XenMobile® Server

SCEP 장치 정책

이 정책을 사용하면 iOS 및 macOS 장치가 외부 SCEP 서버에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 인증서를 검색하도록 구성할 수 있습니다. XenMobile에 연결된 PKI에서 SCEP를 사용하여 장치에 인증서를 제공하려면 분산 모드에서 PKI 엔터티 및 PKI 공급자를 생성해야 합니다. 자세한 내용은 PKI 엔터티를 참조하십시오.

이 정책을 추가하거나 구성하려면 구성 > 장치 정책으로 이동하십시오. 자세한 내용은 장치 정책을 참조하십시오.

iOS 설정

장치 정책 구성 화면 이미지

  • URL 기본 주소: SCEP 요청이 HTTP 또는 HTTPS를 통해 전송되는 위치를 정의하기 위해 SCEP 서버의 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)과 함께 전송되지 않으므로 암호화되지 않은 요청을 보내는 것이 안전할 수 있습니다. 그러나 일회용 암호를 재사용할 수 있는 경우 암호를 보호하기 위해 HTTPS를 사용해야 합니다. 이 단계는 필수입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어, example.org와 같은 도메인 이름일 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값의 배열로 표현된 X.500 이름의 표현을 입력합니다. 예를 들어, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]로 번역될 수 있습니다. OID는 국가(C), 지역(L), 주(ST), 조직(O), 조직 단위(OU), 일반 이름(CN)에 대한 바로 가기가 있는 점선 숫자로 표현할 수 있습니다.
  • 주체 대체 이름 유형: 드롭다운 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA가 인증서를 발급하는 데 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보낼 때 장치가 재시도할 수 있는 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 후속 재시도 사이에 대기할 시간(초)을 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 사전 공유 암호를 입력합니다.
  • 키 크기(비트): 키 크기를 비트 단위로 2048 이상으로 선택합니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 누군가 인증서를 사용하여 디지털 서명을 확인하는 경우(예: 인증서가 CA에서 발급되었는지 확인하는 경우) SCEP 서버는 공개 키를 사용하여 해시를 해독하기 전에 인증서가 이러한 방식으로 사용될 수 있는지 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버가 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터 조각이 개인 키를 사용하여 암호화되었는지 확인하는 경우 서버는 먼저 인증서가 키 암호화에 사용될 수 있는지 확인합니다. 그렇지 않으면 작업이 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA가 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서의 지문을 제공합니다. 장치는 등록 중에 CA 응답의 신뢰성을 확인하는 데 이 지문을 사용합니다. SHA1 또는 MD5 지문을 입력하거나 인증서를 선택하여 서명을 가져올 수 있습니다.

  • 정책 설정
    • 정책 제거: 정책 제거 일정을 지정하는 방법을 선택합니다. 사용 가능한 옵션은 날짜 선택제거까지의 기간(시간)입니다.
      • 날짜 선택: 달력을 클릭하여 제거할 특정 날짜를 선택합니다.
      • 제거까지의 기간(시간): 정책 제거가 발생할 때까지의 시간(숫자)을 입력합니다. iOS 6.0 이상에서만 사용할 수 있습니다.

macOS 설정

장치 정책 구성 화면 이미지

  • URL 기본 주소: SCEP 요청이 HTTP 또는 HTTPS를 통해 전송되는 위치를 정의하기 위해 SCEP 서버의 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)과 함께 전송되지 않으므로 암호화되지 않은 요청을 보내는 것이 안전할 수 있습니다. 그러나 일회용 암호를 재사용할 수 있는 경우 암호를 보호하기 위해 HTTPS를 사용해야 합니다. 이 단계는 필수입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어, example.org와 같은 도메인 이름일 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값의 배열로 표현된 X.500 이름의 표현을 입력합니다. 예를 들어, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]로 번역될 수 있습니다. OID는 국가(C), 지역(L), 주(ST), 조직(O), 조직 단위(OU), 일반 이름(CN)에 대한 바로 가기가 있는 점선 숫자로 표현할 수 있습니다.
  • 주체 대체 이름 유형: 드롭다운 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA가 인증서를 발급하는 데 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보낼 때 장치가 재시도할 수 있는 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 후속 재시도 사이에 대기할 시간(초)을 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 사전 공유 암호를 입력합니다.
  • 키 크기(비트): 키 크기를 비트 단위로 2048 이상으로 선택합니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 누군가 인증서를 사용하여 디지털 서명을 확인하는 경우(예: 인증서가 CA에서 발급되었는지 확인하는 경우) SCEP 서버는 공개 키를 사용하여 해시를 해독하기 전에 인증서가 이러한 방식으로 사용될 수 있는지 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버가 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터 조각이 개인 키를 사용하여 암호화되었는지 확인하는 경우 서버는 먼저 인증서가 키 암호화에 사용될 수 있는지 확인합니다. 그렇지 않으면 작업이 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA가 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서의 지문을 제공합니다. 장치는 등록 중에 CA 응답의 신뢰성을 확인하는 데 이 지문을 사용합니다. SHA1 또는 MD5 지문을 입력하거나 인증서를 선택하여 서명을 가져올 수 있습니다.

  • 정책 설정
    • 정책 제거: 정책 제거 일정을 지정하는 방법을 선택합니다. 사용 가능한 옵션은 날짜 선택제거까지의 기간(시간)입니다.
      • 날짜 선택: 달력을 클릭하여 제거할 특정 날짜를 선택합니다.
      • 제거까지의 기간(시간): 정책 제거가 발생할 때까지의 시간(숫자)을 입력합니다.
    • 사용자가 정책을 제거하도록 허용: 사용자가 장치에서 정책을 제거할 수 있는 시기를 선택할 수 있습니다. 메뉴에서 항상, 암호 필요 또는 안 함을 선택합니다. 암호 필요를 선택하는 경우 제거 암호 필드에 암호를 입력합니다.
    • 프로필 범위: 이 정책이 사용자에게 적용되는지 또는 전체 시스템에 적용되는지 선택합니다. 기본값은 사용자입니다. 이 옵션은 macOS 10.7 이상에서만 사용할 수 있습니다.
SCEP 장치 정책