CMG 서버 인증 인증서

아티클
12/01/2023

적용 대상: Configuration Manager(현재 분기)

CMG(클라우드 관리 게이트웨이)를 설정할 때 첫 번째 단계는 서버 인증 인증서를 가져오는 것입니다. CMG는 인터넷 기반 클라이언트가 연결하는 HTTPS 서비스를 만듭니다. 서버에서 보안 채널을 빌드하려면 서버 인증 인증서가 필요합니다. 공용 공급자로부터 이 목적을 위해 인증서를 획득하거나 PKI(공개 키 인프라)에서 인증서를 발급할 수 있습니다.

Configuration Manager 콘솔에서 CMG를 만들 때 이 인증서를 제공합니다. 이 인증서의 CN(일반 이름)은 CMG의 서비스 이름을 정의합니다.

참고

클라이언트 및 관리 지점에 대한 추가 인증서가 필요할 수 있습니다. 이러한 인증서는 CMG 설정 프로세스의 세 번째 단계인 클라이언트 인증 구성에서 다룹니다.

이 문서에서 사용되는 몇 가지 CMG 용어를 상기시켜 줍니다.

서비스 이름: CMG 서버 인증 인증서의 CN(일반 이름)입니다. 클라이언트 및 CMG 연결 지점 사이트 시스템 역할은 이 서비스 이름과 통신합니다. 예를 들어 GraniteFalls.contoso.com 또는 GraniteFalls.WestUS.CloudApp.Azure.Com입니다.
배포 이름: 서비스 이름의 첫 번째 부분과 클라우드 서비스 배포를 위한 Azure 위치입니다. 서비스 연결 지점의 클라우드 서비스 관리자 구성 요소는 Azure에서 CMG를 배포할 때 이 이름을 사용합니다. 배포 이름은 항상 Azure 도메인에 있습니다. Azure 위치는 배포 방법에 따라 달라집니다. 예를 들면 다음과 같습니다.
- 가상 머신 확장 집합: GraniteFalls.WestUS.CloudApp.Azure.Com
- 클래식 배포: GraniteFalls.CloudApp.Net
중요

이 문서에서는 버전 2107 이상에서 권장되는 배포 방법으로 가상 머신 확장 집합의 예제를 사용합니다. 클래식 배포를 사용하는 경우 이 문서를 읽고 서버 인증 인증서를 준비할 때 차이점을 확인합니다.

인증서 유형 선택

먼저 인증서를 가져올 위치를 결정합니다. 고려해야 할 몇 가지 요소가 있습니다.

클라이언트는 CMG 서비스를 사용하여 HTTPS 채널을 설정하려면 CMG 서버 인증 인증서를 신뢰해야 합니다. 이 트러스트를 수행하는 방법에는 두 가지가 있습니다.

퍼블릭 및 전역적으로 신뢰할 수 있는 인증서 공급자의 인증서를 사용합니다.
- Windows 클라이언트에는 이러한 공급자의 신뢰할 수 있는 루트 CA(인증 기관)가 포함됩니다. 이러한 공급자 중 하나에서 발급한 인증서를 사용하여 클라이언트는 인증서를 자동으로 신뢰합니다.
- 공급자와 관련된 이 인증서와 관련된 비용이 있습니다.
PKI(공개 키 인프라)에서 엔터프라이즈 CA에서 발급한 인증서를 사용합니다.
- 대부분의 엔터프라이즈 PKI 구현은 신뢰할 수 있는 루트 CA를 Windows 클라이언트에 추가합니다. 예를 들어 그룹 정책과 함께 Active Directory 인증서 서비스를 사용하는 경우입니다. 클라이언트가 자동으로 신뢰하지 않는 CA에서 CMG 서버 인증 인증서를 발급하는 경우 CA 신뢰할 수 있는 루트 인증서를 인터넷 기반 클라이언트에 추가합니다.
  
  Intune에서 Configuration Manager 클라이언트를 설치하려는 경우 Intune 인증서 프로필을 사용하여 클라이언트에서 인증서를 프로비전할 수도 있습니다. 자세한 내용은 인증서 프로필 구성을 참조하세요.
- organization 인증서를 발급하는 데 내부 비용이 들 수 있지만 일반적으로 이 인증서와 관련된 외부 비용은 없습니다.

중요

이 인증서를 가져오기 전에 서비스 이름이 클라우드 서비스 및 스토리지 계정에 대해 전역적으로 고유한지 확인합니다. 또한 이름이 지원되는 문자를 사용하는지 확인합니다. 자세한 내용은 전역적으로 고유한 이름을 참조하세요.

인증서 유형의 요약 비교

	공용 공급자	Enterprise PKI
클라이언트 신뢰	기본적으로 Windows에서 신뢰할 수 있음	일부 구현이 있는 자동이며, 그렇지 않으면 배포해야 합니다.
비용	예	일반적이지 않음
서비스 이름 예제	`GraniteFalls.contoso.com`	`GraniteFalls.contoso.com` 또는 `GraniteFalls.WestUS.CloudApp.Azure.Com`
DNS CNAME 필요	예	Azure 도메인 서비스 이름에 대한 아니요(`GraniteFalls.WestUS.CloudApp.Azure.Com`)

참고

CMG 서버 인증 인증서는 와일드카드를 지원합니다. 일부 인증 기관은 서비스 이름 접두사에 와일드카드 문자를 사용하여 인증서를 발급합니다. 예를 들면 *.contoso.com와 같습니다. 일부 조직에서는 와일드카드 인증서를 사용하여 PKI를 단순화하고 유지 관리 비용을 절감합니다.

CMG에서 와일드카드 인증서를 사용하는 방법에 대한 자세한 내용은 CMG 설정을 참조하세요.

전역적으로 고유한 이름

이 인증서는 Azure에서 서비스를 식별하기 위해 전역적으로 고유한 이름이 필요합니다. 인증서를 요청하기 전에 원하는 Azure 배포 이름이 고유한지 확인합니다. 예를 들면 GraniteFalls.WestUS.CloudApp.Azure.Com와 같습니다.

가상 머신 확장 집합

Azure 포털에 로그인합니다.
Azure Portal 홈페이지에서 Azure 서비스에서 리소스 만들기를 선택합니다.
가상 머신 확장 집합을 검색합니다. 만들기를 선택합니다.
CMG에 사용할 구독 및 리소스 그룹을 선택합니다.
가상 머신 확장 집합 이름 필드에 원하는 접두사를 입력합니다. 예를 들면 GraniteFalls와 같습니다.
CMG에 사용할 지역을 선택합니다. 예를 들어 (미국) 미국 서부.

인터페이스는 도메인 이름을 사용할 수 있는지 아니면 다른 서비스에서 이미 사용 중인지를 반영합니다.

중요

포털에서 서비스를 만들지 말고 이 프로세스를 사용하여 이름 가용성을 검사.

Key Vault 리소스에 대해 이 프로세스를 반복합니다. 가상 머신 확장 집합 배포는 동일한 이름의 키 자격 증명 모음을 만들며 전역적으로 고유해야 합니다.

콘텐츠 사용 CMG 스토리지 계정

콘텐츠에 대해 CMG를 사용하도록 설정하는 경우 고유한 Azure Storage 계정 이름이기도 했는지 확인합니다. CMG 배포 이름이 고유하지만 스토리지 계정이 아닌 경우 Configuration Manager Azure에서 서비스를 프로비전하지 못합니다. 다음 변경 내용을 사용하여 Azure Portal 위의 프로세스를 반복합니다.

Storage 계정을 검색합니다.
스토리지 계정 이름 필드에서 이름을 테스트합니다.

중요

DNS 이름 접두사는 3~24자여야 하며 숫자와 소문자만 포함됩니다. 대시(-)와 같은 특수 문자를 사용하지 마세요. 예: granitefalls.

인증서 발급

CMG 서버 인증 인증서는 다음 구성을 지원합니다.

2048비트 또는 4096비트 키 길이
이 인증서는 인증서 프라이빗 키(v3)에 대한 키 스토리지 공급자를 지원합니다. 자세한 내용은 CNG v3 인증서 개요를 참조하세요.

공용 공급자 인증서 사용

타사 인증서 공급자는 Microsoft가 해당 도메인을 소유하기 때문에 와 같은 cloudapp.azure.comAzure 도메인에 대한 인증서를 만들 수 없습니다. 소유한 도메인에 대해서만 발급된 인증서를 가져올 수 있습니다. 타사 공급자로부터 인증서를 획득하는 기본 이유는 클라이언트가 해당 공급자의 루트 인증서를 이미 신뢰하기 때문입니다.

이 인증서를 가져오는 특정 프로세스는 공급자에 따라 다릅니다. 자세한 내용은 타사 인증서 공급자에게 문의하세요.

웹 서버 인증서 CN(일반 이름)의 경우:

배포 이름이 클라우드 서비스 및 스토리지 계정에 대한 Azure에서 전역적으로 고유한지 확인했습니다. 예를 들면 GraniteFalls.WestUS.CloudApp.Azure.Com와 같습니다.
서비스 이름을 확인하려면 배포 이름 접두사(GraniteFalls)를 organization 도메인 이름()에contoso.com 추가합니다.
CN(인증서 일반 이름)에 이 서비스 이름을 사용합니다. 예를 들면 GraniteFalls.contoso.com와 같습니다.

다음으로 DNS CNAME 별칭을 만들어야 합니다.

엔터프라이즈 PKI 인증서 사용

organization PKI에서 웹 서버 인증서를 발급하는 것은 제품에 따라 다릅니다. 클라우드 기반 배포 지점에 대한 서비스 인증서 배포 지침은 Active Directory 인증서 서비스에 대한 것입니다. 이 프로세스는 일반적으로 CMG 서버 인증 인증서에 적용됩니다.

웹 서버 인증서 CN(일반 이름)의 경우:

배포 이름이 클라우드 서비스 및 스토리지 계정에 대한 Azure에서 전역적으로 고유한지 확인했습니다. 예를 들면 GraniteFalls.WestUS.CloudApp.Azure.Com와 같습니다.
서비스 이름을 확인하려면 다음 두 가지 옵션이 있습니다.
- 도메인 이름(권장)을 사용합니다. 배포 이름 접두사(GraniteFalls)를 organization 도메인 이름()에contoso.com 추가합니다. 예를 들면 GraniteFalls.contoso.com와 같습니다. 이 옵션의 경우 DNS CNAME 별칭도 만들어야 합니다.
- Azure 배포 이름을 사용합니다. 이 옵션에는 DNS CNAME 별칭이 필요하지 않습니다. 예를 들면
  - Azure 퍼블릭 클라우드의 경우: GraniteFalls.WestUS.CloudApp.Azure.Com.
  - Azure 미국 정부 클라우드의 경우: GraniteFalls.usgovcloudapp.net.
  참고
  
  Azure 배포 이름이 변경되면 서비스를 다시 배포하여 이 서비스 이름을 변경해야 합니다. 예를 들어 서비스 이름이 도메인에 있는 cloudapp.net 경우 클래식 클라우드 서비스 CMG를 가상 머신 확장 집합으로 변환할 수 없습니다. CMG 서비스 이름에 도메인 이름을 사용하는 경우 새 배포 이름에 대한 DNS CNAME을 업데이트할 수 있습니다.
CN(인증서 일반 이름)에 이 서비스 이름을 사용합니다.

DNS CNAME 별칭 만들기

CMG 서비스 이름이 organization 도메인 이름()GraniteFalls.contoso.com을 사용하는 경우 DNS CNAME(정식 이름 레코드)을 만들어야 합니다. 이 별칭은 서비스 이름을배포 이름에 매핑합니다.

organization 공용 DNS에 CNAME 레코드를 만듭니다. Azure의 CMG 서비스와 이를 사용하는 모든 클라이언트는 서비스 이름을 resolve 합니다. 예를 들면

Contoso는 CMG GraniteFalls의 이름을 지정합니다.
Azure의 배포 이름은 입니다 GraniteFalls.WestUS.CloudApp.Azure.Com.
Contoso의 공용 DNS contoso.com 네임스페이스에서 DNS 관리자는 서비스 이름 GraniteFalls.contoso.com 에 대한 새 CNAME 레코드를 Azure 배포 이름 GraniteFalls.WestUS.CloudApp.Azure.Com에 만듭니다.

CMG를 만들 때 인증서에는 GraniteFalls.contoso.com CN이 있지만 Configuration Manager 서비스 이름 접두사(예: GraniteFalls)만 추출합니다. 이 접두사를 지역()과 함께 Azure 서비스 도메인(cloudapp.azure.comwestus)에 추가하여 배포 이름을 만듭니다. 예를 들면 GraniteFalls.WestUS.CloudApp.Azure.Com와 같습니다. 도메인(contoso.com)의 DNS 네임스페이스에 있는 CNAME 별칭은 이러한 두 FQDN을 함께 매핑합니다.

Configuration Manager 클라이언트 정책에는 CMG 서비스 이름 가 GraniteFalls.contoso.com포함됩니다. 클라이언트는 CNAME 별칭을 통해 서비스 이름을 배포 이름 GraniteFalls.WestUS.CloudApp.Azure.Com로 확인합니다. 그런 다음 배포 이름의 IP 주소를 resolve Azure의 서비스와 통신할 수 있습니다.

다음 단계

Microsoft Entra ID를 구성하여 CMG 설정을 계속합니다.

Microsoft Entra ID 구성