다음을 통해 공유

Configuration Manager 대한 PKI 인증서 요구 사항

  • 아티클

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 데 필요할 수 있는 PKI(공개 키 인프라) 인증서는 다음 표에 나와 있습니다. 이 정보는 PKI 인증서에 대한 기본 지식을 가정합니다.

PKI를 사용하여 Configuration Manager 대부분의 인증서를 만들고, 배포하고, 관리할 수 있습니다. Configuration Manager 모바일 디바이스 및 Mac 컴퓨터에 등록하는 클라이언트 인증서의 경우 Active Directory 인증서 서비스를 사용해야 합니다.

Active Directory 인증서 서비스 및 인증서 템플릿을 사용하는 경우 이 Microsoft PKI 솔루션은 인증서 관리를 용이하게 할 수 있습니다. 아래 섹션의 Microsoft 인증서 템플릿 참조를 사용하여 인증서 요구 사항과 가장 일치하는 인증서 템플릿을 식별합니다. Windows 서버의 Enterprise 또는 Datacenter 버전에서 실행되는 CA(엔터프라이즈 인증 기관)만 템플릿 기반 인증서를 사용할 수 있습니다.

자세한 내용은 다음 문서를 참조하세요.

지원되는 인증서 유형

SHA-2(보안 해시 알고리즘 2) 인증서

SHA-256 및 SHA-512를 포함하는 SHA-2로 서명된 새 서버 및 클라이언트 인증 인증서를 발급합니다. 모든 인터넷 연결 서비스는 SHA-2 인증서를 사용해야 합니다. 예를 들어 클라우드 관리 게이트웨이에서 사용할 공용 인증서를 구매하는 경우 SHA-2 인증서를 구매해야 합니다.

Windows는 SHA-1로 서명된 인증서를 신뢰하지 않습니다. 자세한 내용은 SHA1 인증서의 Windows 적용을 참조하세요.

CNG v3 인증서

Configuration Manager 암호화: CNG(차세대) v3 인증서를 지원합니다. Configuration Manager 클라이언트는 CNG KSP(키 스토리지 공급자)에서 프라이빗 키가 있는 PKI 클라이언트 인증 인증서를 사용할 수 있습니다. KSP 지원을 통해 Configuration Manager 클라이언트는 PKI 클라이언트 인증 인증서용 TPM KSP와 같은 하드웨어 기반 프라이빗 키를 지원합니다.

자세한 내용은 CNG v3 인증서 개요를 참조하세요.

서버용 PKI 인증서

IIS를 실행하고 HTTPS 클라이언트 연결을 지원하는 사이트 시스템

이 웹 서버 인증서는 다음을 위해 사용됩니다.

  • 클라이언트에 서버 인증
  • TLS를 사용하여 클라이언트와 이러한 서버 간에 전송되는 모든 데이터를 암호화합니다.

적용 대상:

  • 관리 포인트
  • 배포 지점
  • 소프트웨어 업데이트 지점
  • 상태 마이그레이션 지점
  • 등록 지점
  • 등록 프록시 지점
  • 인증서 등록 지점

인증서 요구 사항:

  • 인증서 목적: 서버 인증

  • Microsoft 인증서 템플릿: 웹 서버

  • 향상된 키 사용량 값에 포함해야 합니다.Server Authentication (1.3.6.1.5.5.7.3.1)

  • 주체 이름:

    • 사이트 시스템에서 인터넷 연결을 허용하는 경우 주체 이름 또는 주체 대체 이름 에는 인터넷 FQDN(정규화된 도메인 이름)이 포함되어야 합니다.

    • 사이트 시스템에서 인트라넷의 연결을 허용하는 경우 사이트 시스템 설정 방법에 따라 주체 이름 또는 주체 대체 이름 에 인트라넷 FQDN(권장) 또는 컴퓨터 이름이 포함되어야 합니다.

    • 사이트 시스템이 인터넷과 인트라넷 모두에서 연결을 허용하는 경우 인터넷 FQDN과 인트라넷 FQDN(또는 컴퓨터 이름)을 모두 지정해야 합니다. 두 이름 사이에 앰퍼샌드(&) 기호 구분 기호를 사용합니다.

    참고

    소프트웨어 업데이트 지점에서 인터넷에서만 클라이언트 연결을 허용하는 경우 인증서에는 인터넷 FQDN과 인트라넷 FQDN이 모두 포함되어야 합니다.

  • 키 길이: Configuration Manager 이 인증서에 대해 지원되는 최대 키 길이를 지정하지 않습니다. 이 인증서에 대한 키 크기 관련 문제는 PKI 및 IIS 설명서를 참조하세요.

대부분의 사이트 시스템 역할은 인증서 프라이빗 키(v3)에 대한 키 스토리지 공급자를 지원합니다. 자세한 내용은 CNG v3 인증서 개요를 참조하세요.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다.

CMG(클라우드 관리 게이트웨이)

이 서비스 인증서는 다음을 위해 사용됩니다.

  • Azure에서 CMG 서비스를 인증하여 클라이언트를 Configuration Manager

  • TLS를 사용하여 전송된 모든 데이터를 암호화합니다.

이 인증서를 PKCS #12(공개 키 인증서 표준) 형식으로 내보냅니다. CMG를 만들 때 인증서를 가져올 수 있도록 암호를 알아야 합니다.

인증서 요구 사항:

  • 인증서 목적: 서버 인증

  • Microsoft 인증서 템플릿: 웹 서버

  • 향상된 키 사용량 값에 포함해야 합니다.Server Authentication (1.3.6.1.5.5.7.3.1)

  • 주체 이름에는 클라우드 관리 게이트웨이의 특정 인스턴스에 대한 공통 이름으로 고객 정의 서비스 이름이 포함되어야 합니다.

  • 프라이빗 키를 내보낼 수 있어야 합니다.

  • 지원되는 키 길이: 2048비트 또는 4096비트

이 인증서는 인증서 프라이빗 키(v3)에 대한 키 스토리지 공급자를 지원합니다.

자세한 내용은 CMG 서버 인증 인증서를 참조하세요.

Microsoft SQL Server 실행하는 사이트 시스템 서버

이 인증서는 서버-서버 인증에 사용됩니다.

인증서 요구 사항:

  • 인증서 목적: 서버 인증

  • Microsoft 인증서 템플릿: 웹 서버

  • 향상된 키 사용량 값에 포함해야 합니다.Server Authentication (1.3.6.1.5.5.7.3.1)

  • 주체 이름에는 인트라넷 FQDN(정규화된 도메인 이름)이 포함되어야 합니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다. Configuration Manager 서버와의 신뢰를 설정해야 할 수 있는 Configuration Manager 계층 구조의 서버에 대해 신뢰할 수 있는 사람 Store에 자동으로 복사합니다.

장애 조치(failover) 클러스터 인스턴스 SQL Server Always On

이 인증서는 서버-서버 인증에 사용됩니다.

인증서 요구 사항:

  • 인증서 목적: 서버 인증

  • Microsoft 인증서 템플릿: 웹 서버

  • 향상된 키 사용량 값에 포함해야 합니다.Server Authentication (1.3.6.1.5.5.7.3.1)

  • 주체 이름에는 클러스터의 인트라넷 FQDN(정규화된 도메인 이름)이 포함되어야 합니다.

  • 프라이빗 키를 내보낼 수 있어야 합니다.

  • 장애 조치(failover) 클러스터 인스턴스를 사용하도록 Configuration Manager 구성할 때 인증서의 유효 기간은 2년 이상이어야 합니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

클러스터의 한 노드에 이 인증서를 요청하고 설치합니다. 그런 다음 인증서를 내보내고 다른 노드로 가져옵니다.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다. Configuration Manager 서버와의 신뢰를 설정해야 할 수 있는 Configuration Manager 계층 구조의 서버에 대해 신뢰할 수 있는 사람 Store에 자동으로 복사합니다.

사이트 시스템 모니터링

적용 대상:

  • 관리 포인트
  • 상태 마이그레이션 지점

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 컴퓨터에 는 주체 이름 필드 또는 주체 대체 이름 필드에 고유한 값이 있어야 합니다.

    참고

    주체 대체 이름에 여러 값을 사용하는 경우 첫 번째 값만 사용합니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

이 인증서는 Configuration Manager 클라이언트가 설치되지 않은 경우에도 나열된 사이트 시스템 서버에 필요합니다. 이 구성을 사용하면 사이트에서 이러한 사이트 시스템 역할의 상태를 모니터링하고 보고할 수 있습니다.

이러한 사이트 시스템의 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다.

NDES(네트워크 디바이스 등록 서비스) 역할 서비스를 사용하여 Configuration Manager 정책 모듈을 실행하는 서버

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 인증서 주체 이름 또는 SAN( 주체 대체 이름 )에 대한 특정 요구 사항은 없습니다. 네트워크 디바이스 등록 서비스를 실행하는 여러 서버에 대해 동일한 인증서를 사용할 수 있습니다.

  • 지원되는 키 길이: 1,024비트 및 2,048비트.

배포 지점이 설치된 사이트 시스템

이 인증서에는 다음 두 가지 목적이 있습니다.

  • 배포 지점에서 상태 메시지를 보내기 전에 HTTPS 사용 관리 지점에 대한 배포 지점을 인증합니다.

    참고

    HTTPS에 대한 모든 관리 지점을 구성하는 경우 HTTPS 사용 배포 지점에서 PKI 발급 인증서를 사용해야 합니다. 관리 지점에서 인증서를 사용하는 경우 배포 지점에서 자체 서명된 인증서를 사용하지 마세요. 그렇지 않으면 문제가 발생할 수 있습니다. 예를 들어 배포 지점은 상태 메시지를 보내지 않습니다.

  • PXE 사용 배포 지점은 이 인증서를 컴퓨터로 보냅니다. 작업 순서에 클라이언트 정책 검색 또는 인벤토리 정보 전송과 같은 클라이언트 작업이 포함된 경우 컴퓨터는 OS 배포 프로세스 중에 HTTPS 사용 관리 지점에 연결할 수 있습니다.

    참고

    이 PXE 시나리오의 경우 이 인증서는 OS 배포 프로세스 중에만 사용됩니다. 클라이언트에 설치되어 있지 않습니다. 이 임시 사용으로 인해 여러 클라이언트 인증서를 사용하지 않으려면 모든 OS 배포에 동일한 인증서를 사용할 수 있습니다.

    이 인증서에 대한 요구 사항은 작업 순서 미디어의 클라이언트 인증서와 동일합니다. 요구 사항이 동일하기 때문에 동일한 인증서 파일을 사용할 수 있습니다.

    HTTPS 사용 배포 지점에 지정하는 인증서는 OS 배포뿐만 아니라 모든 콘텐츠 배포 작업에 적용됩니다.

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 인증서 주체 이름 또는 SAN( 주체 대체 이름 )에 대한 특정 요구 사항은 없습니다. 각 배포 지점에 대해 다른 인증서를 사용하는 것이 좋지만 동일한 인증서를 사용할 수 있습니다.

  • 프라이빗 키를 내보낼 수 있어야 합니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

이 인증서를 PKCS #12(공개 키 인증서 표준) 형식으로 내보냅니다. 인증서를 배포 지점 속성으로 가져올 수 있도록 암호를 알아야 합니다.

인터넷 기반 클라이언트 관리를 위한 프록시 웹 서버

사이트에서 인터넷 기반 클라이언트 관리를 지원하고 들어오는 인터넷 연결에 대해 SSL 종료(브리징)를 사용하여 프록시 웹 서버를 사용하는 경우 프록시 웹 서버에는 다음과 같은 인증서 요구 사항이 있습니다.

참고

SSL 종료(터널링) 없이 프록시 웹 서버를 사용하는 경우 프록시 웹 서버에 추가 인증서가 필요하지 않습니다.

인증서 요구 사항:

  • 인증서 목적: 서버 인증클라이언트 인증

  • Microsoft 인증서 템플릿: 웹 서버워크스테이션 인증

  • 주체 이름 또는 주체 대체 이름 필드의 인터넷 FQDN입니다. Microsoft 인증서 템플릿을 사용하는 경우 주체 대체 이름은 워크스테이션 템플릿에서만 사용할 수 있습니다.

이 인증서는 다음 서버를 인터넷 클라이언트에 인증하고 TLS를 사용하여 클라이언트와 이 서버 간에 전송되는 모든 데이터를 암호화하는 데 사용됩니다.

  • 인터넷 기반 관리 지점
  • 인터넷 기반 배포 지점
  • 인터넷 기반 소프트웨어 업데이트 지점

클라이언트 인증은 Configuration Manager 클라이언트와 인터넷 기반 사이트 시스템 간의 클라이언트 연결을 연결하는 데 사용됩니다.

클라이언트용 PKI 인증서

Windows 클라이언트 컴퓨터

소프트웨어 업데이트 지점을 제외하고 이 인증서는 IIS를 실행하고 HTTPS 클라이언트 연결을 지원하는 사이트 시스템에 클라이언트를 인증합니다.

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 키 사용량 값에 포함해야 합니다.Digital Signature, Key Encipherment (a0)

  • 클라이언트 컴퓨터에 는 주체 이름 또는 주체 대체 이름 필드에 고유한 값이 있어야 합니다. 사용되는 경우 대체 인증서 선택 조건을 지정하지 않는 한 주체 이름 필드에 로컬 컴퓨터 이름이 포함되어야 합니다. 자세한 내용은 PKI 클라이언트 인증서 선택 계획을 참조하세요.

    참고

    주체 대체 이름에 여러 값을 사용하는 경우 첫 번째 값만 사용합니다.

  • 지원되는 최대 키 길이는 없습니다.

기본적으로 Configuration Manager 컴퓨터 인증서 저장소의 개인 저장소에서 컴퓨터 인증서를 찾습니다.

운영 체제 배포를 위한 작업 순서 미디어

이 인증서는 OSD 작업 순서에서 사용되며 OS 배포 프로세스 중에 컴퓨터가 HTTPS 지원 관리 지점 및 배포 지점에 연결할 수 있도록 합니다. 관리 지점 및 배포 지점에 대한 연결에는 관리 지점에서 클라이언트 정책 검색 및 배포 지점에서 콘텐츠 다운로드와 같은 작업이 포함될 수 있습니다.

이 인증서는 OS 배포 프로세스 중에만 사용됩니다. Windows 및 ConfigMgr 설치 작업 중에 클라이언트가 설치되거나 디바이스에 설치될 때 클라이언트 설치 속성의 일부로 사용되지 않습니다. 이 임시 사용으로 인해 여러 클라이언트 인증서를 사용하지 않으려면 모든 OS 배포에 동일한 인증서를 사용할 수 있습니다.

HTTPS 전용 환경이 있는 경우 작업 순서 미디어에 유효한 인증서가 있어야 합니다. 이 인증서를 사용하면 디바이스가 사이트와 통신하고 배포를 계속할 수 있습니다. 작업 순서가 완료되면 디바이스가 Active Directory에 조인되면 클라이언트가 GPO를 통해 PKI 인증서를 자동으로 생성하거나 다른 방법을 사용하여 PKI 인증서를 설치할 수 있습니다.

참고

이 인증서에 대한 요구 사항은 배포 지점 역할이 있는 사이트 시스템의 서버 인증서와 동일합니다. 요구 사항이 동일하기 때문에 동일한 인증서 파일을 사용할 수 있습니다.

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 인증서 주체 이름 또는 SAN( 주체 대체 이름 ) 필드에 대한 특정 요구 사항은 없습니다. 모든 작업 순서 미디어에 대해 동일한 인증서를 사용할 수 있습니다.

  • 프라이빗 키를 내보낼 수 있어야 합니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

이 인증서를 PKCS #12(공개 키 인증서 표준) 형식으로 내보냅니다. 작업 순서 미디어를 만들 때 인증서를 가져올 수 있도록 암호를 알아야 합니다.

중요

부팅 이미지에는 사이트와 통신할 PKI 인증서가 포함되어 있지 않습니다. 대신 부팅 이미지는 작업 순서 미디어에 추가된 PKI 인증서를 사용하여 사이트와 통신합니다.

작업 순서 미디어에 PKI 인증서를 추가하는 방법에 대한 자세한 내용은 부팅 가능한 미디어 만들기사전 준비된 미디어 만들기를 참조하세요.

macOS 클라이언트 컴퓨터

이 인증서는 통신하는 사이트 시스템 서버에 macOS 클라이언트 컴퓨터를 인증합니다. 예를 들어 관리 지점 및 배포 지점이 있습니다.

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿:

    • Configuration Manager 등록의 경우: 인증된 세션
    • Configuration Manager 독립적인 인증서 설치의 경우: 워크스테이션 인증

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 주체 이름:

    • 사용자 인증서를 만드는 Configuration Manager 인증서 주체 값은 macOS 컴퓨터를 등록하는 사용자의 사용자 이름으로 자동으로 채워집니다.
    • Configuration Manager 등록을 사용하지 않지만 Configuration Manager 독립적으로 컴퓨터 인증서를 배포하는 인증서 설치의 경우 인증서 주체 값은 고유해야 합니다. 예를 들어 컴퓨터의 FQDN을 지정합니다.
    • 주체 대체 이름 필드는 지원되지 않습니다.

  • 지원되는 최대 키 길이는 2,048비트입니다.

모바일 디바이스 클라이언트

이 인증서는 통신하는 사이트 시스템 서버에 모바일 디바이스 클라이언트를 인증합니다. 예를 들어 관리 지점 및 배포 지점이 있습니다.

인증서 요구 사항:

  • 인증서 목적: 클라이언트 인증

  • Microsoft 인증서 템플릿: 인증된 세션

  • 향상된 키 사용량 값에 포함해야 합니다.Client Authentication (1.3.6.1.5.5.7.3.2)

  • 지원되는 최대 키 길이는 2,048비트입니다.

이러한 인증서는 DER(Distinguished Encoding Rules) 인코딩된 이진 X.509 형식이어야 합니다. Base64로 인코딩된 X.509 형식은 지원되지 않습니다.

루트 CA(인증 기관) 인증서

이 인증서는 표준 루트 CA 인증서입니다.

적용 대상:

  • OS 배포
  • 클라이언트 인증서 인증
  • 모바일 디바이스 등록

인증서 목적: 신뢰할 수 있는 원본에 대한 인증서 체인

클라이언트가 통신 서버의 인증서를 신뢰할 수 있는 원본에 연결해야 하는 경우 루트 CA 인증서를 제공해야 합니다. 클라이언트 인증서가 관리 지점 인증서를 발급한 CA 계층 구조와 다른 CA 계층 구조에서 발급된 경우 클라이언트에 대한 루트 CA 인증서를 제공해야 합니다.