Product Documentation

PKI 엔터티

Feb 21, 2018

XenMobile PKI(공개 키 인프라) 엔터티 구성은 실제 PKI 작업(발급, 해지 및 상태 정보)을 수행하는 구성 요소를 나타냅니다. 이러한 구성 요소는 XenMobile의 내부 또는 외부 구성 요소입니다. 내부 구성 요소는 임의 구성 요소라고 합니다. 외부 구성 요소는 기업 인프라의 일부입니다.

XenMobile은 다음과 같은 PKI 엔터티 유형 을 지원합니다.

  • GPKI(제네릭 PKI)

XenMobile Server GPKI 지원에는 Symantec 관리 PKI가 포함됩니다.

  • Microsoft 인증서 서비스
  • 임의의 CA(인증 기관)

XenMobile은 다음과 같은 CA 서버를 지원합니다.

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

일반적인 PKI 개념

유형에 관계없이 모든 PKI 엔터티는 다음과 같은 하위 집합의 기능을 갖습니다.

  • 서명: CSR(인증서 서명 요청)을 기반으로 새 인증서 발급
  • 가져오기: 기존 인증서 및 키 쌍 복구
  • 해지: 클라이언트 인증서 해지

CA 인증서 정보

PKI 엔터티를 구성하는 경우 해당 엔터티에 의해 발급(또는 복구)되는 인증서의 서명자가 어느 CA 인증서인지를 XenMobile에 알립니다. 이 PKI 엔터티는 개수에 제한 없이 서로 다른 CA가 서명한(가져오거나 새로 서명된) 인증서를 반환할 수도 있습니다.

PKI 엔터티 구성의 일환으로 이러한 각 CA의 인증서를 제공합니다. 이를 위해 인증서를 XenMobile에 업로드한 후 PKI 엔터티에서 참조해야 합니다. 임의 discretionary CA의 경우 인증서는 묵시적으로 서명 CA 인증서이지만 외부 엔터티의 경우 인증서를 수동으로 지정해야 합니다.

Important

Microsoft 인증서 서비스 엔터티 템플릿을 생성할 때 등록된 장치와 관련된 인증 문제를 방지하려면 특수 문자를 템플릿 이름에 사용하지 마십시오. 예: ! : $ ( ) # % + * ~ ? | { } [ ]

제네릭 PKI

GPKI(제네릭 PKI) 프로토콜은 다양한 PKI 솔루션과의 일관된 인터페이스를 제공하기 위해 SOAP 웹 서비스 계층을 통해 실행되는 XenMobile 고유 프로토콜입니다. GPKI 프로토콜은 다음 세 가지 기본 PKI 작업을 정의합니다.

  • 서명: 어댑터가 CSR을 생성하고, 이를 PKI에 전송하고, 새로 서명된 인증서를 반환할 수 있습니다.
  • 가져오기: 어댑터가 입력 매개 변수에 따라 PKI에서 기존 인증서 및 키 쌍을 검색(복구)할 수 있습니다.
  • 해지: 어댑터가 PKI로 하여금 해당 인증서를 해지하도록 할 수 있습니다.

GPKI 프로토콜을 받는 측은 GPKI 어댑터입니다. 어댑터는 기본 작업을 해당 용도별 PKI 유형으로 변환합니다. 예를 들어, RSA용 GPKI 어댑터와 Entrust용 GPKI 어댑터 등이 있습니다.

GPKI 어댑터는 SOAP 웹 서비스 끝점이며, 자체 설명형 WSDL(Web Services Description Language)을 게시합니다. GPKI PKI 엔터티를 만들어 URL을 사용하거나 파일 자체를 업로드함으로써 XenMobile에 WSDL 정의를 제공할 수 있습니다.

어댑터에서 각 PKI 작업에 대한 지원은 선택 사항입니다. 어댑터가 지정된 작업을 지원하는 경우 어댑터가 해당 기능(서명, 가져오기 또는 해지)을 갖는다고 합니다. 이러한 각 기능은 일련의 사용자 매개 변수에 연결할 수 있습니다.

사용자 매개 변수는 특정 작업을 위해 GPKI 어댑터에서 정의되었으며 XenMobile에 해당 값을 제공해야 하는 매개 변수입니다. XenMobile은 WSDL 파일을 구문 분석하여 어댑터가 지원하는 작업과 각 작업을 위해 어댑터에 필요한 매개 변수를 결정합니다. 원할 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 GPKI 어댑터 간의 연결을 보호할 수 있습니다.

제네릭 PKI를 추가하려면

1. XenMobile 콘솔에서 설정 > PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

localized image

3. 제네릭 PKI 엔터티를 클릭합니다.

제네릭 PKI 엔터티: 일반 정보 페이지가 나타납니다.

localized image

4. 제네릭 PKI 엔터티: 일반 정보 페이지에서 다음을 수행합니다.

  • 이름: PKI 엔터티를 설명하는 이름을 입력합니다.
  • WSDL URL: 어댑터를 설명하는 WSDL의 위치를 입력합니다.
  • 인증 유형: 사용하려는 인증 방법을 클릭합니다.
  • 없음
  • HTTP 기본: 어댑터에 연결하는 데 필요한 사용자 이름 및 암호를 입력합니다.
  • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.

5. 다음을 클릭합니다.

제네릭 PKI 엔터티: 어댑터 기능 페이지가 나타납니다.

6. 제네릭 PKI 엔터티: 어댑터 기능 페이지에서 어댑터와 관련된 기능과 매개 변수를 검토하고 다음을 클릭합니다.

제네릭 PKI 엔터티: CA 인증서 발급 페이지가 나타납니다.

7. 제네릭 PKI 엔터티: CA 인증서 발급 페이지에서 엔터티에 사용할 인증서를 선택합니다.

참고: 엔터티에서 서로 다른 CA가 서명한 인증서를 반환하더라도 주어진 인증서 공급자를 통해 얻은 모든 인증서는 동일한 CA가 서명해야 합니다.따라서 여기에서 구성한 인증서 중 하나를 자격 증명 공급자 설정의 배포 페이지에서 선택해야 합니다.

8. 저장을 클릭합니다.

PKI 엔터티 테이블에 해당 엔터티가 나타납니다.

Symantec 관리 PKI

XenMobile Server GPKI 지원에는 Symantec 관리 PKI(MPKI라고도 함)가 포함됩니다. 이 섹션에서는 Symantec 관리 PKI에 대한 Windows Server 및 XenMobile Server를 설정하는 방법을 설명합니다.

사전 요구 사항

  • Symantec 관리 PKI 인프라에 대한 액세스 권한
  • 다음 구성 요소가 설치된 Windows Server 2012 R2 서버:
    • Java
    • Apache Tomcat
    • Symantec PKI 클라이언트
    • Portecle

이러한 구성 요소 설치에 대한 자세한 내용은 아래의 "Windows Server 설정"을 참조하십시오.

  • XenMobile 다운로드 사이트에 대한 액세스 권한

Windows Server 설정

이 섹션에는 GPKI 지원을 위한 XenMobile 요구 사항을 충족하도록 Windows Server를 설정하는 데 도움이 되는 내용이 나와 있습니다.

Windows Server에 Java 설치

https://java.com/en/download/faq/java_win64bit.xml에서 Java를 다운로드하고 설치합니다. 보안 경고 대화 상자에서 실행을 클릭해야 합니다.

Windows Server에 Apache Tomcat 설치

https://tomcat.apache.org/download-80.cgi에서 Apache Tomcat 32비트/64비트 Windows 서비스 설치 프로그램을 다운로드하고 설치합니다. 보안 경고 대화 상자에서 실행을 클릭해야 합니다. 다음 예제를 가이드로 사용하여 Apache Tomcat 설정을 완료합니다.

localized image
localized image
localized image
localized image
localized image

다음으로 Windows 서비스로 이동하고 시작 유형수동에서 자동으로 변경합니다.

localized image
localized image

Windows Server에 Symantec PKI 클라이언트 설치

PKI Manager 콘솔에서 설치 프로그램을 다운로드합니다. 콘솔에 액세스할 수 없는 경우 Symantec 지원 페이지 How to download Symantec PKI Client(Symantec PKI 클라이언트 다운로드 방법)에서 설치 프로그램을 다운로드합니다. 설치 프로그램의 압축을 풀고 실행합니다.

localized image
localized image

보안 경고 대화 상자에서 실행을 클릭해야 합니다. 설치 프로그램의 지침에 따라 설치를 완료합니다. 설치 프로그램이 완료되면 다시 시작하라는 메시지가 표시됩니다.

Windows Server에 Portecle 설치

https://sourceforge.net/projects/portecleinstall/files/에서 설치 프로그램을 다운로드한 후 압축을 풀고 실행합니다.

Symantec 관리 PKI용 RA(등록 기관) 인증서 생성

클라이언트 인증서 인증의 키 저장소는 RA.jks라는 RA(등록 기관) 인증서에 포함되어 있습니다. 다음 단계에서는 Portecle을 사용하여 이 인증서를 생성하는 방법을 설명합니다. Java CLI를 사용하여 RA 인증서를 생성할 수도 있습니다.

또한 이 문서에서는 RA 인증서와 공용 인증서를 업로드하는 방법을 설명합니다.

Portecle에서 Tools(도구) > Generate Key Pair(키 쌍 생성)로 이동하여 필요한 정보를 입력하고 키 쌍을 생성합니다.

localized image

키 쌍을 마우스 오른쪽 단추로 클릭한 후 Generate Certification Request(인증서 요청 생성)를 클릭합니다.

localized image

CSR을 복사합니다.

Symantec PKI Manager에서 RA 인증서를 생성합니다. Settings(설정), Get a RA Certificate(RA 인증서 가져오기)를 차례로 클릭하고 CSR을 붙여 넣은 후 Continue(계속)를 클릭합니다.

localized image

Download(다운로드)를 클릭하여 생성된 RA 인증서를 다운로드합니다.

localized image

Portecle에서 RA 인증서를 가져옵니다. 키 쌍을 마우스 오른쪽 단추로 클릭하고 Import CA Reply(CA 응답 가져오기)를 클릭합니다.

localized image

Symantec PKI Manager에서 Resources(리소스) > Web Services(웹 서비스)로 이동한 후 CA 인증서를 다운로드합니다.

localized image

Portecle에서 RA 중간 인증서 및 루트 인증서를 키 저장소로 가져옵니다. Tools(도구) > Import Trusted Certificates(신뢰할 수 있는 인증서 가져오기)로 이동합니다.

localized image

CA를 가져온 후 Windows Server의 C:\Symantec 폴더에 RA.jks로 키 저장소를 저장합니다.

localized image

Windows Server에 Symantec PKI 어댑터 구성

Windows Server에 관리자로 로그온합니다.

이전 섹션에서 생성한 RA.jks 파일을 업로드합니다. 또한 Symantec MPKI 서버에 대한 공용 인증서(cacerts.jks)를 업로드합니다.

XenMobile Server 10 download(XenMobile Server 10 다운로드) 페이지에서 Tools(도구)를 확장한 후 Symantec PKI Adapter 파일을 다운로드합니다. 파일 이름은 XenMobile_Symantec_PKI_Adapter.zip입니다. 파일의 압축을 풀고 다음 파일을 Windows Server C: 드라이브에 복사합니다.

  • custom_gpki_adapter.properties
  • Symantec.war

custom_gpki_adapter.properties를 메모장에서 열고 다음 값을 편집합니다.

Gpki.CaSvc.Url=https://

# keystore for client-cert auth

keyStore=C:\\Symantec\\RA.jks

# truststore for server with self-signed root CA

trustStore=C:\\Symantec\\cacerts.jks

Symantec.war을 \webapps 폴더에 복사하고 Tomcat을 시작합니다.

응용 프로그램이 배포되었는지 확인합니다. 웹 브라우저를 열고 http://localhost/Symantec으로 이동합니다.

\webapps\Symantec\WEB-INF\classes 폴더로 이동하고 gpki_adapter.properties를 편집합니다. CustomProperties 속성을 C:\Symantec 폴더의 custom_gpki_adapter 파일을 가리키도록 편집합니다.

CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

Tomcat을 다시 시작하고 http://localhost/Symantec으로 이동한 후 끝점 주소를 복사합니다. 다음 섹션에서 PKI 어댑터를 구성할 때 이 주소를 붙여 넣습니다.

localized image

Symantec 관리 PKI를 사용하도록 XenMobile Server 구성

다음 XenMobile Server 구성을 수행하기 전에 Windows Server 설정을 완료합니다.

Symantec CA 인증서를 가져오고 PKI 엔터티를 구성하려면

최종 사용자 인증서를 발급하는 Symantec CA 인증서를 가져옵니다. XenMobile Server 콘솔에서 설정 > 인증서로 이동하고 가져오기를 클릭합니다.

localized image

PKI 엔터티를 추가하고 구성합니다. 설정 > PKI 엔터티에서 추가를 클릭한 후 제네릭 PKI 엔터티를 선택합니다. 이전 섹션에서 PKI 어댑터를 구성할 때 복사한 끝점 주소를 WSDL URL에 붙여 넣고 아래와 같이 ?wsdl을 추가합니다.

localized image

다음을 클릭합니다. XenMobile이 WSDL의 매개 변수를 입력합니다.

localized image

다음을 클릭하고 올바른 CA 인증서를 선택한 후 저장을 클릭합니다.

localized image

설정 > PKI 엔터티 페이지에서 추가한 PKI 엔터티의 상태유효함인지 확인합니다.

localized image

Symantec 관리 PKI의 자격 증명 공급자를 생성하려면

Symantec PKI Manager 콘솔에서 인증서 템플릿의 인증서 프로필 OID를 복사합니다.

localized image

XenMobile Server 콘솔에서 설정 > 자격 증명 공급자로 이동하고 추가를 클릭한 후 다음과 같이 설정을 구성합니다.

  • 이름: 새 공급자 구성의 고유한 이름을 입력합니다. 이 이름은 XenMobile 콘솔의 다른 부분에서 구성을 참조할 때 사용됩니다.

  • 설명: 자격 증명 공급자를 설명합니다. 이 필드는 선택 사항이지만 이 자격 증명 공급자에 대한 세부 정보가 필요할 경우 설명이 유용할 수 있습니다.

  • 발급 엔터티: 인증서 발급 엔터티를 선택합니다.

  • 발급 방법: 시스템이 구성된 엔터티에서 클라이언트 인증서를 가져올 때 사용할 방법으로 서명을 선택합니다.

  • certParams: 다음 값을 추가합니다. commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

  • certificateProfileid: 1단계에서 복사한 인증서 프로필 OID를 붙여 넣습니다.

localized image

다음을 클릭합니다. 나머지 각 페이지에서(갱신을 통한 인증서 서명 요청) 기본 설정을 사용합니다. 완료되면 저장을 클릭합니다.

구성을 테스트하고 문제 해결을 수행하려면

자격 증명 장치 정책을 생성합니다. 구성 > 장치 정책에서 추가를 클릭하고 자격 증명 입력을 시작한 후 자격 증명을 클릭합니다.

정책 이름을 지정합니다.

다음과 같이 플랫폼 설정을 구성합니다.

  • 자격 증명 유형: 자격 증명 공급자를 선택합니다.

  • 자격 증명 공급자: Symantec 공급자를 선택합니다.

localized image

플랫폼 설정을 완료한 후 할당 페이지에서 배달 그룹에 정책을 할당하고 저장을 클릭합니다.

정책이 장치에 배포되었는지 확인하려면 관리 > 장치에서 장치를 선택하고 편집을 클릭한 후 할당된 정책을 클릭합니다. 다음 예제는 성공적으로 배포된 정책을 보여 줍니다.

localized image

정책이 배포되지 않은 경우 Windows Server에 로그인하고 WSDL이 올바르게 로드되는지 확인합니다.

localized image

자세한 문제 해결 정보는 \logs\catalina.<현재 날짜>에서 Tomcat 로그를 확인하십시오.

Microsoft 인증서 서비스

XenMobile은 웹 등록 인터페이스를 통해 Microsoft 인증서 서비스와 상호 작용합니다. XenMobile은 그 인터페이스를 통해 새 인증서 발급만 지원합니다(GPKI 서명 기능에 해당).Microsoft CA에서 NetScaler Gateway 사용자 인증서를 생성하면 NetScaler Gateway가 해당 인증서의 갱신과 해지를 지원합니다.

XenMobile에서 Microsoft CA PKI 엔터티를 만들려면 인증서 서비스 웹 인터페이스의 기본 URL을 지정해야 합니다. 원할 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 인증서 서비스 웹 인터페이스 간의 연결을 보호할 수 있습니다.

Microsoft 인증서 서비스 엔터티 추가

1. XenMobile 콘솔에서 오른쪽 위 모서리의 렌치 아이콘을 클릭하고 PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

3. Microsoft 인증서 서비스 엔터티를 클릭합니다.

Microsoft 인증서 서비스 엔터티: 일반 정보 페이지가 나타납니다.

4. Microsoft 인증서 서비스 엔터티: 일반 정보 페이지에서 다음 설정을 구성합니다.

  • 이름: 나중에 엔터티를 참조하는 데 사용할 새 엔터티 이름을 입력합니다. 엔터티 이름은 고유해야 합니다.
  • 웹 등록 서비스 루트 URL: Microsoft CA 웹 등록 서비스의 기본 URL(예: https://192.0.2.13/certsrv/)을 입력합니다. URL은 일반 HTTP 또는 HTTP-over-SSL을 사용할 수 있습니다.
  • certnew.cer 페이지 이름: certnew.cer 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
  • certfnsh.asp: certfnsh.asp 페이지의 이름입니다. 어떤 이유로 이름을 변경한 경우가 아니면 기본 이름을 사용합니다.
  • 인증 유형: 사용하려는 인증 방법을 선택합니다.
    • 없음
    • HTTP 기본: 연결하는 데 필요한 사용자 이름 및 암호를 입력합니다.
    • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.

5. 연결 테스트를 클릭하여 서버에 액세스할 수 있는지 확인합니다. 액세스할 수 없는 경우 연결에 실패했음을 알리는 메시지가 나타납니다. 구성 설정을 확인합니다.

6. 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: 템플릿 페이지가 나타납니다. 이 페이지에서는 해당 Microsoft CA가 지원하는 템플릿의 내부 이름을 지정합니다. 자격 증명 공급자를 만들 때 여기에 정의된 목록에서 템플릿을 선택합니다. 이 엔터티를 사용하는 모든 자격 증명 공급자가 해당 템플릿 하나만 사용합니다.

Microsoft 인증서 서비스 템플릿 요구 사항은 해당 Microsoft 서버 버전에 대한 Microsoft 설명서를 참조하십시오. XenMobile에는 인증서에 명시된 인증서 형식을 제외하고 배포하는 인증서에 대한 요구 사항이 없습니다.

7. Microsoft 인증서 서비스 엔터티: 템플릿 페이지에서 추가를 클릭하고 템플릿 이름을 입력한 후 저장을 클릭합니다. 추가할 각 템플릿에 대해 이 단계를 반복합니다.

8. 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지가 나타납니다. 이 페이지에서는 XenMobile이 Microsoft 웹 등록 인터페이스에 대한 HTTP 요청에 입력해야 하는 사용자 지정 매개 변수를 지정합니다. 사용자 지정 매개 변수는 CA에서 실행되는 사용자 지정 스크립트에만 유용합니다.

9. Microsoft 인증서 서비스 엔터티: HTTP 매개 변수 페이지에서 추가를 클릭하고 추가할 HTTP 매개 변수의 이름과 값을 입력한 후 다음을 클릭합니다.

Microsoft 인증서 서비스 엔터티: CA 인증서 페이지가 나타납니다. 이 페이지에서는 시스템이 이 엔터티를 통해 얻는 인증서의 서명자를 XenMobile에 알려야 합니다. CA 인증서가 갱신되면 XenMobile에서 업데이트합니다. 그러면 변경 내용이 투명하게 엔터티에 적용됩니다.

10. Microsoft 인증서 서비스 엔터티: CA 인증서 페이지에서 엔터티에 사용할 인증서를 선택합니다.

11. 저장을 클릭합니다.

PKI 엔터티 테이블에 해당 엔터티가 나타납니다.

NetScaler CRL(인증서 해지 목록)

XenMobile은 타사 인증 기관에 대해서만 CRL(인증서 해지 목록)을 지원합니다. Microsoft CA가 구성된 경우 XenMobile은 NetScaler를 사용하여 해지를 관리합니다.

클라이언트 인증서 기반 인증을 구성하는 경우 NetScaler CRL(인증서 해지 목록) 설정인 Enable CRL Auto Refresh(CRL 자동 새로 고침 사용)을 구성해야 하는지 여부를 고려합니다. 이 단계는 MAM 전용 모드의 장치 사용자가 장치의 기존 인증서를 사용하여 인증할 수 없도록 합니다. XenMobile에서는 인증서가 해지된 경우 사용자가 사용자 인증서를 생성할 수 있으므로 새 인증서가 다시 발급됩니다. 이 설정을 사용하면 CRL이 만료된 PKI 엔터티를 확인하는 경우 PKI 엔터티의 보안이 강화됩니다.

임의의 CA

임의의 CA는 CA 인증서와 연결된 개인 키를 XenMobile에 제공하는 경우 만들어집니다. XenMobile은 지정된 매개 변수에 따라 인증서 발급, 해지 및 상태 정보를 내부적으로 처리합니다.

임의의 CA를 구성하는 경우 해당 CA에 대한 OCSP(온라인 인증서 상태 프로토콜) 지원을 활성화할 수 있습니다. OCSP 지원을 사용하도록 설정한 경우에 한해 CA는 id-pe-authorityInfoAccess 확장을 CA가 발급한 인증서에 추가합니다. 이 확장은 다음 위치의 XenMobile 내부 OCSP Responder를 가리킵니다.

https://server/instance/ocsp

OCSP 서비스를 구성하는 경우 해당 임의의 엔터티에 대한 OCSP 서명 인증서를 지정합니다. CA 인증서 자체를 서명자로 사용할 수 있습니다. CA 개인 키의 불필요한 노출을 방지하려면(권장) CA 인증서로 서명된 위임자 OCSP 서명 인증서를 만들고 id-kp-OCSPSigning extendedKeyUsage 확장을 포함합니다.

XenMobile OCSP 응답자 서비스는 기본 OCSP 응답과 다음 해시 알고리즘을 요청에 지원합니다.

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

응답은 SHA-256 및 서명 인증서 키 알고리즘(DSA, RSA 또는 ECDSA)으로 서명됩니다.

임의의 CA 추가

1. XenMobile 콘솔에서 오른쪽 위 모서리의 기어 아이콘을 클릭하고 자세히 > PKI 엔터티를 클릭합니다.

2. PKI 엔터티 페이지에서 추가를 클릭합니다.

PKI 엔터티 유형에 대한 메뉴가 나타납니다.

3. 임의의 CA를 클릭합니다.

임의의 CA: 일반 정보 페이지가 나타납니다.

4. 임의의 CA: 일반 정보 페이지에서 다음을 수행합니다.

  • 이름: 임의의 CA를 설명하는 이름을 입력합니다.
  • 인증서 요청에 서명할 CA 인증서: 인증서 요청에 서명하는 데 사용할 임의의 CA용 인증서를 클릭합니다. XenMobile에서 구성 > 설정 > 인증서를 통해 업로드한 개인 키를 사용하여 CA 인증서에서 인증서 목록이 생성됩니다.

5. 다음을 클릭합니다.

임의의 CA: 매개 변수 페이지가 나타납니다.

6. 임의의 CA: 매개 변수 페이지에서 다음을 수행합니다.
  • 일련 번호 생성기: 임의의 CA가 발급한 인증서에 대한 일련 번호를 생성합니다. 이 목록에서 순차적 또는 비순차적을 클릭하여 숫자가 생성되는 방식을 지정합니다.
  • 다음 일련 번호: 다음번 발급될 번호를 지정하는 값을 입력합니다.
  • 인증서 유효 기간: 인증서가 유효한 일수를 입력합니다.
  • 키 사용: 해당 키를 켜짐으로 설정하여 임의의 CA에서 발급하는 인증서의 용도를 지정합니다. 이 항목을 설정하면 해당 CA가 지정된 용도로만 인증서를 발급할 수 있게 됩니다.
  • 확장 키 사용: 매개 변수를 더 추가하려면 추가를 클릭하고 키 이름을 입력한 후 저장을 클릭합니다.

7. 다음을 클릭합니다.

임의의 CA: 배포 페이지가 나타납니다.

8. 임의의 CA: 배포 페이지에서 배포 모드를 선택합니다.

  • 중앙 집중식: 서버측 키 생성. 중앙 집중식 옵션을 사용하는 것이 좋습니다. 개인 키가 생성되어 서버에 저장되고 사용자 장치에 배포됩니다.
  • 분산: 장치측 키 생성. 개인 키가 사용자 장치에 생성됩니다. 이 분산 모드에서는 SCEP를 사용하며 keyUsage keyEncryption을 사용한 RA 암호화 인증서와 KeyUsage digitalSignature를 사용한 RA 서명 인증서가 필요합니다. 암호화와 서명에 모두 동일한 인증서를 사용할 수 있습니다.

9. 다음을 클릭합니다.

임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지가 나타납니다.

임의의 CA: OCSP(온라인 인증서 상태 프로토콜) 페이지에서 다음을 수행합니다.

  • 이 CA가 서명한 인증서에 AuthorityInfoAccess(RFC2459) 확장을 추가하려면 이 CA에 OCSP 지원 사용켜짐으로 설정합니다. 이 확장은 CA OCSP Responder(https://server/instance/ocsp)를 가리킵니다.
  • OCSP 지원을 사용하도록 설정한 경우 OSCP 서명 CA 인증서를 선택합니다. XenMobile에 업로드한 CA 인증서에서 인증서 목록이 생성됩니다.

10. 저장을 클릭합니다.

PKI 엔터티 테이블에 임의의 CA가 나타납니다.