Configuration Manager에서 인증서 프로필을 만드는 방법
적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
참고
이 항목의 정보는 System Center 2012 R2 Configuration Manager 버전에만 적용됩니다.
System Center 2012 Configuration Manager의 인증서 프로필은 Active Directory 인증서 서비스 및 네트워크 장치 등록 서비스 역할과 통합되어 인증 인증서로 관리되는 장치를 프로비전하므로 사용자가 인증서를 사용하여 회사 리소스에 액세스할 수 있습니다. 이 항목의 정보를 사용하면 Configuration Manager에서 인증서 프로필을 쉽게 만들 수 있습니다.
중요 |
---|
인증서 프로필을 만들려면 먼저 구성을 수행해야 합니다. 자세한 내용은 Configuration Manager에서 인증서 프로필 구성 항목을 참조하세요. |
인증서 프로필을 만드는 단계
인증서 프로필 만들기 마법사를 사용하여 인증서 프로필을 만들려면 다음 필수 단계를 따르세요.
단계 |
세부 정보 |
추가 정보 |
---|---|---|
1단계: 인증서 프로필 만들기 마법사 시작 |
자산 및 호환성 작업 영역의 호환성 설정 노드에서 마법사를 시작합니다. |
이 항목의 1단계: 인증서 프로필 만들기 마법사 시작 섹션을 참조하세요. |
2단계: 인증서 프로필에 대한 일반 정보 제공 |
인증서 프로필의 이름과 설명, 만들려는 인증서 프로필 유형 등 일반 정보를 제공합니다. |
이 항목의 2단계: 인증서 프로필에 대한 일반 정보 제공 섹션을 참조하세요. |
3단계: 인증서 프로필에 대한 정보 제공 |
인증서 프로필에 대한 구성 정보를 제공합니다. |
이 항목의 3단계: 인증서 프로필에 대한 정보 제공 섹션을 참조하세요. |
4단계: 인증서 프로필에 대해 지원되는 플랫폼 구성 |
인증서 프로필을 설치할 운영 체제를 지정합니다. |
이 항목의 4단계: 인증서 프로필에 대해 지원되는 플랫폼 구성 섹션을 참조하세요. |
5단계: 마법사 완료 |
새 인증서 프로필을 만드는 마법사를 완료합니다. |
이 항목의 5단계: 마법사 완료 섹션을 참조하세요. |
주의 |
---|
SCEP(단순 인증서 등록 프로토콜) 인증서 프로필을 사용하여 인증서를 이미 배포한 경우 일부 구성 옵션을 변경하면 새 값이 포함된 새 인증서가 요청됩니다. 이러한 변경으로 인해 인증서 요청 갱신 횟수가 높아지면 네트워크 장치 등록 서비스를 실행하는 서버의 CPU 처리량이 높아질 수 있습니다. 인트라넷의 클라이언트(예: Windows 8.1)에 대한 인증서 요청인 경우 새 값을 포함하는 새 인증서가 요청되면 원래 인증서가 삭제됩니다. 그러나 Microsoft Intune 커넥터를 사용하여 관리되는 클라이언트에 대한 인증서 요청인 경우에는 장치에서 원래 인증서가 삭제되지 않고 설치된 상태로 남아 있습니다. 다음 섹션에서는 인증서 갱신 요청을 발생시키는 설정을 다룹니다. |
새 인증서 프로필을 만들기 위한 보완 절차
위의 표에 설명된 단계에 보완 절차가 필요한 경우 다음 정보를 사용하세요.
1단계: 인증서 프로필 만들기 마법사 시작
인증서 프로필 만들기 마법사를 시작하려면 다음 절차를 따르세요.
인증서 프로필 만들기 마법사를 시작하려면
-
Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.
-
자산 및 호환성 작업 영역에서 호환성 설정 및 회사 리소스 액세스를 각각 확장하고 인증서 프로필을 클릭합니다.
-
홈 탭의 만들기 그룹에서 인증서 프로필 만들기를 클릭합니다.
2단계: 인증서 프로필에 대한 일반 정보 제공
인증서 프로필에 대한 일반 정보를 제공하려면 다음 절차를 따르세요.
인증서 프로필에 대한 일반 정보를 제공하려면
-
인증서 프로필 만들기 마법사의 일반 페이지에서 다음 정보를 지정합니다.
- **이름**: 인증서 프로필의 고유한 이름을 입력합니다. 최대 256자까지 사용할 수 있습니다. - **설명**: 인증서 프로필에 대한 개략적인 정보를 제공하는 설명과 Configuration Manager 콘솔에서 해당 프로필을 식별하는 데 도움이 되는 기타 관련 정보를 입력합니다. 최대 256자까지 사용할 수 있습니다. - **만들려는 인증서 프로필의 유형을 지정합니다.**: 다음과 같은 프로필 유형 중 하나를 선택합니다. - **신뢰할 수 있는 CA 인증서**: 사용자 또는 장치가 다른 장치를 인증해야 할 때 신뢰할 수 있는 CA(인증 기관) 또는 중간 CA 인증서를 배포하여 신뢰의 인증서 체인을 형성하려는 경우 이 인증서 프로필 유형을 선택합니다. 예를 들어 장치가 RADIUS(Remote Authentication Dial-In User Service) 서버 또는 VPN(가상 사설망) 서버일 수 있습니다. 또한 SCEP 인증서 프로필을 만들려면 먼저 신뢰할 수 있는 CA 인증서 프로필을 구성해야 합니다. 이러한 경우 신뢰할 수 있는 CA 인증서는 사용자 또는 장치에 인증서를 발급하는 CA(인증 기관)의 신뢰할 수 있는 루트 인증서여야 합니다. - **SCEP(단순 인증서 등록 프로토콜) 설정**: 단순 인증서 등록 프로토콜 및 네트워크 장치 등록 서비스 역할 서비스를 사용하여 장치 또는 사용자의 인증서를 요청하려면 이 인증서 프로필 유형을 선택합니다.
3단계: 인증서 프로필에 대한 정보 제공
인증서 프로필에 신뢰할 수 있는 CA 인증서 및 SCEP 인증서에 대한 인증서 프로필 정보를 구성하려면 다음 절차 중 하나를 사용합니다.
중요 |
---|
SCEP 인증서 프로필을 만들려면 먼저 신뢰할 수 있는 CA 인증서 프로필을 하나 이상 구성해야 합니다. |
신뢰할 수 있는 CA 인증서를 구성하려면
-
인증서 프로필 만들기 마법사의 신뢰할 수 있는 CA 인증서 페이지에서 다음 정보를 지정합니다.
- **인증서 파일**: **가져오기**를 클릭한 후 사용하려는 인증서 파일을 찾아 선택합니다. - **대상 저장소**: 장치에 둘 이상의 인증서 저장소가 있는 경우 인증서를 저장할 장소를 선택합니다. 장치에 저장소가 하나만 있는 경우 이 설정은 무시됩니다.
-
인증서 지문 값을 사용하여 올바른 인증서를 가져왔는지 확인합니다.
4단계: 인증서 프로필에 대해 지원되는 플랫폼 구성의 절차를 계속 수행합니다.
SCEP 인증서 정보를 구성하려면
-
인증서 프로필 만들기 마법사의 SCEP 등록 페이지에서 다음 정보를 지정합니다.
- **다시 시도**: 장치가 네트워크 장치 등록 서비스를 실행하는 서버에 대해 인증서 요청을 자동으로 시도하는 횟수를 지정합니다. 이 설정은, CA 관리자가 인증서 요청을 승인해야 인증서 요청이 허용되는 경우를 지원합니다. 이 설정은 일반적으로 보안 수준이 높은 환경 또는 엔터프라이즈 CA가 아닌 독립 실행형 발급 CA가 있는 경우에 사용됩니다. 또한 테스트 목적의 경우 발급 CA가 인증서 요청을 처리하기 전에 인증서 요청 옵션을 검사할 수 있도록 이 설정을 사용해야 합니다. 이 설정은 **다시 시도 지연 시간(분)** 설정과 함께 사용합니다. - **다시 시도 지연 시간(분)**: 발급 CA가 인증서 요청을 처리하기 전에 CA 관리자 승인을 사용하는 경우 각 등록 시도 간의 간격을 분으로 지정합니다. 테스트 목적으로 관리자 승인을 사용하는 경우 요청을 승인한 후 장치가 인증서 요청을 다시 시도할 때까지 오랜 시간을 기다리지 않도록 낮은 값을 지정할 수 있습니다. 하지만 프로덕션 네트워크에서 관리자 승인을 사용하는 경우 CA 관리자가 보류 중인 승인을 검사하고 승인 또는 거부할 충분한 시간을 가질 수 있도록 높은 값을 지정할 수 있습니다. - **갱신 임계값(%)**: 장치에서 인증서 갱신을 요청하기 전까지 남은 인증서 수명을 백분율로 지정합니다. - **KSP(키 저장소 공급자)**: 인증서에 대한 키를 저장할 위치를 지정합니다. 다음 값 중 하나를 선택합니다. - **있는 경우 TPM(신뢰할 수 있는 플랫폼 모듈)에 설치**: TPM에 키를 설치합니다. TPM이 없는 경우 키는 소프트웨어 키의 저장소 공급자에 설치됩니다. - **TPM(신뢰할 수 있는 플랫폼 모듈)에 설치, 그렇지 않으면 실패**: TPM에 키를 설치합니다. TPM 모듈이 없는 경우 설치가 실패합니다. - **소프트웨어 키 저장소 공급자에 설치**: 소프트웨어 키의 저장소 공급자에 키를 설치합니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **인증서 등록용 장치**: 인증서 프로필을 사용자 컬렉션에 배포하는 경우 사용자의 기본 장치에만 인증서 등록을 허용할지, 아니면 사용자가 로그온하는 모든 장치에서 허용할지를 선택합니다. 인증서 프로필을 장치 컬렉션에 배포하는 경우 기본 사용자의 장치에만 인증서 등록을 허용할지, 아니면 장치에 로그온하는 모든 사용자에게 허용할지를 선택합니다.
-
인증서 프로필 만들기 마법사의 인증서 속성 페이지에서 다음 정보를 지정합니다.
- **인증서 템플릿 이름**: **찾아보기**를 클릭한 후 네트워크 장치 등록 서비스에서 사용하도록 구성되고 발급 CA에 추가된 인증서 템플릿의 이름을 선택합니다. 인증서 템플릿을 성공적으로 찾아보려면 Configuration Manager 콘솔을 실행하는 데 사용하는 사용자 계정에 인증서 템플릿에 대한 읽기 권한이 있어야 합니다. 또는 **찾아보기**를 사용할 수 없는 경우 인증서 템플릿의 이름을 입력합니다. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />중요</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>인증서 템플릿 이름에 비 ASCII 문자(예: 중국어 문자)가 포함된 경우 인증서가 배포되지 않습니다. 인증서가 배포되는지 확인하려면 먼저 CA에서 인증서 템플릿의 사본을 만든 후 ASCII 문자를 사용하여 이름을 바꿔야 합니다.</p></td> </tr> </tbody> </table> </div> 인증서 템플릿으로 이동하는지 아니면 인증서 이름을 입력하는지에 따라 다음 사항에 유의하세요. - 이동하여 인증서 템플릿의 이름을 선택하는 경우 페이지의 일부 필드가 인증서 템플릿에서 자동으로 채워집니다. 일부 경우에 다른 인증서 템플릿을 선택하지 않으면 이러한 값을 변경할 수 없습니다. - 인증서 템플릿의 이름을 입력하는 경우 이름이 네트워크 장치 등록 서비스를 실행하는 서버의 레지스트리에 나열된 인증서 템플릿 중 하나와 일치하는지 확인합니다. 또한 인증서 템플릿의 표시 이름이 아닌 인증서 템플릿 이름을 지정했는지 확인합니다. 인증서 템플릿의 이름을 찾으려면 HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP 키를 찾습니다. 인증서 템플릿이 **EncryptionTemplate**, **GeneralPurposeTemplate** 및 **SignatureTemplate**의 값으로 나열됩니다. 기본적으로 모든 세 인증서 템플릿의 값은 **IPSECIntermediateOffline**이며, 이는 **IPSec(오프라인 요청)**라는 템플릿 표시 이름으로 매핑됩니다. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-warning(TechNet.10).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />경고</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>인증서 템플릿 이름을 찾아 선택하지 않고 직접 입력하는 경우 Configuration Manager가 인증서 템플릿의 콘텐츠를 확인할 수 없으므로 인증서 템플릿에서 지원되지 않는 옵션을 선택하여 인증서 요청 실패가 발생하게 될 수도 있습니다. 이러한 경우 CPR.log 파일에서 CSR(인증서 서명 요청)의 템플릿 이름과 인증 질문이 일치하지 않는다는 w3wp.exe 관련 오류 메시지가 나타납니다.</p> <p><strong>GeneralPurposeTemplate</strong> 값에 지정된 인증서 템플릿의 이름을 입력하면 해당 인증서 프로필에 대해 <strong>키 암호화</strong> 및 <strong>디지털 서명</strong> 옵션을 선택해야 합니다. 하지만 이 인증서 프로필에서 <strong>키 암호화</strong> 옵션만 사용하도록 설정하려는 경우 <strong>EncryptionTemplate</strong> 키의 인증서 템플릿 이름을 지정해야 합니다. 마찬가지로 이 인증서 프로필에서 <strong>디지털 서명</strong> 옵션만 사용하도록 설정하려는 경우 <strong>SignatureTemplate</strong> 키의 인증서 템플릿 이름을 지정해야 합니다.</p></td> </tr> </tbody> </table> </div> <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **인증서 유형**: 인증서를 장치에 배포할지 아니면 사용자에게 배포할지를 선택합니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **주체 이름 형식**: 인증서 요청 시 Configuration Manager에서 자동으로 주체 이름을 만드는 방식을 목록에서 선택합니다. 사용자용 인증서인 경우 주체 이름에 사용자의 전자 메일 주소를 포함할 수도 있습니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **주체 대체 이름**: Configuration Manager를 인증서 요청의 SAN(주체 대체 이름) 값을 자동으로 만드는 방법을 지정합니다. 예를 들어 사용자 인증서 유형을 선택한 경우 주체 대체 이름에 UPN(사용자 계정 이름)을 포함할 수 있습니다. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh240236.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />팁</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>클라이언트 인증서가 네트워크 정책 서버에 대한 인증에 사용되는 경우 주체 대체 이름을 UPN으로 설정해야 합니다.</p></td> </tr> </tbody> </table> </div> <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />중요</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>iOS 장치는 SCEP 인증서에서 제한된 주체 이름 형식과 주체 대체 이름을 지원합니다. 지원되지 않는 형식을 지정하는 경우 인증서는 iOS 장치에 등록되지 않습니다. SCEP 인증서 프로필을 iOS 장치에 배포하도록 구성하는 경우 <strong>주체 이름 형식</strong>에 <strong>일반 이름</strong>을 사용하고, <strong>주체 대체 이름</strong>에 <strong>DNS 이름</strong>, <strong>전자 메일 주소</strong> 또는 <strong>UPN</strong>을 사용하세요.</p></td> </tr> </tbody> </table> </div> - **인증서 유효 기간**: 발급 CA에 대해 사용자 지정 유효 기간을 허용하는 certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE 명령을 실행한 경우 인증서가 만료될 때까지 남은 기간을 지정할 수 있습니다. 이 명령에 대한 자세한 내용은 [1단계: 네트워크 장치 등록 서비스 및 종속 항목 설치 및 구성](dn270539\(v=technet.10\).md) 항목에서 [Configuration Manager에서 인증서 프로필 구성](dn270539\(v=technet.10\).md) 섹션을 참조하세요. 지정된 인증서 템플릿에서 유효 기간보다 작은 값은 지정할 수 있지만 높은 값은 지정할 수 없습니다. 예를 들어 인증서 템플릿의 인증서 유효 기간이 2년이면 값을 1년으로 지정할 수는 있어도 5년으로는 지정할 수 없습니다. 또한 이 값은 발급 CA 인증서의 남은 유효 기간보다 작아야 합니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **키 사용**: 인증서에 대한 키 사용 옵션을 지정합니다. 다음 옵션 중에서 선택할 수 있습니다. - **키 암호화**: 키가 암호화된 경우에만 키 교환을 허용합니다. - **디지털 서명**: 디지털 서명으로 키를 보호하는 경우에만 키 교환을 허용합니다. **찾아보기**를 사용하여 인증서 템플릿을 선택한 경우 다른 인증서 템플릿을 선택하지 않으면 이러한 설정을 변경할 수 없습니다. 사용자가 선택한 인증서 템플릿은 위의 두 키 사용 옵션 중 하나 또는 둘 모두로 구성해야 합니다. 구성하지 않은 경우 인증서 등록 지점 로그 파일 **Crp.log**에 **CSR의 키 사용과 인증 질문이 일치하지 않습니다.** 메시지가 표시됩니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **키 크기(비트)**: 키의 크기(비트)를 선택합니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **확장 키 사용**: **선택**을 클릭하여 인증서의 용도에 대한 값을 추가합니다. 대부분의 경우 인증서는 사용자 또는 장치가 서버에 인증할 수 있는 **클라이언트 인증**이 필요합니다. 그러나 필요에 따라 다른 키 사용을 추가할 수 있습니다. <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div> - **해시 알고리즘**: 이 인증서와 함께 사용할 수 있는 해시 알고리즘 유형 중 하나를 선택합니다. 연결 장치에서 지원되는 가장 강력한 보안 수준을 선택합니다. <div class="alert"> > [!NOTE] > <P><STRONG>SHA-1</STRONG>은 SHA-1만 지원합니다.<STRONG>SHA-2</STRONG>는 SHA-256, SHA-384 및 SHA-512를 지원합니다.<STRONG>SHA-3</STRONG>은 SHA-3만 지원합니다.</P> </div> - **루트 CA 인증서**: **선택**을 클릭하여 이전에 구성하고 사용자 또는 장치에 배포한 루트 CA 인증서 프로필을 선택합니다. 이 CA 인증서는 이 인증서 프로필에서 구성하려는 인증서를 발급할 CA에 대한 루트 인증서여야 합니다. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />중요</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>사용자 또는 장치에 배포되지 않은 루트 CA 인증서를 지정할 경우 Configuration Manager는 이 인증서 프로필에서 구성 중인 인증서 요청을 초기화하지 않습니다.</p></td> </tr> </tbody> </table> </div> <div class="alert"> > [!NOTE] > <P>인증서가 배포된 후 이 값을 변경하면 이전 인증서가 삭제되고 새 인증서가 요청됩니다.</P> </div>
4단계: 인증서 프로필에 대해 지원되는 플랫폼 구성
다음 절차에 따라 인증서 프로필을 설치할 운영 체제를 지정할 수 있습니다.
인증서 프로필에 대해 지원되는 플랫폼을 지정하려면
-
인증서 프로필 만들기 마법사의 지원되는 플랫폼 페이지에서 인증서 프로필을 설치하려는 운영 체제를 선택합니다. 또는 모두 선택을 클릭하여 사용 가능한 모든 운영 체제에 인증서 프로필을 설치합니다.
5단계: 마법사 완료
마법사의 요약 페이지에서 수행될 작업을 검토한 다음 마법사를 완료합니다.자산 및 호환성 작업 영역의 인증서 프로필 노드에 새 인증서 프로필이 나타나고 사용자나 장치에 배포할 준비가 됩니다. 자세한 내용은 Configuration Manager에서 인증서 프로필을 배포하는 방법 항목을 참조하세요.