이 페이지에서 다음을 수행하도록 XenMobile을 구성할 수 있습니다.

  • 인증서를 갱신하고, 선택적으로 작업이 완료될 때 알림을 보내고(갱신 시 알림), 선택적으로 이미 만료된 인증서를 작업에서 제외합니다.
  • 만료가 임박한 인증서에 대한 알림을 실행합니다(갱신 전 알림).

16. 인증서가 만료될 경우 인증서를 갱신하려면 자격 증명 공급자: 갱신 페이지에서 다음을 수행합니다. 인증서가 만료될 때 갱신켜짐으로 설정합니다.

추가 필드가 나타납니다.

  • 인증서가 다음 기간 내에 있는 경우 갱신 필드에 갱신을 해야 하는 만료 전 일 수를 입력합니다.
  • 선택적으로, 이미 만료된 인증서는 갱신하지 않음을 선택합니다. 참고: 이 경우 "이미 만료"되었다는 의미는 인증서가 해지되었다는 것이 아니라 인증서의 NotAfter 날짜가 지났다는 것입니다. XenMobile은 내부적으로 해지된 인증서를 갱신하지 않습니다.

17. 인증서가 갱신되었을 때 XenMobile이 알림을 보내게 하려면 알림 보내기켜짐으로 설정합니다. 두 알림 옵션 중에서 선택할 수 있습니다.

  • 알림 템플릿 선택을 선택한 경우 미리 작성된 알림 메시지를 선택하여 사용자 지정할 수 있습니다. 이러한 템플릿은 알림 템플릿 목록에 있습니다.
  • 알림 세부 정보 입력을 선택한 경우 고유한 알림 메시지를 작성할 수 있습니다. 받는 사람의 전자 메일 주소와 메시지를 제공하는 것 외에도 알림을 보내는 빈도를 설정할 수 있습니다.

18. 인증서의 만료가 임박한 경우 XenMobile이 알림을 보내게 하려면 인증서 만료가 다가오면 알림켜짐으로 설정합니다. 두 알림 옵션 중에서 선택할 수 있습니다.

  • 알림 템플릿 선택을 선택한 경우 미리 작성된 알림 메시지를 선택하여 사용자 지정할 수 있습니다. 이러한 템플릿은 알림 템플릿 목록에 있습니다.
  • 알림 세부 정보 입력을 선택한 경우 고유한 알림 메시지를 작성할 수 있습니다. 받는 사람의 전자 메일 주소와 메시지를 제공하는 것 외에도 알림을 보내는 빈도를 설정할 수 있습니다.

19. 인증서가 다음 기간 내에 있는 경우 알림 필드에 알림을 보내야 하는 인증서의 만료 전 일 수를 입력합니다.

20. 저장을 클릭합니다.

자격 증명 공급자가 자격 증명 공급자 테이블에 추가됩니다.