다음을 통해 공유


온-프레미스 MDM과의 신뢰할 수 있는 통신에 대한 인증서 설정

적용 대상: Configuration Manager(현재 분기)

온-프레미스 MDM(모바일 디바이스 관리)을 Configuration Manager 관리 디바이스와의 신뢰할 수 있는 통신에 대한 사이트 시스템 역할을 구성해야 합니다. 다음 두 가지 유형의 인증서가 필요합니다.

  • 필요한 사이트 시스템 역할을 호스트하는 서버의 IIS에 있는 웹 서버 인증서 입니다. 한 서버가 여러 사이트 시스템 역할을 호스트하는 경우 해당 서버에 대한 인증서가 하나만 필요합니다. 각 역할이 별도의 서버에 있는 경우 각 서버에는 별도의 인증서가 필요합니다.

  • 웹 서버 인증서를 발급하는 CA(인증 기관)의 신뢰할 수 있는 루트 인증서입니다. 사이트 시스템 역할에 연결해야 하는 모든 디바이스에 이 루트 인증서를 설치합니다.

도메인에 가입된 디바이스의 경우 Active Directory 인증서 서비스를 사용하는 경우 모든 디바이스에 이러한 인증서를 자동으로 설치할 수 있습니다. 도메인에 가입되지 않은 디바이스의 경우 다른 방법을 통해 신뢰할 수 있는 루트 인증서를 설치합니다.

대량 등록 디바이스의 경우 등록 패키지에 인증서를 포함할 수 있습니다. 사용자가 등록한 디바이스의 경우 이메일, 웹 다운로드 또는 기타 방법을 통해 인증서를 추가해야 합니다.

전역적으로 신뢰할 수 있는 공용 인증서 공급자를 사용하여 서버 인증서를 발급하는 경우 각 디바이스에 신뢰할 수 있는 루트 인증서를 수동으로 설치하지 않아도 됩니다. 대부분의 디바이스는 기본적으로 이러한 공공 기관을 신뢰합니다. 이 방법은 다른 방법을 통해 인증서를 설치하는 대신 사용자 등록 디바이스에 유용한 대안입니다.

중요

온-프레미스 MDM에 대한 디바이스와 사이트 시스템 서버 간의 신뢰할 수 있는 통신을 위한 인증서를 설정하는 방법에는 여러 가지가 있습니다. 이 문서의 정보는 이를 수행하는 한 가지 방법의 예입니다. 이 방법을 사용하려면 인증 기관 및 인증 기관 웹 등록 역할이 있는 Active Directory 인증서 서비스가 필요합니다. 자세한 내용은 Active Directory 인증서 서비스를 참조하세요.

CRL 게시

기본적으로 CA(Active Directory 인증 기관)는 LDAP 기반 CRL(인증서 해지 목록)을 사용합니다. 도메인에 가입된 디바이스의 CRL에 연결할 수 있습니다. 도메인에 가입되지 않은 디바이스가 CA에서 발급된 인증서를 신뢰하도록 허용하려면 HTTP 기반 CRL을 추가합니다.

  1. 사이트에 대한 인증 기관을 실행하는 서버에서 시작 메뉴로 이동하여 관리 도구를 선택하고 인증 기관을 선택합니다.

  2. 인증 기관 콘솔에서 CertificateAuthority를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  3. CertificateAuthority 속성에서 확장 탭으로 전환 합니다 . 확장 선택CDP(CRL 배포 지점)로 설정되어 있는지 확인합니다.

  4. 를 선택합니다 http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. 그런 다음, 다음 옵션을 선택합니다.

    • CRL에 를 포함합니다. 클라이언트는 이를 사용하여 델타 CRL 위치를 찾습니다.

    • 발급된 인증서의 CDP 확장에 포함합니다.

    • 발급된 CRL의 IDP 확장에 포함

  5. 종료 모듈 탭으로 전환합니다. 속성을 선택한 다음, 인증서를 파일 시스템에 게시할 수 있도록 허용을 선택합니다. Active Directory 인증서 서비스를 다시 시작하라는 알림이 표시됩니다.

  6. 해지된 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 게시를 선택합니다.

  7. CRL 게시 창에서 델타 CRL만을 선택한 다음 확인을 선택하여 창을 닫습니다.

인증서 템플릿 만들기

CA는 웹 서버 인증서 템플릿을 사용하여 사이트 시스템 역할을 호스트하는 서버에 대한 인증서를 발급합니다. 이러한 서버는 사이트 시스템 역할과 등록된 디바이스 간의 신뢰할 수 있는 통신을 위한 SSL 엔드포인트가 됩니다.

  1. ConfigMgr MDM 서버라는 도메인 보안 그룹을 만듭니다. 사이트 시스템 서버의 컴퓨터 계정을 그룹에 추가합니다.

  2. 인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다. 이 작업은 인증서 템플릿 콘솔을 로드합니다.

  3. 결과 창에서 템플릿 표시 이름 열에 웹 서버를 표시하는 항목을 마우스 오른쪽 단추로 클릭한 다음 템플릿 복제를 선택합니다.

  4. 중복 템플릿 창에서 Windows 2003 Server, Enterprise Edition 또는 Windows 2008 Server, Enterprise Edition 선택한 다음 확인을 선택합니다.

    Configuration Manager V3 또는 암호화: 차세대(CNG) 인증서라고도 하는 Windows 2008 Server 인증서 템플릿을 지원합니다. 자세한 내용은 CNG v3 인증서 개요를 참조하세요.

    CA가 Windows Server 2012 이상에서 실행되는 경우 이 창에는 인증서 템플릿 버전에 대한 옵션이 표시되지 않습니다. 템플릿을 복제한 후 템플릿 속성의 호환성 탭에서 버전을 선택합니다.

  5. 새 템플릿의 속성 창의 일반 탭에서 템플릿 이름을 입력합니다. CA는 이 이름을 사용하여 Configuration Manager 사이트 시스템에서 사용할 웹 인증서를 생성합니다. 예를 들어 ConfigMgr MDM 웹 서버를 입력합니다.

  6. 주체 이름 탭으로 전환하고 Active Directory 정보에서 빌드를 선택합니다. 주체 이름 형식에 대해 DNS 이름을 지정합니다. UPN(사용자 계정 이름)을 선택한 경우 대체 주체 이름에 대한 옵션을 사용하지 않도록 설정합니다.

  7. 보안 탭으로 전환합니다.

    1. 도메인 관리자엔터프라이즈 관리자 보안 그룹에서 등록 권한을 제거합니다.

    2. 추가를 선택하고 보안 그룹의 이름을 입력합니다. 예를 들어 ConfigMgr MDM 서버입니다. 확인을 선택하여 창을 닫습니다.

    3. 이 그룹에 대한 등록 권한을 선택합니다. 읽기 권한을 제거하지 마세요.

  8. 확인을 선택하여 변경 내용을 저장하고 인증서 템플릿 콘솔을 닫습니다.

  9. 인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급 할 인증서 템플릿을 선택합니다.

  10. 인증서 템플릿 사용 창에서 새 템플릿을 선택합니다. 예를 들어 ConfigMgr MDM 웹 서버입니다. 그런 다음 확인을 선택하여 창을 저장하고 닫습니다.

인증서 요청

이 프로세스에서는 IIS에 대한 웹 서버 인증서를 요청하는 방법을 설명합니다. 온-프레미스 MDM에 대한 역할 중 하나를 호스트하는 각 사이트 시스템 서버에 대해 이 프로세스를 수행합니다.

  1. 역할 중 하나를 호스트하는 사이트 시스템 서버에서 관리자 권한으로 명령 프롬프트를 엽니다. 를 입력 mmc 하여 빈 Microsoft 관리 콘솔을 엽니다.

  2. 콘솔 창에서 파일 메뉴로 이동하여 스냅인 추가/제거를 선택합니다.

    1. 사용 가능한 스냅인 목록에서 인증서 를 선택하고 추가를 선택합니다.

    2. 인증서 스냅인 창에서 컴퓨터 계정을 선택합니다. 다음을 선택한 다음 마침을 선택하여 로컬 컴퓨터를 관리합니다.

    3. 확인을 선택하여 스냅인 추가 또는 제거 창을 종료합니다.

  3. 인증서(로컬 컴퓨터)를 확장하고 개인 저장소를 선택합니다. 작업 메뉴로 이동하여 모든 작업을 선택하고 새 인증서 요청을 선택합니다. 이 작업은 Active Directory 인증서 서비스와 통신하여 이전에 만든 템플릿을 사용하여 새 인증서를 만듭니다.

    1. 인증서 등록 마법사의 시작하기 전에 페이지에서 다음을 선택합니다.

    2. 인증서 등록 정책 선택 페이지에서 Active Directory 등록 정책을 선택한 다음, 다음을 선택합니다.

    3. 웹 서버 인증서 템플릿(ConfigMgr MDM 웹 서버)을 선택한 다음 , 등록을 선택합니다.

    4. 인증서를 요청한 후 마침을 선택합니다.

각 서버에는 고유한 웹 서버 인증서가 필요합니다. 필요한 사이트 시스템 역할 중 하나를 호스트하는 모든 서버에 대해 이 프로세스를 반복합니다. 한 서버가 모든 사이트 시스템 역할을 호스트하는 경우 하나의 웹 서버 인증서만 요청하면 됩니다.

인증서 바인딩

다음 단계는 새 인증서를 웹 서버에 바인딩하는 것입니다. 등록 지점등록 프록시 지점 사이트 시스템 역할을 호스트하는 각 서버에 대해 이 프로세스를 수행합니다. 한 서버가 모든 사이트 시스템 역할을 호스트하는 경우 이 프로세스를 한 번만 수행하면 됩니다.

참고

배포 지점 및 디바이스 관리 지점 사이트 시스템 역할에 대해 이 프로세스를 수행할 필요가 없습니다. 등록하는 동안 필요한 인증서를 자동으로 받습니다.

  1. 등록 지점 또는 등록 프록시 지점을 호스트하는 서버에서 시작 메뉴로 이동하여 관리 도구를 선택하고 IIS 관리자를 선택합니다.

  2. 연결 목록에서 기본 웹 사이트를 선택한 다음 바인딩 편집을 선택합니다.

    1. 사이트 바인딩 창에서 https를 선택한 다음 편집을 선택합니다.

    2. 사이트 바인딩 편집 창에서 SSL 인증서에 대해 새로 등록된 인증서를 선택합니다. 확인을 선택하여 저장한 다음, 닫기를 선택합니다.

  3. IIS 관리자 콘솔의 연결 목록에서 웹 서버를 선택합니다. 오른쪽의 작업 패널에서 다시 시작을 선택합니다. 이 작업은 웹 서버 서비스를 다시 시작합니다.

신뢰할 수 있는 루트 인증서 내보내기

Active Directory 인증서 서비스는 모든 도메인 가입 디바이스에 CA에서 필요한 인증서를 자동으로 설치합니다. 도메인에 가입되지 않은 디바이스가 사이트 시스템 역할과 통신하는 데 필요한 인증서를 가져오려면 웹 서버에 바인딩된 인증서에서 내보냅니다.

  1. IIS 관리자에서 기본 웹 사이트를 선택합니다. 오른쪽의 작업 패널에서 바인딩을 선택합니다.

  2. 사이트 바인딩 창에서 https를 선택한 다음 편집을 선택합니다.

  3. 웹 서버 인증서를 선택하고 보기를 선택합니다.

  4. 웹 서버 인증서의 속성에서 인증 경로 탭으로 전환합니다. 인증 경로의 루트를 선택하고 인증서 보기를 선택합니다.

  5. 루트 인증서의 속성에서 세부 정보 탭으로 전환한 다음 파일에 복사를 선택합니다.

  6. 인증서 내보내기 마법사의 시작 페이지에서 다음을 선택합니다.

  7. DER 인코딩된 이진 X.509(를 선택합니다. CER) 형식으로 다음을 선택합니다.

  8. 경로 및 파일 이름을 입력하여 이 신뢰할 수 있는 루트 인증서를 식별합니다. 파일 이름에 대해 찾아보기...를 클릭하고 인증서 파일을 저장할 위치를 선택하고 파일 이름을 지정한 다음 다음을 선택합니다.

  9. 설정을 검토하고 마침 을 선택하여 인증서를 파일로 내보냅니다.

인증 기관 디자인에 따라 하위 CA 루트 인증서를 추가로 내보내야 할 수 있습니다. 이 프로세스를 반복하여 웹 서버 인증서의 인증 경로에 있는 다른 인증서를 내보냅니다.

다음 단계