SCEP 장치 정책

이 정책을 사용하면 SCEP(단순 인증서 등록 프로토콜)를 사용하여 외부 SCEP 서버에서 인증서를 검색하도록 iOS 및 macOS 장치를 구성할 수 있습니다. XenMobile에 연결된 PKI에서 SCEP를 사용하여 장치에 인증서를 제공하려면 분산 모드에서 PKI 엔터티 및 PKI 공급자를 만들어야 합니다. 자세한 내용은 PKI 엔터티를 참조하십시오.

이 정책을 추가하거나 구성하려면 구성 > 장치 정책으로 이동합니다. 자세한 내용은 장치 정책을 참조하십시오.

iOS 설정

장치 정책 구성 화면 이미지

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.

macOS 설정

장치 정책 구성 화면 이미지

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.

SCEP 장치 정책

In this article