XenMobile® Server

PKI 엔터티

XenMobile® 공개 키 인프라(PKI) 엔터티 구성은 실제 PKI 작업(발급, 해지 및 상태 정보)을 수행하는 구성 요소를 나타냅니다. 이러한 구성 요소는 XenMobile 내부 또는 외부에 있습니다. 내부 구성 요소는 재량적(discretionary)이라고 합니다. 외부 구성 요소는 회사 인프라의 일부입니다.

XenMobile은 다음 유형의 PKI 엔터티를 지원합니다.

  • Microsoft 인증서 서비스

  • 재량적 인증 기관(CA)

XenMobile은 다음 CA 서버를 지원합니다.

  • Windows Server 2019
  • Windows Server 2016

참고:

Windows Server 2012 R2, 2012 및 2008 R2는 수명 주기가 종료되어 더 이상 지원되지 않습니다. 자세한 내용은 Microsoft 제품 수명 주기 설명서를 참조하십시오.

일반적인 PKI 개념

유형에 관계없이 모든 PKI 엔터티에는 다음 기능 중 일부가 있습니다.

  • 서명: 인증서 서명 요청(CSR)을 기반으로 새 인증서를 발급합니다.
  • 가져오기: 기존 인증서 및 키 쌍을 복구합니다.
  • 해지: 클라이언트 인증서를 해지합니다.

CA 인증서 정보

PKI 엔터티를 구성할 때 XenMobile에 해당 엔터티에서 발급(또는 복구)한 인증서의 서명자가 어떤 CA 인증서인지 알려줍니다. 해당 PKI 엔터티는 여러 다른 CA에서 서명한 인증서(가져오거나 새로 서명된)를 반환할 수 있습니다.

PKI 엔터티 구성의 일부로 각 CA의 인증서를 제공합니다. 이렇게 하려면 인증서를 XenMobile에 업로드한 다음 PKI 엔터티에서 참조합니다. 재량적 CA의 경우 인증서는 암시적으로 서명 CA 인증서입니다. 외부 엔터티의 경우 인증서를 수동으로 지정해야 합니다.

중요:

Microsoft 인증서 서비스 엔터티 템플릿을 만들 때 등록된 장치에서 발생할 수 있는 인증 문제를 방지하려면 템플릿 이름에 특수 문자를 사용하지 마십시오. 예를 들어 ! : $ ( ) # % + * ~ ? | { } [ ]를 사용하지 마십시오.

Microsoft 인증서 서비스

XenMobile은 웹 등록 인터페이스를 통해 Microsoft 인증서 서비스와 인터페이스합니다. XenMobile은 해당 인터페이스를 통한 새 인증서 발급만 지원합니다. Microsoft CA가 Citrix Gateway 사용자 인증서를 생성하는 경우 Citrix Gateway는 해당 인증서의 갱신 및 해지를 지원합니다.

XenMobile에서 Microsoft CA PKI 엔터티를 만들려면 인증서 서비스 웹 인터페이스의 기본 URL을 지정해야 합니다. 선택하는 경우 SSL 클라이언트 인증을 사용하여 XenMobile과 인증서 서비스 웹 인터페이스 간의 연결을 보호합니다.

Microsoft 인증서 서비스 엔터티 추가

  1. XenMobile 콘솔에서 콘솔의 오른쪽 상단 모서리에 있는 톱니바퀴 아이콘을 클릭한 다음 PKI 엔터티를 클릭합니다.

  2. PKI 엔터티 페이지에서 추가를 클릭합니다.

    PKI 엔터티 유형 메뉴가 나타납니다.

  3. Microsoft 인증서 서비스 엔터티를 클릭합니다.

    Microsoft 인증서 서비스 엔터티: 일반 정보 페이지가 나타납니다.

  4. Microsoft 인증서 서비스 엔터티: 일반 정보 페이지에서 다음 설정을 구성합니다.

    • 이름: 새 엔터티의 이름을 입력합니다. 이 이름은 나중에 해당 엔터티를 참조하는 데 사용됩니다. 엔터티 이름은 고유해야 합니다.
    • 웹 등록 서비스 루트 URL: Microsoft CA 웹 등록 서비스의 기본 URL을 입력합니다. 예를 들어 https://192.0.2.13/certsrv/입니다. URL은 일반 HTTP 또는 HTTP-over-SSL을 사용할 수 있습니다.
    • certnew.cer 페이지 이름: certnew.cer 페이지의 이름입니다. 특별한 이유로 이름을 변경하지 않은 경우 기본 이름을 사용합니다.
    • certfnsh.asp: certfnsh.asp 페이지의 이름입니다. 특별한 이유로 이름을 변경하지 않은 경우 기본 이름을 사용합니다.
    • 인증 유형: 사용할 인증 방법을 선택합니다.
      • 없음
      • HTTP 기본: 연결하는 데 필요한 사용자 이름과 암호를 입력합니다.
      • 클라이언트 인증서: 올바른 SSL 클라이언트 인증서를 선택합니다.
  5. 연결 테스트를 클릭하여 서버에 액세스할 수 있는지 확인합니다. 액세스할 수 없는 경우 연결 실패 메시지가 나타납니다. 구성 설정을 확인하십시오.

  6. 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: 템플릿 페이지가 나타납니다. 이 페이지에서 Microsoft CA가 지원하는 템플릿의 내부 이름을 지정합니다. 자격 증명 공급자를 만들 때 여기에 정의된 목록에서 템플릿을 선택합니다. 이 엔터티를 사용하는 모든 자격 증명 공급자는 정확히 하나의 템플릿을 사용합니다.

    Microsoft 인증서 서비스 템플릿 요구 사항에 대한 자세한 내용은 Microsoft 서버 버전에 대한 Microsoft 설명서를 참조하십시오. XenMobile은 인증서에 언급된 인증서 형식 외에 배포하는 인증서에 대한 요구 사항이 없습니다.

  7. Microsoft 인증서 서비스 엔터티: 템플릿 페이지에서 추가를 클릭하고 템플릿 이름을 입력한 다음 저장을 클릭합니다. 추가하려는 각 템플릿에 대해 이 단계를 반복합니다.

  8. 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: HTTP 매개변수 페이지가 나타납니다. 이 페이지에서 XenMobile이 Microsoft 웹 등록 인터페이스에 대한 HTTP 요청에 추가할 사용자 지정 매개변수를 지정합니다. 사용자 지정 매개변수는 CA에서 실행되는 사용자 지정 스크립트에만 유용합니다.

  9. Microsoft 인증서 서비스 엔터티: HTTP 매개변수 페이지에서 추가를 클릭하고 추가하려는 HTTP 매개변수의 이름과 값을 입력한 다음 다음을 클릭합니다.

    Microsoft 인증서 서비스 엔터티: CA 인증서 페이지가 나타납니다. 이 페이지에서 XenMobile에 시스템이 이 엔터티를 통해 얻는 인증서의 서명자를 알려야 합니다. CA 인증서가 갱신되면 XenMobile에서 업데이트합니다. XenMobile은 변경 사항을 엔터티에 투명하게 적용합니다.

  10. Microsoft 인증서 서비스 엔터티: CA 인증서 페이지에서 이 엔터티에 사용할 인증서를 선택합니다.

  11. 저장을 클릭합니다.

    엔터티가 PKI 엔터티 테이블에 나타납니다.

Citrix ADC 인증서 해지 목록(CRL)

XenMobile은 타사 인증 기관에 대해서만 인증서 해지 목록(CRL)을 지원합니다. Microsoft CA가 구성된 경우 XenMobile은 Citrix ADC를 사용하여 해지를 관리합니다.

클라이언트 인증서 기반 인증을 구성할 때 Citrix ADC 인증서 해지 목록(CRL) 설정인 CRL 자동 새로 고침 사용을 구성할지 여부를 고려하십시오. 이 단계는 MAM 전용 모드의 장치 사용자가 장치의 기존 인증서를 사용하여 인증할 수 없도록 합니다.

XenMobile은 인증서가 해지된 후 사용자가 사용자 인증서를 생성하는 것을 제한하지 않으므로 새 인증서를 다시 발급합니다. 이 설정은 CRL이 만료된 PKI 엔터티를 확인하는 경우 PKI 엔터티의 보안을 강화합니다.

재량적 CA

재량적 CA는 XenMobile에 CA 인증서와 관련 개인 키를 제공할 때 생성됩니다. XenMobile은 지정한 매개변수에 따라 인증서 발급, 해지 및 상태 정보를 내부적으로 처리합니다.

재량적 CA를 구성할 때 해당 CA에 대한 온라인 인증서 상태 프로토콜(OCSP) 지원을 활성화할 수 있습니다. OCSP 지원을 활성화하는 경우에만 CA는 CA가 발급하는 인증서에 id-pe-authorityInfoAccess 확장을 추가합니다. 이 확장은 다음 위치에 있는 XenMobile 내부 OCSP 응답자를 가리킵니다.

https://<server>/<instance>/ocsp

OCSP 서비스를 구성할 때 해당 재량적 엔터티에 대한 OCSP 서명 인증서를 지정합니다. CA 인증서 자체를 서명자로 사용할 수 있습니다. CA 개인 키의 불필요한 노출을 피하려면(권장): CA 인증서로 서명된 위임 OCSP 서명 인증서를 만들고 id-kp-OCSPSigning extendedKeyUsage 확장을 포함합니다.

XenMobile OCSP 응답자 서비스는 기본 OCSP 응답과 요청에서 다음 해싱 알고리즘을 지원합니다.

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

응답은 SHA-256 및 서명 인증서 키 알고리즘(DSA, RSA 또는 ECDSA)으로 서명됩니다.

재량적 CA 추가

  1. XenMobile 콘솔에서 콘솔의 오른쪽 상단 모서리에 있는 톱니바퀴 아이콘을 클릭한 다음 자세히 > PKI 엔터티를 클릭합니다.

  2. PKI 엔터티 페이지에서 추가를 클릭합니다.

    PKI 엔터티 유형 메뉴가 나타납니다.

  3. 재량적 CA를 클릭합니다.

    재량적 CA: 일반 정보 페이지가 나타납니다.

  4. 재량적 CA: 일반 정보 페이지에서 다음을 수행합니다.

    • 이름: 재량적 CA에 대한 설명이 포함된 이름을 입력합니다.
    • 인증서 요청 서명에 사용할 CA 인증서: 재량적 CA가 인증서 요청 서명에 사용할 인증서를 클릭합니다.

      이 인증서 목록은 구성 > 설정 > 인증서에서 XenMobile에 업로드한 개인 키가 있는 CA 인증서에서 생성됩니다.

  5. 다음을 클릭합니다.

    재량적 CA: 매개변수 페이지가 나타납니다.

  6. 재량적 CA: 매개변수 페이지에서 다음을 수행합니다.

    • 일련 번호 생성기: 재량적 CA는 발급하는 인증서에 대한 일련 번호를 생성합니다. 이 목록에서 순차 또는 비순차를 클릭하여 번호가 생성되는 방식을 결정합니다.
    • 다음 일련 번호: 발급될 다음 번호를 결정하는 값을 입력합니다.
    • 인증서 유효 기간: 인증서가 유효한 일수를 입력합니다.
    • 키 사용: 재량적 CA에서 발급한 인증서의 목적을 식별하려면 적절한 키를 켜기로 설정합니다. 일단 설정되면 CA는 해당 목적에 대한 인증서 발급으로 제한됩니다.
    • 확장 키 사용: 더 많은 매개변수를 추가하려면 추가를 클릭하고 키 이름을 입력한 다음 저장을 클릭합니다.
  7. 다음을 클릭합니다.

    재량적 CA: 배포 페이지가 나타납니다.

  8. 재량적 CA: 배포 페이지에서 배포 모드를 선택합니다.

    • 중앙 집중식: 서버 측 키 생성. Citrix는 중앙 집중식 옵션을 권장합니다. 개인 키는 서버에서 생성 및 저장되며 사용자 장치에 배포됩니다.
    • 분산형: 장치 측 키 생성. 개인 키는 사용자 장치에서 생성됩니다. 이 분산 모드는 SCEP를 사용하며 keyUsage keyEncryption 확장이 있는 RA 암호화 인증서와 keyUsage digitalSignature 확장이 있는 RA 서명 인증서가 필요합니다. 동일한 인증서를 암호화 및 서명에 모두 사용할 수 있습니다.
  9. 다음을 클릭합니다.

    재량적 CA: 온라인 인증서 상태 프로토콜(OCSP) 페이지가 나타납니다.

    재량적 CA: 온라인 인증서 상태 프로토콜(OCSP) 페이지에서 다음을 수행합니다.

    • 이 CA에서 서명한 인증서에 AuthorityInfoAccess (RFC2459) 확장을 추가하려면 이 CA에 대한 OCSP 지원 사용켜기로 설정합니다. 이 확장은 https://<server>/<instance>/ocsp에 있는 CA OCSP 응답자를 가리킵니다.
    • OCSP 지원을 활성화한 경우 OCSP 서명 CA 인증서를 선택합니다. 이 인증서 목록은 XenMobile에 업로드한 CA 인증서에서 생성됩니다.
  10. 저장을 클릭합니다.

    재량적 CA가 PKI 엔터티 테이블에 나타납니다.

PKI 엔터티