Product Documentation

SCEP 장치 정책

Feb 21, 2018

이 정책을 사용하면 SCEP(단순 인증서 등록 프로토콜)를 사용하여 외부 SCEP 서버에서 인증서를 검색하도록 iOS 및 macOS 장치를 구성할 수 있습니다. XenMobile에 연결된 PKI에서 SCEP를 사용하여 장치에 인증서를 제공하려면 분산 모드에서 PKI 엔터티 및 PKI 공급자를 만들어야 합니다. 자세한 내용은 PKI 엔터티를 참조하십시오.

iOS 설정

macOS 설정

1. XenMobile 콘솔에서 구성 > 장치 정책을 클릭합니다. 장치 정책 페이지가 나타납니다.

2. 추가를 클릭합니다. 새 정책 추가 대화 상자가 나타납니다.

3. 더 보기를 확장하고 보안에서 SCEP을 클릭합니다. SCEP 정책 정보 페이지가 나타납니다.

4. 정책 정보 창에서 다음 정보를 입력합니다.

  • 정책 이름: 정책을 설명하는 이름을 입력합니다.
  • 설명: 정책에 대한 선택적 설명을 입력합니다.

5. 다음을 클릭합니다. 플랫폼 페이지가 나타납니다.

6. 플랫폼 아래에서 추가할 플랫폼을 선택합니다. 하나의 플랫폼에 대해서만 구성하는 경우 다른 플랫폼의 선택을 취소합니다.

플랫폼에 대한 설정을 모두 구성했으면 7단계에서 해당 플랫폼의 배포 규칙을 설정하는 방법을 확인하십시오.

iOS 설정 구성

localized image

다음 설정을 구성합니다.

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.
  • 정책 설정
    • 정책 설정정책 제거 옆에서 날짜 선택 또는 제거할 때까지의 기간(시간)을 클릭합니다.
    • 날짜 선택을 클릭하는 경우 달력을 클릭하여 제거할 날짜를 선택합니다.
    • 사용자가 정책을 제거하도록 허용 목록에서 항상, 암호 필요 또는 안 함을 클릭합니다.
    • 암호 필요를 클릭하는 경우 제거 암호 옆에 필요한 암호를 입력합니다.

macOS 설정 구성

localized image

다음 설정을 구성합니다.

  • URL 기준: HTTP 또는 HTTPS를 통해 SCEP 요청을 전송할 SCEP 서버 주소를 입력합니다. 개인 키는 CSR(인증서 서명 요청)로 전송되지 않으므로 요청을 암호화되지 않은 상태로 보내도 안전할 수 있습니다. 그러나 일회용 암호를 재사용하는 것이 허용되므로 HTTPS를 사용하여 암호를 보호해야 합니다. 이 단계는 필수 단계입니다.
  • 인스턴스 이름: SCEP 서버가 인식하는 문자열을 입력합니다. 예를 들어 example.org와 같은 도메인 이름을 입력할 수 있습니다. CA에 여러 CA 인증서가 있는 경우 이 필드를 사용하여 필요한 도메인을 구분할 수 있습니다. 이 단계는 필수 단계입니다.
  • 주체 X.500 이름(RFC 2253): OID(개체 식별자) 및 값 배열로 나타나는 X.500 이름의 표현을 입력합니다. 예를 들어 /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar는 [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]로 변환될 수 있습니다. 국가(C), 지역(L), 시/도(ST), 조직(O), 조직 구성 단위(OU) 및 일반 이름(CN)에 대한 바로 가기가 포함된 점 형식 숫자로 OID를 표현할 수 있습니다.
  • 주체 대체 이름 유형: 목록에서 대체 이름 유형을 클릭합니다. SCEP 정책은 CA의 인증서 발급에 필요한 값을 제공하는 선택적 대체 이름 유형을 지정할 수 있습니다. 없음, RFC 822 이름, DNS 이름 또는 URI를 지정할 수 있습니다.
  • 최대 재시도 횟수: SCEP 서버가 PENDING 응답을 보내는 경우 장치에서 재시도할 횟수를 입력합니다. 기본값은 3입니다.
  • 재시도 지연: 다음 재시도 전에 대기할 시간을 초로 입력합니다. 첫 번째 재시도는 지연 없이 시도됩니다. 기본값은 10입니다.
  • 챌린지 암호: 미리 공유한 암호를 입력합니다.
  • 키 크기(비트): 목록에서 키 크기(비트)를 1024 또는 2048 중에서 클릭합니다. 기본값은 1024입니다.
  • 디지털 서명으로 사용: 인증서를 디지털 서명으로 사용할지 여부를 지정합니다. 인증서를 사용하여 디지털 서명을 확인하는 경우, 예를 들어 CA에서 발급된 인증서인지 여부를 확인하는 경우 SCEP 서버가 공개 키를 사용하여 해시를 해독하기 전에 이 방식으로 인증서를 사용할 수 있는지 여부를 확인합니다.
  • 키 암호화에 사용: 인증서를 키 암호화에 사용할지 여부를 지정합니다. 서버에서 클라이언트가 제공한 인증서의 공개 키를 사용하여 데이터가 개인 키를 사용하여 암호화되었는지 확인하는 경우 인증서를 키 암호화에 사용할 수 있는지 여부를 먼저 확인할 수 있습니다. 그렇지 않은 경우 작업에 실패합니다.
  • SHA1/MD5 지문(16진수 문자열): CA에서 HTTP를 사용하는 경우 이 필드를 사용하여 CA 인증서 지문을 제공합니다. 이 지문은 등록 시 장치에서 CA 응답의 진위를 확인하는 데 사용됩니다. SHA1 또는 MD5 지문을 입력하거나 서명을 가져올 인증서를 선택할 수 있습니다.
  • 정책 설정
    • 정책 설정정책 제거 옆에서 날짜 선택 또는 제거할 때까지의 기간(시간)을 클릭합니다.
    • 날짜 선택을 클릭하는 경우 달력을 클릭하여 제거할 날짜를 선택합니다.
    • 사용자가 정책을 제거하도록 허용 목록에서 항상, 암호 필요 또는 안 함을 클릭합니다.
    • 암호 필요를 클릭하는 경우 제거 암호 옆에 필요한 암호를 입력합니다.
    • 프로필 범위 옆에서 사용자 또는 시스템을 클릭합니다. 기본값은 사용자입니다. 이 옵션은 macOS 10.7 이상에서만 사용할 수 있습니다.

7.배포 규칙을 구성하고 배달 그룹을 선택합니다. 자세한 내용은 장치 정책 추가를 참조하십시오.