XenMobile Server

PKI 엔터티

XenMobile PKI(공개 키 인프라) 엔터티 구성은 실제 PKI 작업(발급, 해지 및 상태 정보)을 수행하는 구성 요소를 나타냅니다. 이러한 구성 요소는 XenMobile의 내부 또는 외부 구성 요소입니다. 내부 구성 요소는 임의 구성 요소라고 합니다. 외부 구성 요소는 기업 인프라의 일부입니다.

XenMobile은 다음과 같은 PKI 엔터티 유형을 지원합니다.

  • Microsoft 인증서 서비스

  • 임의의 CA(인증 기관)

XenMobile은 다음과 같은 CA 서버를 지원합니다.

  • Windows Server 2019
  • Windows Server 2016

참고:

Windows Server 2012 R2, 2012 및 2008 R2는 수명이 다하여 더 이상 지원되지 않습니다. 자세한 내용은 Microsoft 제품 수명 주기 설명서를 참조하십시오.

일반적인 PKI 개념

유형에 관계없이 모든 PKI 엔터티는 다음과 같은 하위 집합의 기능을 갖습니다.

  • 서명: CSR(인증서 서명 요청)을 기반으로 새 인증서 발급
  • 가져오기: 기존 인증서 및 키 쌍 복구
  • 해지: 클라이언트 인증서 해지

CA 인증서 정보

PKI 엔터티를 구성하는 경우 해당 엔터티에 의해 발급(또는 복구)되는 인증서의 서명자가 어느 CA 인증서인지를 XenMobile에 알립니다. 이 PKI 엔터티는 개수에 제한 없이 서로 다른 CA가 서명한(가져오거나 새로 서명된) 인증서를 반환할 수도 있습니다.

PKI 엔터티 구성의 일환으로 이러한 각 CA의 인증서를 제공합니다. 이를 위해 인증서를 XenMobile에 업로드한 후 PKI 엔터티에서 참조해야 합니다. 임의 discretionary CA의 경우 인증서는 묵시적으로 서명 CA 인증서이지만 외부 엔터티의 경우 인증서를 수동으로 지정해야 합니다.

중요:

Microsoft 인증서 서비스 엔터티 템플릿을 생성할 때 등록된 장치와 관련된 인증 문제를 방지하려면 특수 문자를 템플릿 이름에 사용하지 마십시오. 예를 들어 다음을 사용하지 마십시오. ! : $ ( ) # % + * ~ ? | { } [ ]

Microsoft 인증서 서비스

XenMobile은 웹 등록 인터페이스를 통해 Microsoft 인증서 서비스와 상호 작용합니다. XenMobile은 그 인터페이스를 통해 새 인증서 발급만 지원합니다. Microsoft CA에서 Citrix Gateway 사용자 인증서를 생성하면 Citrix Gateway가 해당 인증서의 갱신과 해지를 지원합니다.

XenMobile에서 Microsoft CA PKI 엔터티를 만들려면 인증서 서비스 웹 인터페이스의 기본 URL을 지정해야 합니다. 원할 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 인증서 서비스 웹 인터페이스 간의 연결을 보호할 수 있습니다.

Microsoft 인증서 서비스 엔터티 추가

  1. XenMobile 콘솔에서 콘솔의 오른쪽 맨 위에 있는 기어 아이콘을 클릭하고 PKI 엔터티를 클릭합니다.

  2. PKI 엔터티 페이지에서 추가를 클릭합니다.

    PKI 엔터티 유형에 대한 메뉴가 나타납니다.

  3. Microsoft 인증서 서비스 엔터티를 클릭합니다.

    Microsoft 인증서 서비스 엔터티: 일반 정보 페이지가 나타납니다.

  4. Microsoft 인증서 서비스 엔터티: 일반 정보 페이지에서 다음 설정을 구성합니다.

    • 이름: 나중에 엔터티를 참조하는 데 사용할 새 엔터티 이름을 입력합니다. 엔터티 이름은 고유해야 합니다.
    • 웹 등록 서비스 루트 URL: Microsoft CA 웹 등록 서비스의 기본 URL(예: https://192.0.2.13/certsrv/)을 입력합니다. URL은 일반 HTTP 또는 HTTP-over-SSL을 사용할 수 있습니다.
    • certnew.cer 페이지 이름: certnew.cer 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
    • certfnsh.asp: certfnsh.asp 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
    • 인증 유형: 사용하려는 인증 방법을 선택합니다.
      • 없음
      • HTTP 기본: 연결하는 데 필요한 사용자 이름 및 암호를 입력합니다.
      • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.
  5. 연결 테스트를 클릭하여 서버에 액세스할 수 있는지 확인합니다. 액세스할 수 없는 경우 연결에 실패했음을 알리는 메시지가 나타납니다. 구성 설정을 확인합니다.

  6. 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: 템플릿 페이지가 나타납니다. 이 페이지에서는 해당 Microsoft CA가 지원하는 템플릿의 내부 이름을 지정합니다. 자격 증명 공급자를 만들 때 여기에 정의된 목록에서 템플릿을 선택합니다. 이 엔터티를 사용하는 모든 자격 증명 공급자가 해당 템플릿 하나만 사용합니다.

    Microsoft 인증서 서비스 템플릿 요구 사항은 해당 Microsoft 서버 버전에 대한 Microsoft 설명서를 참조하십시오. XenMobile에는 인증서에 명시된 인증서 형식을 제외하고 배포하는 인증서에 대한 요구 사항이 없습니다.

  7. Microsoft 인증서 서비스 엔터티: 템플릿 페이지에서 추가를 클릭하고 템플릿 이름을 입력한 후 저장을 클릭합니다. 추가할 각 템플릿에 대해 이 단계를 반복합니다.

  8. 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지가 나타납니다. 이 페이지에서는 XenMobile이 Microsoft 웹 등록 인터페이스에 대한 HTTP 요청에 추가해야 하는 사용자 지정 매개 변수를 지정합니다. 사용자 지정 매개 변수는 CA에서 실행되는 사용자 지정 스크립트에만 유용합니다.

  9. Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지에서 추가를 클릭하고 추가할 HTTP 매개 변수의 이름과 값을 입력한 후 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: CA 인증서 페이지가 나타납니다. 이 페이지에서는 시스템이 이 엔터티를 통해 얻는 인증서의 서명자를 XenMobile에 알려야 합니다. CA 인증서가 갱신되면 XenMobile에서 인증서를 업데이트합니다. XenMobile이 변경 내용을 투명하게 엔터티에 적용합니다.

  10. Microsoft 인증서 서비스 엔터티: CA 인증서 페이지에서 엔터티에 사용할 인증서를 선택합니다.

  11. 저장을 클릭합니다.

    PKI 엔터티 테이블에 해당 엔터티가 나타납니다.

Citrix ADC CRL(인증서 해지 목록)

XenMobile은 타사 인증 기관에 대해서만 CRL(인증서 해지 목록)을 지원합니다. Microsoft CA가 구성된 경우 XenMobile은 Citrix ADC를 사용하여 인증서 해지를 관리합니다.

클라이언트 인증서 기반 인증을 구성하는 경우 Citrix ADC CRL(인증서 해지 목록) 설정인 Enable CRL Auto Refresh(CRL 자동 새로 고침 사용)를 구성할지 여부를 고려합니다. 이 단계는 MAM 전용 모드의 장치 사용자가 장치의 기존 인증서를 사용하여 인증할 수 없도록 합니다.

XenMobile에서는 인증서가 해지된 경우 사용자가 사용자 인증서를 생성할 수 있으므로 새 인증서가 다시 발급됩니다. 이 설정을 사용하면 CRL이 만료된 PKI 엔터티를 확인하는 경우 PKI 엔터티의 보안이 강화됩니다.

임의의 CA

임의의 CA는 CA 인증서와 연결된 개인 키를 XenMobile에 제공하는 경우 만들어집니다. XenMobile은 지정된 매개 변수에 따라 인증서 발급, 해지 및 상태 정보를 내부적으로 처리합니다.

임의의 CA를 구성하는 경우 해당 CA에 대한 OCSP(온라인 인증서 상태 프로토콜) 지원을 활성화할 수 있습니다. OCSP 지원을 사용하도록 설정한 경우에 한해 CA는 id-pe-authorityInfoAccess 확장을 CA가 발급한 인증서에 추가합니다. 이 확장은 다음 위치의 XenMobile 내부 OCSP Responder를 가리킵니다.

https://<server>/<instance>/ocsp

OCSP 서비스를 구성하는 경우 해당 임의의 엔터티에 대한 OCSP 서명 인증서를 지정합니다. CA 인증서 자체를 서명자로 사용할 수 있습니다. CA 개인 키의 불필요한 노출을 방지하려면(권장) CA 인증서로 서명된 위임자 OCSP 서명 인증서를 만들고 id-kp-OCSPSigning extendedKeyUsage 확장을 포함합니다.

XenMobile OCSP 응답자 서비스는 기본 OCSP 응답과 다음 해시 알고리즘을 요청에 지원합니다.

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

응답은 SHA-256 및 서명 인증서 키 알고리즘(DSA, RSA 또는 ECDSA)으로 서명됩니다.

임의의 CA 추가

  1. XenMobile 콘솔에서 콘솔의 오른쪽 맨 위에 있는 기어 아이콘을 클릭하고 자세히 > PKI 엔터티를 클릭합니다.

  2. PKI 엔터티 페이지에서 추가를 클릭합니다.

    PKI 엔터티 유형에 대한 메뉴가 나타납니다.

  3. 임의의 CA를 클릭합니다.

    임의의 CA: 일반 정보 페이지가 나타납니다.

  4. 임의의 CA: 일반 정보 페이지에서 다음을 수행합니다.

    • 이름: 임의의 CA를 설명하는 이름을 입력합니다.
    • 인증서 요청에 서명할 CA 인증서: 인증서 요청에 서명하는 데 사용할 임의의 CA용 인증서를 클릭합니다.

      XenMobile에서 구성 > 설정 > 인증서를 통해 업로드한 개인 키를 사용하여 CA 인증서에서 인증서 목록이 생성됩니다.

  5. 다음을 클릭합니다.

    임의의 CA: 매개 변수 페이지가 나타납니다.

  6. 임의의 CA: 매개 변수 페이지에서 다음을 수행합니다.

    • 일련 번호 생성기: 임의의 CA가 발급한 인증서에 대한 일련 번호를 생성합니다. 이 목록에서 순차적 또는 비순차적을 클릭하여 숫자가 생성되는 방식을 지정합니다.
    • 다음 일련 번호: 다음번 발급될 번호를 지정하는 값을 입력합니다.
    • 인증서 유효 기간: 인증서가 유효한 일 수를 입력합니다.
    • 키 사용: 해당 키를 켜짐으로 설정하여 임의의 CA에서 발급하는 인증서의 용도를 지정합니다. 이 항목을 설정하면 해당 CA가 지정된 용도로만 인증서를 발급할 수 있게 됩니다.
    • 확장 키 사용: 매개 변수를 더 추가하려면 추가를 클릭하고 키 이름을 입력한 후 저장을 클릭합니다.
  7. 다음을 클릭합니다.

    임의의 CA: 배포 페이지가 나타납니다.

  8. 임의의 CA: 배포 페이지에서 배포 모드를 선택합니다.

    • 중앙 집중식: 서버측 키 생성. 중앙 집중식 옵션을 사용하는 것이 좋습니다. 개인 키가 생성되어 서버에 저장되고 사용자 장치에 배포됩니다.
    • 분산: 장치측 키 생성. 개인 키가 사용자 장치에 생성됩니다. 이 분산 모드에서는 SCEP를 사용하며 keyUsage keyEncryption 확장의 RA 암호화 인증서와 keyUsage digitalSignature 확장의 RA 서명 인증서가 필요합니다. 암호화와 서명에 모두 동일한 인증서를 사용할 수 있습니다.
  9. 다음을 클릭합니다.

    임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지가 나타납니다.

    임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지에서 다음을 수행합니다.

    • 이 CA가 서명한 인증서에 AuthorityInfoAccess(RFC2459) 확장을 추가하려면 이 CA에 OCSP 지원 사용켜짐으로 설정합니다. 이 확장은 CA OCSP Responder(https://<server>/<instance>/ocsp)를 가리킵니다.
    • OCSP 지원을 사용하도록 설정한 경우 OSCP 서명 CA 인증서를 선택합니다. XenMobile에 업로드한 CA 인증서에서 인증서 목록이 생성됩니다.
  10. 저장을 클릭합니다.

    PKI 엔터티 테이블에 임의의 CA가 나타납니다.

PKI 엔터티