인증서 인프라 구성

아티클
04/04/2023

적용 대상: Configuration Manager(현재 분기)

중요

버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.

Configuration Manager 인증서 인프라를 구성하는 방법을 알아봅니다. 시작하기 전에 인증서 프로필의 필수 구성 요소에 나열된 필수 구성 요소를 확인합니다.

다음 단계를 사용하여 SCEP 또는 PFX 인증서에 대한 인프라를 구성합니다.

1단계 - 네트워크 디바이스 등록 서비스 및 종속성 설치 및 구성(SCEP 인증서에만 해당)

AD CS(Active Directory Certificate Services)에 대한 네트워크 디바이스 등록 서비스 역할 서비스를 설치 및 구성하고, 인증서 템플릿에 대한 보안 권한을 변경하고, PKI(공개 키 인프라) 클라이언트 인증 인증서를 배포하고, 레지스트리를 편집하여 IIS(인터넷 정보 서비스) 기본 URL 크기 제한을 늘려야 합니다. 필요한 경우 사용자 지정 유효 기간을 허용하도록 발급 CA(인증 기관)도 구성해야 합니다.

중요

네트워크 디바이스 등록 서비스에서 작동하도록 Configuration Manager 구성하기 전에 네트워크 디바이스 등록 서비스의 설치 및 구성을 확인합니다. 이러한 종속성이 제대로 작동하지 않으면 Configuration Manager 사용하여 인증서 등록 문제를 해결하는 데 어려움이 있습니다.

네트워크 디바이스 등록 서비스 및 종속성을 설치하고 구성하려면

Windows Server 2012 R2를 실행하는 서버에서 Active Directory Certificate Services 서버 역할에 대한 네트워크 디바이스 등록 서비스 역할 서비스를 설치하고 구성합니다. 자세한 내용은 네트워크 디바이스 등록 서비스 지침을 참조하세요.
네트워크 디바이스 등록 서비스에서 사용 중인 인증서 템플릿에 대한 보안 권한을 확인하고 필요한 경우 수정합니다.
- Configuration Manager 콘솔을 실행하는 계정의 경우 읽기 권한입니다.
  
  인증서 프로필 만들기 마법사를 실행할 때 SCEP 설정 프로필을 만들 때 사용할 인증서 템플릿을 찾도록 이 권한이 필요합니다. 인증서 템플릿을 선택하면 마법사의 일부 설정이 자동으로 채워지므로 구성할 수 있는 설정이 적고 네트워크 디바이스 등록 서비스에서 사용하는 인증서 템플릿과 호환되지 않는 설정을 선택할 위험이 줄어듭니다.
- 네트워크 디바이스 등록 서비스 애플리케이션 풀에서 사용하는 SCEP 서비스 계정의 경우 읽기 및 등록 권한입니다.
  
  이 요구 사항은 Configuration Manager 관련이 없지만 네트워크 디바이스 등록 서비스 구성의 일부입니다. 자세한 내용은 네트워크 디바이스 등록 서비스 지침을 참조하세요.
팁

네트워크 디바이스 등록 서비스에서 사용 중인 인증서 템플릿을 식별하려면 네트워크 디바이스 등록 서비스를 실행하는 서버에서 다음 레지스트리 키를 확인합니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

참고

이러한 권한은 대부분의 환경에 적합한 기본 보안 권한입니다. 그러나 대체 보안 구성을 사용할 수 있습니다. 자세한 내용은 인증서 프로필에 대한 인증서 템플릿 권한 계획을 참조하세요.
클라이언트 인증을 지원하는 PKI 인증서를 이 서버에 배포합니다. 컴퓨터에 사용할 수 있는 적합한 인증서가 이미 설치되어 있거나 이 목적을 위해 특별히 인증서를 배포해야 할 수도 있습니다. 이 인증서의 요구 사항에 대한 자세한 내용은 Configuration Manager 대한 PKI 인증서 요구 사항 항목의 PKI 서버 인증서 섹션에서 네트워크 디바이스 등록 서비스 역할 서비스를 사용하여 Configuration Manager 정책 모듈을 실행하는 서버에 대한 세부 정보를 참조하세요.
팁

이 인증서를 배포하는 데 도움이 필요한 경우 인증서 요구 사항이 한 가지 예외와 동일하기 때문에 배포 지점에 대한 클라이언트 인증서 배포에 대한 지침을 사용할 수 있습니다.
- 인증서 템플릿에 대한 속성의 요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용 확인란을 선택하지 마세요.
  
  로컬 컴퓨터 저장소로 이동하여 Configuration Manager 정책 모듈을 구성할 때 선택할 수 있으므로 프라이빗 키로 이 인증서를 내보낼 필요가 없습니다.
클라이언트 인증 인증서가 체인하는 루트 인증서를 찾습니다. 그런 다음, 이 루트 CA 인증서를 인증서(.cer) 파일로 내보냅니다. 나중에 인증서 등록 지점에 대한 사이트 시스템 서버를 설치하고 구성할 때 안전하게 액세스할 수 있는 보안 위치에 이 파일을 저장합니다.
동일한 서버에서 레지스트리 편집기를 사용하여 다음 레지스트리 키 DWORD 값을 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters 설정하여 IIS 기본 URL 크기 제한을 늘입니다.
- MaxFieldLength 키를 65534로 설정합니다.
- MaxRequestBytes 키를 16777216 설정합니다.
  
  자세한 내용은 Microsoft 지원 문서 820129: Windows용 Http.sys 레지스트리 설정을 참조하세요.
동일한 서버의 IIS(인터넷 정보 서비스) 관리자에서 /certsrv/mscep 애플리케이션에 대한 요청 필터링 설정을 수정한 다음 서버를 다시 시작합니다. 요청 필터링 설정 편집 대화 상자에서 요청 제한 설정은 다음과 같습니다.
- 허용되는 최대 콘텐츠 길이(바이트): 30000000
- 최대 URL 길이(바이트): 65534
- 최대 쿼리 문자열(바이트): 65534
  
  이러한 설정 및 구성 방법에 대한 자세한 내용은 IIS 요청 제한을 참조하세요.
사용 중인 인증서 템플릿보다 유효 기간이 낮은 인증서를 요청할 수 있도록 하려면 엔터프라이즈 CA에 대해 기본적으로 이 구성을 사용하지 않도록 설정됩니다. 엔터프라이즈 CA에서 이 옵션을 사용하도록 설정하려면 Certutil 명령줄 도구를 사용한 다음, 다음 명령을 사용하여 인증서 서비스를 중지하고 다시 시작합니다.
1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
2. net stop certsvc
3. net start certsvc
  
  자세한 내용은 인증서 서비스 도구 및 설정을 참조하세요.
예를 들어 https://server.contoso.com/certsrv/mscep/mscep.dll다음 링크를 사용하여 네트워크 디바이스 등록 서비스가 작동하는지 확인합니다. 기본 제공 네트워크 디바이스 등록 서비스 웹 페이지가 표시됩니다. 이 웹 페이지에서는 서비스가 무엇인지 설명하고 네트워크 디바이스가 URL을 사용하여 인증서 요청을 제출한다고 설명합니다.

이제 네트워크 디바이스 등록 서비스 및 종속성이 구성되었으므로 인증서 등록 지점을 설치하고 구성할 준비가 되었습니다.

2단계 - 인증서 등록 지점을 설치하고 구성합니다.

Configuration Manager 계층 구조에서 하나 이상의 인증서 등록 지점을 설치하고 구성해야 하며 중앙 관리 사이트 또는 기본 사이트에 이 사이트 시스템 역할을 설치할 수 있습니다.

중요

인증서 등록 지점을 설치하기 전에 운영 체제 요구 사항 및 인증서 등록 지점에 대한 종속성에 대한 Configuration Manager 지원되는 구성 항목의 사이트 시스템 요구 사항 섹션을 참조하세요.

인증서 등록 지점을 설치하고 구성하려면

Configuration Manager 콘솔에서 관리를 클릭합니다.
관리 작업 영역에서 사이트 구성을 확장하고 서버 및 사이트 시스템 역할을 클릭한 다음 인증서 등록 지점에 사용할 서버를 선택합니다.
홈 탭의 서버 그룹에서 사이트 시스템 역할 추가를 클릭합니다.
일반 페이지에서 사이트 시스템의 일반 설정을 지정하고 다음을 클릭합니다.
프록시 페이지에서 다음을 클릭합니다. 인증서 등록 지점에서 인터넷 프록시 설정을 사용하지 않습니다.
시스템 역할 선택 페이지의 사용 가능한 역할 목록에서 인증서 등록 지점을 선택하고 다음을 클릭합니다.
인증서 등록 모드 페이지에서 이 인증서 등록 지점을 SCEP 인증서 요청 처리 또는 PFX 인증서 요청 처리로 지정할지 여부를 선택합니다. 인증서 등록 지점은 두 종류의 요청을 모두 처리할 수 없지만 두 인증서 유형을 모두 사용하는 경우 여러 인증서 등록 지점을 만들 수 있습니다.

PFX 인증서를 처리하는 경우 Microsoft 또는 Entrust 인증 기관을 선택해야 합니다.
인증서 등록 지점 설정 페이지는 인증서 유형에 따라 달라집니다.
- SCEP 인증서 요청 처리를 선택한 경우 다음을 구성합니다.
  - 웹 사이트 이름, HTTPS 포트 번호 및 인증서 등록 지점의 가상 애플리케이션 이름 입니다. 이러한 필드는 기본값으로 자동으로 채워집니다.
  - 네트워크 디바이스 등록 서비스 및 루트 CA 인증서의 URL - 추가를 클릭한 다음 URL 추가 및 루트 CA 인증서 대화 상자에서 다음을 지정합니다.
    - 네트워크 디바이스 등록 서비스의 URL: https:// <server_FQDN>/certsrv/mscep/mscep.dll 형식으로 URL을 지정합니다. 예를 들어 네트워크 디바이스 등록 서비스를 실행하는 서버의 FQDN이 server1.contoso.com 경우 를 입력합니다 https://server1.contoso.com/certsrv/mscep/mscep.dll.
    - 루트 CA 인증서: 1단계: 네트워크 디바이스 등록 서비스 및 종속성 설치 및 구성에서 만들고 저장한 인증서(.cer) 파일을 찾아 선택합니다. 이 루트 CA 인증서를 사용하면 인증서 등록 지점에서 Configuration Manager 정책 모듈에서 사용할 클라이언트 인증 인증서의 유효성을 검사할 수 있습니다.
- PFX 인증서 요청 처리를 선택한 경우 선택한 인증 기관에 대한 연결 세부 정보 및 자격 증명을 구성합니다.
  - Microsoft 인증 기관으로 사용하려면 추가를 클릭한 다음 인증 기관 및 계정 추가 대화 상자에서 다음을 지정합니다.
    - 인증 기관 서버 이름 - 인증 기관 서버의 이름을 입력합니다.
    - 인증 기관 계정 - 설정을 클릭하여 인증 기관의 템플릿에 등록할 권한이 있는 계정을 선택하거나 만듭니다.
    - 인증서 등록 지점 연결 계정 - 인증서 등록 지점을 Configuration Manager 데이터베이스에 연결하는 계정을 선택하거나 만듭니다. 변경적으로 인증서 등록 지점을 호스팅하는 컴퓨터의 로컬 컴퓨터 계정을 사용할 수 있습니다.
    - Active Directory 인증서 게시 계정 - 계정을 선택하거나 Active Directory의 사용자 개체에 인증서를 게시하는 데 사용할 새 계정을 만듭니다.
    - 네트워크 디바이스 등록 및 루트 CA 인증서 대화 상자의 URL에서 다음을 지정한 다음 확인을 클릭합니다.
  - Entrust를 인증 기관으로 사용하려면 다음을 지정합니다.
    - MDM 웹 서비스 URL
    - URL의 사용자 이름 및 암호 자격 증명입니다.
      
      MDM API를 사용하여 Entrust 웹 서비스 URL을 정의하는 경우 다음 샘플과 같이 API 버전 9 이상을 사용해야 합니다.
      
      https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9
      
      이전 버전의 API는 Entrust를 지원하지 않습니다.
다음을 클릭하고 마법사를 완료합니다.
설치가 완료될 때까지 몇 분 정도 기다린 다음 다음 방법 중 한 가지 방법을 사용하여 인증서 등록 지점이 성공적으로 설치되었는지 확인합니다.
- 모니터링 작업 영역에서 시스템 상태를 확장하고 구성 요소 상태를 클릭한 다음 SMS_CERTIFICATE_REGISTRATION_POINT 구성 요소에서 상태 메시지를 찾습니다.
- 사이트 시스템 서버에서 ConfigMgr 설치 경로>\Logs\crpsetup.log 파일 및 ConfigMgr 설치 경로\Logs\crpmsi.log 파일을 사용합니다<.>< 성공적으로 설치하면 0의 종료 코드가 반환됩니다.
- 브라우저를 사용하여 인증서 등록 지점의 URL에 연결할 수 있는지 확인합니다. 예를 들면 https://server1.contoso.com/CMCertificateRegistration와 같습니다. HTTP 404 설명이 있는 애플리케이션 이름에 대한 서버 오류 페이지가 표시됩니다.
주 사이트 서버 컴퓨터의 폴더에서 인증서 등록 지점이 자동으로 만든 루트 CA에 대해 내보낸 인증서 파일을 찾습니다. ConfigMgr 설치 경로>\inboxes\certmgr.box.< 나중에 네트워크 디바이스 등록 서비스를 실행하는 서버에 Configuration Manager 정책 모듈을 설치할 때 안전하게 액세스할 수 있는 보안 위치에 이 파일을 저장합니다.

팁

이 인증서는 이 폴더에서 즉시 사용할 수 없습니다. Configuration Manager 파일을 이 위치에 복사하기 전에 잠시 기다려야 할 수 있습니다(예: 반 시간).

3단계 - Configuration Manager 정책 모듈을 설치합니다(SCEP 인증서에만 해당).

2단계: 인증서 등록 지점의 속성에서 네트워크 디바이스 등록 서비스의 URL로 인증서 등록 지점을 설치하고 구성하기 위해 지정한 각 서버에 Configuration Manager 정책 모듈을 설치하고 구성해야 합니다.

정책 모듈을 설치하려면

네트워크 디바이스 등록 서비스를 실행하는 서버에서 도메인 관리자로 로그온하고 Configuration Manager 설치 미디어의 ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 폴더에서 <다음 파일을 임시 폴더로 복사합니다.
- PolicyModule.msi
- PolicyModuleSetup.exe
또한 설치 미디어에 LanguagePack 폴더가 있는 경우 이 폴더와 해당 내용을 복사합니다.
임시 폴더에서 PolicyModuleSetup.exe 실행하여 Configuration Manager 정책 모듈 설정 마법사를 시작합니다.
마법사의 초기 페이지에서 다음을 클릭하고 사용 조건에 동의한 다음 다음을 클릭합니다.
설치 폴더 페이지에서 정책 모듈의 기본 설치 폴더를 적용하거나 대체 폴더를 지정한 다음 다음을 클릭합니다.
인증서 등록 지점 페이지에서 사이트 시스템 서버의 FQDN 및 인증서 등록 지점의 속성에 지정된 가상 애플리케이션 이름을 사용하여 인증서 등록 지점의 URL을 지정합니다. 기본 가상 애플리케이션 이름은 CMCertificateRegistration입니다. 예를 들어 사이트 시스템 서버에 server1.contoso.com FQDN이 있고 기본 가상 애플리케이션 이름을 사용한 경우 를 지정합니다 https://server1.contoso.com/CMCertificateRegistration.
기본 포트 443 을 적용하거나 인증서 등록 지점에서 사용 중인 대체 포트 번호를 지정한 다음 다음을 클릭합니다.
정책 모듈에 대한 클라이언트 인증서페이지에서 1단계: 네트워크 디바이스 등록 서비스 및 종속성 설치 및 구성에서 배포한 클라이언트 인증 인증서를 찾아 지정한 다음, 다음을 클릭합니다.
인증서 등록 지점 인증서 페이지에서 찾아보기를 클릭하여 2단계: 인증서 등록 지점 설치 및 구성의 끝에 위치하고 저장한 루트 CA에 대해 내보낸 인증서 파일을 선택합니다.

참고

이전에 이 인증서 파일을 저장하지 않은 경우 사이트 서버 컴퓨터의 <ConfigMgr 설치 경로>\inboxes\certmgr.box에 있습니다.
다음을 클릭하고 마법사를 완료합니다.

Configuration Manager 정책 모듈을 제거하려면 제어판 프로그램 및 기능을 사용합니다.

이제 구성 단계를 완료했으므로 인증서 프로필을 만들고 배포하여 사용자 및 디바이스에 인증서를 배포할 준비가 되었습니다. 인증서 프로필을 만드는 방법에 대한 자세한 내용은 인증서 프로필을 만드는 방법을 참조하세요.