Configuration Manager PKI 인증서 계획
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 사용 가능한 경우 PKI(공개 키 인프라) 기반 디지털 인증서를 사용합니다. 보안 강화를 위해 이러한 인증서를 사용하는 것이 좋지만 대부분의 시나리오에서는 필요하지 않습니다. Configuration Manager 독립적으로 이러한 인증서를 배포하고 관리해야 합니다.
이 문서에서는 구현을 계획하는 데 도움이 되는 Configuration Manager PKI 인증서에 대한 정보를 제공합니다. Configuration Manager 인증서 사용에 대한 자세한 내용은 Configuration Manager 인증서를 참조하세요.
PKI 인증서 해지
Configuration Manager PKI 인증서를 사용하는 경우 CRL(인증서 해지 목록)을 사용할 계획입니다. 디바이스는 CRL을 사용하여 연결 컴퓨터에서 인증서를 확인합니다. CRL은 CA(인증 기관)가 만들고 서명하는 파일입니다. CA가 발급했지만 해지한 인증서 목록이 있습니다. 인증서 관리자가 인증서를 해지하면 해당 지문이 CRL에 추가됩니다. 예를 들어 발급된 인증서가 손상된 것으로 알려지거나 의심되는 경우입니다.
중요
CA에서 발급할 때 CRL의 위치가 인증서에 추가되므로 Configuration Manager 사용하는 PKI 인증서를 배포하기 전에 CRL을 계획해야 합니다.
IIS는 항상 클라이언트 인증서에 대한 CRL을 확인하며 Configuration Manager 이 구성을 변경할 수 없습니다. 기본적으로 Configuration Manager 클라이언트는 항상 사이트 시스템에 대해 CRL을 검사. 사이트 속성을 지정하고 CCMSetup 속성을 지정하여 이 설정을 사용하지 않도록 설정합니다.
인증서 해지 검사를 사용하지만 CRL을 찾을 수 없는 컴퓨터는 인증 체인의 모든 인증서가 해지된 것처럼 동작합니다. 이 동작은 인증서가 인증서 해지 목록에 있는지 확인할 수 없기 때문입니다. 이 시나리오에서는 인증서가 필요하고 CRL 검사를 포함하는 모든 연결이 실패합니다. HTTP 위치로 이동하여 CRL에 액세스할 수 있는지 확인하는 경우 Configuration Manager 클라이언트가 로컬 시스템으로 실행됩니다. 사용자 컨텍스트에서 웹 브라우저를 사용하여 CRL 접근성을 테스트하는 것은 성공할 수 있지만 동일한 CRL URL에 대한 HTTP 연결을 시도할 때 컴퓨터 계정이 차단될 수 있습니다. 예를 들어 프록시와 같은 내부 웹 필터링 솔루션으로 인해 차단될 수 있습니다. 모든 웹 필터링 솔루션에 대해 승인된 목록에 CRL URL을 추가합니다.
인증서가 사용될 때마다 CRL을 확인하면 해지된 인증서를 사용하지 않도록 보안을 강화합니다. 클라이언트에서 연결 지연 및 더 많은 처리가 발생합니다. organization 인터넷 또는 신뢰할 수 없는 네트워크의 클라이언트에 대해 이 보안 검사 요구할 수 있습니다.
Configuration Manager 클라이언트가 CRL을 검사 할지 여부를 결정하기 전에 PKI 관리자에게 문의하세요. 다음 조건이 모두 충족되면 이 옵션을 Configuration Manager 사용하도록 설정하는 것이 좋습니다.
PKI 인프라는 CRL을 지원하며 모든 Configuration Manager 클라이언트가 CRL을 찾을 수 있는 위치에 게시됩니다. 이러한 클라이언트에는 인터넷의 디바이스와 신뢰할 수 없는 포리스트의 디바이스가 포함될 수 있습니다.
PKI 인증서를 사용하도록 구성된 사이트 시스템에 대한 각 연결에 대해 CRL을 검사 요구 사항은 다음 요구 사항보다 큽니다.
- 더 빠른 연결
- 클라이언트에서 효율적인 처리
- 클라이언트가 CRL을 찾을 수 없는 경우 서버에 연결하지 못하는 위험
PKI 신뢰할 수 있는 루트 인증서
IIS 사이트 시스템에서 HTTP를 통한 클라이언트 인증 또는 HTTPS를 통한 클라이언트 인증 및 암호화에 PKI 클라이언트 인증서를 사용하는 경우 루트 CA 인증서를 사이트 속성으로 가져와야 할 수 있습니다. 두 가지 시나리오는 다음과 같습니다.
Configuration Manager 사용하여 운영 체제를 배포하고 관리 지점에서는 HTTPS 클라이언트 연결만 허용합니다.
관리 지점에서 신뢰하는 루트 인증서에 연결하지 않는 PKI 클라이언트 인증서를 사용합니다.
참고
관리 지점에 사용하는 서버 인증서를 발급하는 동일한 CA 계층에서 클라이언트 PKI 인증서를 발급하는 경우 이 루트 CA 인증서를 지정할 필요가 없습니다. 그러나 여러 CA 계층을 사용하고 서로 신뢰하는지 확실하지 않은 경우 클라이언트의 CA 계층 구조에 대한 루트 CA를 가져옵니다.
Configuration Manager 루트 CA 인증서를 가져와야 하는 경우 발급 CA 또는 클라이언트 컴퓨터에서 내보냅니다. 루트 CA이기도 한 발급 CA에서 인증서를 내보내는 경우 프라이빗 키를 내보내지 마세요. 변조를 방지하기 위해 내보낸 인증서 파일을 안전한 위치에 저장합니다. 사이트를 설정할 때 파일에 액세스해야 합니다. 네트워크를 통해 파일에 액세스하는 경우 IPsec을 사용하여 통신이 변조되지 않도록 보호해야 합니다.
가져오는 루트 CA 인증서가 갱신된 경우 갱신된 인증서를 가져옵니다.
이러한 가져온 루트 CA 인증서 및 각 관리 지점의 루트 CA 인증서는 인증서 발급자 목록을 만듭니다. Configuration Manager 컴퓨터는 다음과 같은 방법으로 이 목록을 사용합니다.
클라이언트가 관리 지점에 연결되면 관리 지점에서 클라이언트 인증서가 사이트의 인증서 발급자 목록에서 신뢰할 수 있는 루트 인증서에 연결되어 있는지 확인합니다. 그렇지 않으면 인증서가 거부되고 PKI 연결이 실패합니다.
클라이언트가 PKI 인증서를 선택하고 인증서 발급자 목록이 있는 경우 인증서 발급자 목록에서 신뢰할 수 있는 루트 인증서에 연결된 인증서를 선택합니다. 일치하는 항목이 없으면 클라이언트가 PKI 인증서를 선택하지 않습니다. 자세한 내용은 PKI 클라이언트 인증서 선택을 참조하세요.
PKI 클라이언트 인증서 선택
IIS 사이트 시스템에서 HTTP를 통한 클라이언트 인증 또는 HTTPS를 통한 클라이언트 인증 및 암호화에 PKI 클라이언트 인증서를 사용하는 경우 Windows 클라이언트가 Configuration Manager 사용할 인증서를 선택하는 방법을 계획합니다.
참고
일부 디바이스는 인증서 선택 방법을 지원하지 않습니다. 대신 인증서 요구 사항을 충족하는 첫 번째 인증서를 자동으로 선택합니다. 예를 들어 macOS 컴퓨터 및 모바일 디바이스의 클라이언트는 인증서 선택 방법을 지원하지 않습니다.
대부분의 경우 기본 구성 및 동작으로 충분합니다. Windows 컴퓨터의 Configuration Manager 클라이언트는 다음 순서대로 다음 조건을 사용하여 여러 인증서를 필터링합니다.
인증서 발급자 목록: 관리 지점에서 신뢰할 수 있는 루트 CA에 대한 인증서 체인입니다.
인증서는 Personal의 기본 인증서 저장소에 있습니다.
인증서가 유효하고 해지되지 않았으며 만료되지 않았습니다. 유효성 검사 프라이빗 키에 액세스할 수 있는지도 확인합니다.
인증서에는 클라이언트 인증 기능이 있습니다.
인증서 주체 이름에는 로컬 컴퓨터 이름을 부분 문자열로 포함합니다.
인증서의 유효 기간이 가장 깁니다.
다음 메커니즘을 사용하여 인증서 발급자 목록을 사용하도록 클라이언트를 구성합니다.
Active Directory Domain Services Configuration Manager 사이트 정보를 사용하여 게시합니다.
클라이언트 푸시를 사용하여 클라이언트를 설치합니다.
클라이언트는 사이트에 성공적으로 할당된 후 관리 지점에서 다운로드합니다.
클라이언트 설치 중에 CCMCERTISSUERS의 CCMSetup client.msi 속성으로 지정합니다.
클라이언트가 처음 설치되었을 때 인증서 발급자 목록이 없고 아직 사이트에 할당되지 않은 경우 이 검사 건너뜁니다. 클라이언트에 인증서 발급자 목록이 있고 인증서 발급자 목록에서 신뢰할 수 있는 루트 인증서에 연결된 PKI 인증서가 없으면 인증서 선택이 실패합니다. 클라이언트는 다른 인증서 선택 조건을 계속 사용하지 않습니다.
대부분의 경우 Configuration Manager 클라이언트는 고유하고 적절한 PKI 인증서를 올바르게 식별합니다. 이 동작이 그렇지 않은 경우 클라이언트 인증 기능을 기반으로 인증서를 선택하는 대신 두 가지 대체 선택 방법을 설정할 수 있습니다.
클라이언트 인증서 주체 이름에 대한 부분 문자열 일치입니다. 이 메서드는 대/소문자를 구분하지 않는 일치 항목입니다. 주체 필드에 컴퓨터의 FQDN(정규화된 도메인 이름)을 사용하고 도메인 접미사(예: contoso.com)를 기반으로 인증서를 선택하려는 경우에 적합합니다. 이 선택 방법을 사용하여 인증서 주체 이름에서 클라이언트 인증서 저장소의 다른 사용자와 인증서를 구분하는 순차적 문자 문자열을 식별할 수 있습니다.
참고
SAN(주체 대체 이름)과 부분 문자열 일치를 사이트 설정으로 사용할 수 없습니다. CCMSetup을 사용하여 SAN에 대한 부분 문자열 일치를 지정할 수 있지만 다음 시나리오에서는 사이트 속성으로 덮어씁니다.
- 클라이언트는 Active Directory Domain Services 게시된 사이트 정보를 검색합니다.
- 클라이언트는 클라이언트 강제 설치를 사용하여 설치됩니다.
수동으로 클라이언트를 설치하고 Active Directory Domain Services 사이트 정보를 검색하지 않는 경우에만 SAN에서 부분 문자열 일치를 사용합니다. 예를 들어 이러한 조건은 인터넷 전용 클라이언트에 적용됩니다.
클라이언트 인증서 주체 이름 특성 값 또는 SAN(주체 대체 이름) 특성 값과 일치합니다. 이 메서드는 대/소문자를 구분하는 일치 항목입니다. RFC 3280을 준수하여 X500 고유 이름 또는 동등한 OID(개체 식별자)를 사용하고 인증서를 특성 값에 따라 선택하려는 경우에 적합합니다. 인증서를 고유하게 식별하거나 유효성을 검사하고 인증서 저장소의 다른 인증서와 구별하는 데 필요한 특성 및 해당 값만 지정할 수 있습니다.
다음 표에서는 클라이언트 인증서 선택 조건에 대해 Configuration Manager 지원하는 특성 값을 보여 줍니다.
OID 특성 | 고유 이름 특성 | 특성 정의 |
---|---|---|
0.9.2342.19200300.100.1.25 | Dc | 도메인 구성 요소 |
1.2.840.113549.1.9.1 | 전자 메일 또는 전자 메일 | 전자 메일 주소 |
2.5.4.3 | Cn | 일반 이름 |
2.5.4.4 | Sn | 주체 이름 |
2.5.4.5 | SERIALNUMBER | 일련 번호 |
2.5.4.6 | C | 국가 번호 |
2.5.4.7 | L | 지역 |
2.5.4.8 | S 또는 ST | 주 또는 주 이름 |
2.5.4.9 | 거리 | 나머지 주소 |
2.5.4.10 | O | 조직 이름 |
2.5.4.11 | Ou | 조직 구성 단위 |
2.5.4.12 | T 또는 제목 | 제목 |
2.5.4.42 | G 또는 GN 또는 GivenName | 지정된 이름 |
2.5.4.43 | I 또는 이니셜 | 이니셜 |
2.5.29.17 | (값 없음) | 주체 대체 이름 |
참고
위의 대체 인증서 선택 방법 중 하나를 구성하는 경우 인증서 주체 이름은 로컬 컴퓨터 이름을 포함할 필요가 없습니다.
선택 조건이 적용된 후 둘 이상의 적절한 인증서가 있는 경우 기본 구성을 재정의하여 유효 기간이 가장 긴 인증서를 선택할 수 있습니다. 대신 인증서가 선택되지 않음을 지정할 수 있습니다. 이 시나리오에서는 클라이언트가 PKI 인증서를 사용하여 IIS 사이트 시스템과 통신할 수 없습니다. 클라이언트는 할당된 대체 상태 지점으로 오류 메시지를 보내 인증서 선택 실패를 경고합니다. 그런 다음 인증서 선택 조건을 변경하거나 구체화할 수 있습니다.
그러면 클라이언트 동작은 실패한 연결이 HTTPS 또는 HTTP를 통해 수행되었는지 여부에 따라 달라집니다.
실패한 연결이 HTTPS를 통해 수행된 경우: 클라이언트는 HTTP를 통해 연결을 시도하고 클라이언트 자체 서명된 인증서를 사용합니다.
실패한 연결이 HTTP를 통해 수행된 경우: 클라이언트는 자체 서명된 클라이언트 인증서를 사용하여 HTTP를 통해 다시 연결하려고 시도합니다.
고유한 PKI 클라이언트 인증서를 식별하기 위해 컴퓨터 저장소에서 기본값인 Personal 이외의 사용자 지정 저장소를 지정할 수도 있습니다. Configuration Manager 외부에서 사용자 지정 인증서 저장소를 만듭니다. 이 사용자 지정 저장소에 인증서를 배포하고 유효 기간이 만료되기 전에 갱신할 수 있어야 합니다.
자세한 내용은 클라이언트 PKI 인증서에 대한 설정 구성을 참조하세요.
PKI 인증서에 대한 전환 전략
Configuration Manager 유연한 구성 옵션을 사용하면 클라이언트 및 사이트를 점진적으로 전환하여 PKI 인증서를 사용하여 클라이언트 엔드포인트를 보호할 수 있습니다. PKI 인증서는 더 나은 보안을 제공하고 인터넷 클라이언트를 관리할 수 있도록 합니다.
이 계획은 먼저 HTTP를 통한 인증을 위한 PKI 인증서를 도입한 다음, HTTPS를 통한 인증 및 암호화를 위한 것입니다. 이 계획을 따라 이러한 인증서를 점진적으로 도입하면 클라이언트가 관리되지 않는 위험을 줄일 수 있습니다. 또한 Configuration Manager 지원하는 가장 높은 보안을 활용할 수 있습니다.
Configuration Manager 구성 옵션 및 선택 항목의 수로 인해 모든 클라이언트가 HTTPS 연결을 사용하도록 사이트를 전환할 수 있는 단 하나의 방법이 없습니다. 다음 단계에서는 일반적인 지침을 제공합니다.
Configuration Manager 사이트를 설치하고 사이트 시스템에서 HTTPS 및 HTTP를 통한 클라이언트 연결을 허용하게 구성합니다.
사이트 속성에서 Communication Security 탭을 구성합니다. 사이트 시스템 설정을HTTP 또는 HTTPS로 설정하고 사용 가능한 경우 PKI 클라이언트 인증서(클라이언트 인증 기능) 사용을 선택합니다. 자세한 내용은 클라이언트 PKI 인증서에 대한 설정 구성을 참조하세요.
클라이언트 인증서에 대한 PKI 롤아웃을 파일럿합니다. 배포 예제는 Windows 컴퓨터에 대한 클라이언트 인증서 배포를 참조하세요.
클라이언트 푸시 설치 방법을 사용하여 클라이언트를 설치합니다. 자세한 내용은 클라이언트 푸시를 사용하여 Configuration Manager 클라이언트를 설치하는 방법을 참조하세요.
Configuration Manager 콘솔에서 보고서 및 정보를 사용하여 클라이언트 배포 및 상태 모니터링합니다.
자산 및 규정 준수 작업 영역 디바이스 노드에서 클라이언트 인증서 열을 확인하여 클라이언트 PKI 인증서를 사용하는 클라이언트 수를 추적합니다.
참고
PKI 인증서도 있는 클라이언트의 경우 Configuration Manager 콘솔은 클라이언트 인증서 속성을 자체 서명으로 표시합니다. 클라이언트 제어판 클라이언트 인증서 속성에 PKI가 표시됩니다.
Configuration Manager HTTPS 준비 평가 도구(CMHttpsReadiness.exe)를 컴퓨터에 배포할 수도 있습니다. 그런 다음 보고서를 사용하여 Configuration Manager 클라이언트 PKI 인증서를 사용할 수 있는 컴퓨터 수를 확인합니다.
참고
Configuration Manager 클라이언트를 설치하면 폴더에 CMHttpsReadiness.exe 도구가
%windir%\CCM
설치됩니다. 이 도구를 실행할 때 사용할 수 있는 명령줄 옵션은 다음과 같습니다.-
/Store:<Certificate store name>
: 이 옵션은 CCMCERTSTORE client.msi 속성과/Issuers:<Case-sensitive issuer common name>
동일합니다. 이 옵션은 CCMCERTISSUERS client.msi 속성과 동일합니다. -
/Criteria:<Selection criteria>
: 이 옵션은 CCMCERTSEL client.msi 속성과 동일합니다. -
/SelectFirstCert
: 이 옵션은 CCMFIRSTCERT client.msi 속성과 동일합니다.
도구는 디렉터리의 CMHttpsReadiness.log에
CCM\Logs
정보를 출력합니다.자세한 내용은 클라이언트 설치 속성 정보를 참조하세요.
-
충분한 클라이언트가 HTTP를 통한 인증을 위해 클라이언트 PKI 인증서를 성공적으로 사용하고 있다고 확신하는 경우 다음 단계를 수행합니다.
사이트에 대한 다른 관리 지점을 실행하는 멤버 서버에 PKI 웹 서버 인증서를 배포하고 IIS에서 해당 인증서를 구성합니다. 자세한 내용은 IIS를 실행하는 사이트 시스템에 대한 웹 서버 인증서 배포를 참조하세요.
이 서버에 관리 지점 역할을 설치합니다. HTTPS에 대한 관리 지점 속성에서 클라이언트 연결 옵션을 구성합니다.
PKI 인증서가 있는 클라이언트가 HTTPS를 사용하여 새 관리 지점을 사용하는지 모니터링하고 확인합니다. IIS 로깅 또는 성능 카운터를 사용하여 확인할 수 있습니다.
HTTPS 클라이언트 연결을 사용하도록 다른 사이트 시스템 역할을 다시 구성합니다. 인터넷에서 클라이언트를 관리하려면 사이트 시스템에 인터넷 FQDN이 있는지 확인합니다. 인터넷에서 클라이언트 연결을 허용하도록 개별 관리 지점 및 배포 지점을 구성합니다.
중요
인터넷 연결을 허용하도록 사이트 시스템 역할을 설정하기 전에 인터넷 기반 클라이언트 관리를 위한 계획 정보 및 필수 구성 요소를 검토합니다. 자세한 내용은 엔드포인트 간 통신을 참조하세요.
클라이언트 및 IIS를 실행하는 사이트 시스템에 대한 PKI 인증서 롤아웃을 확장합니다. 필요에 따라 HTTPS 클라이언트 연결 및 인터넷 연결에 대한 사이트 시스템 역할을 설정합니다.
가장 높은 보안을 위해: 모든 클라이언트가 인증 및 암호화에 클라이언트 PKI 인증서를 사용하고 있다고 확신하는 경우 HTTPS만 사용하도록 사이트 속성을 변경합니다.