Configuration Manager의 인증서
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 자체 서명된 인프라와 PKI(공개 키 인프라) 디지털 인증서의 조합을 사용합니다.
가능하면 PKI 인증서를 사용합니다. 자세한 내용은 PKI 인증서 요구 사항을 참조하세요. Configuration Manager 모바일 디바이스에 등록하는 동안 PKI 인증서를 요청하는 경우 Active Directory Domain Services 및 엔터프라이즈 인증 기관을 사용합니다. 다른 모든 PKI 인증서의 경우 Configuration Manager 독립적으로 배포하고 관리합니다.
PKI 인증서는 클라이언트 컴퓨터가 인터넷 기반 사이트 시스템에 연결할 때 필요합니다. 클라우드 관리 게이트웨이에는 인증서도 필요합니다. 자세한 내용은 인터넷에서 클라이언트 관리를 참조하세요.
PKI를 사용하는 경우 IPsec을 사용하여 사이트의 사이트 시스템 간, 사이트 간 및 컴퓨터 간의 다른 데이터 전송을 위해 서버 간 통신을 보호할 수도 있습니다. IPsec 구현은 Configuration Manager 독립적입니다.
PKI 인증서를 사용할 수 없는 경우 Configuration Manager 자동으로 자체 서명된 인증서를 생성합니다. Configuration Manager 일부 인증서는 항상 자체 서명됩니다. 대부분의 경우 Configuration Manager 자체 서명된 인증서를 자동으로 관리하므로 다른 작업을 수행할 필요가 없습니다. 한 가지 예는 사이트 서버 서명 인증서입니다. 이 인증서는 항상 자체 서명됩니다. 클라이언트가 관리 지점에서 다운로드하는 정책이 사이트 서버에서 전송되고 변조되지 않았는지 확인합니다. 또 다른 예로, 고급 HTTP에 사이트를 사용하도록 설정하면 사이트에서 사이트 서버 역할에 자체 서명된 인증서를 발급합니다.
중요
Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.
CNG v3 인증서
Configuration Manager 암호화: CNG(차세대) v3 인증서를 지원합니다. Configuration Manager 클라이언트는 CNG KSP(키 스토리지 공급자)에서 프라이빗 키가 있는 PKI 클라이언트 인증 인증서를 사용할 수 있습니다. KSP 지원을 통해 Configuration Manager 클라이언트는 PKI 클라이언트 인증 인증서용 TPM KSP와 같은 하드웨어 기반 프라이빗 키를 지원합니다.
자세한 내용은 CNG v3 인증서 개요를 참조하세요.
향상된 HTTP
모든 Configuration Manager 통신 경로에는 HTTPS 통신을 사용하는 것이 좋지만 PKI 인증서 관리 오버헤드로 인해 일부 고객에게는 어려운 일입니다. Microsoft Entra 통합을 도입하면 일부 인증서 요구 사항이 줄어들지만 일부 인증서 요구 사항은 줄어듭니다. 대신 사이트에서 향상된 HTTP를 사용하도록 설정할 수 있습니다. 이 구성은 일부 시나리오에 대한 Microsoft Entra ID와 함께 자체 서명된 인증서를 사용하여 사이트 시스템에서 HTTPS를 지원합니다. PKI가 필요하지 않습니다.
자세한 내용은 고급 HTTP를 참조하세요.
CMG용 인증서
CMG(클라우드 관리 게이트웨이)를 통해 인터넷에서 클라이언트를 관리하려면 인증서를 사용해야 합니다. 인증서의 수와 유형은 특정 시나리오에 따라 달라집니다.
자세한 내용은 CMG 설정 검사 목록을 참조하세요.
참고
CDP(클라우드 기반 배포 지점)는 더 이상 사용되지 않습니다. 버전 2107부터는 새 CDP 인스턴스를 만들 수 없습니다. 인터넷 기반 디바이스에 콘텐츠를 제공하려면 CMG에서 콘텐츠를 배포할 수 있도록 설정합니다. 자세한 내용은 사용되지 않는 기능을 참조하세요.
CDP의 인증서에 대한 자세한 내용은 클라우드 배포 지점에 대한 인증서를 참조하세요.
사이트 서버 서명 인증서
사이트 서버는 항상 자체 서명된 인증서를 만듭니다. 이 인증서는 여러 용도로 사용됩니다.
클라이언트는 Active Directory Domain Services 클라이언트 강제 설치에서 사이트 서버 서명 인증서의 복사본을 안전하게 가져올 수 있습니다. 클라이언트가 이러한 메커니즘 중 하나로 이 인증서의 복사본을 가져올 수 없는 경우 클라이언트를 설치할 때 설치합니다. 이 프로세스는 클라이언트가 사이트와 처음 통신하는 것이 인터넷 기반 관리 지점인 경우에 특히 중요합니다. 이 서버는 신뢰할 수 없는 네트워크에 연결되어 있으므로 공격에 더 취약합니다. 이 다른 단계를 수행하지 않으면 클라이언트는 관리 지점에서 사이트 서버 서명 인증서의 복사본을 자동으로 다운로드합니다.
클라이언트는 다음 시나리오에서 사이트 서버 인증서의 복사본을 안전하게 가져올 수 없습니다.
클라이언트 푸시를 사용하여 클라이언트를 설치하지 않고 다음을 수행합니다.
Configuration Manager 대한 Active Directory 스키마를 확장하지 않았습니다.
Active Directory Domain Services 클라이언트 사이트를 게시하지 않았습니다.
클라이언트는 신뢰할 수 없는 포리스트 또는 작업 그룹에서 온 것입니다.
인터넷 기반 클라이언트 관리를 사용 중이며 인터넷에 있을 때 클라이언트를 설치합니다.
사이트 서버 서명 인증서의 복사본을 사용하여 클라이언트를 설치하는 방법에 대한 자세한 내용은 SMSSIGNCERT 명령줄 속성을 사용합니다. 자세한 내용은 클라이언트 설치 매개 변수 및 속성 정보를 참조하세요.
하드웨어 바인딩된 키 스토리지 공급자
Configuration Manager 클라이언트 ID에 자체 서명된 인증서를 사용하고 클라이언트와 사이트 시스템 간의 통신을 보호합니다. 사이트 및 클라이언트를 버전 2107 이상으로 업데이트하면 클라이언트는 사이트의 인증서를 하드웨어 바인딩된 KSP(키 스토리지 공급자)에 저장합니다. 이 KSP는 일반적으로 TPM(신뢰할 수 있는 플랫폼 모듈) 이상 버전 2.0입니다. 인증서도 내보낼 수 없는 것으로 표시됩니다.
클라이언트에도 PKI 기반 인증서가 있는 경우 TLS HTTPS 통신에 해당 인증서를 계속 사용합니다. 사이트로 메시지에 서명하기 위해 자체 서명된 인증서를 사용합니다. 자세한 내용은 PKI 인증서 요구 사항을 참조하세요.
참고
PKI 인증서도 있는 클라이언트의 경우 Configuration Manager 콘솔은 클라이언트 인증서 속성을 자체 서명으로 표시합니다. 클라이언트 제어판 클라이언트 인증서 속성에 PKI가 표시됩니다.
버전 2107 이상으로 업데이트하면 PKI 인증서가 있는 클라이언트는 자체 서명된 인증서를 다시 만들지만 사이트에 다시 등록하지는 않습니다. PKI 인증서가 없는 클라이언트는 사이트에 다시 등록되므로 사이트에서 추가 처리가 발생할 수 있습니다. 클라이언트를 업데이트하는 프로세스에서 임의화를 허용하는지 확인합니다. 많은 클라이언트를 동시에 업데이트하는 경우 사이트 서버에서 백로그가 발생할 수 있습니다.
Configuration Manager 취약한 것으로 알려진 TPM을 사용하지 않습니다. 예를 들어 TPM 버전은 2.0 이전 버전입니다. 디바이스에 취약한 TPM이 있는 경우 클라이언트는 소프트웨어 기반 KSP 사용으로 돌아갑니다. 인증서는 여전히 내보낼 수 없습니다.
OS 배포 미디어는 하드웨어 바인딩된 인증서를 사용하지 않으며 사이트에서 자체 서명된 인증서를 계속 사용합니다. 콘솔이 있는 디바이스에서 미디어를 만들지만 모든 클라이언트에서 실행할 수 있습니다.
인증서 동작 문제를 해결하려면 클라이언트에서 CertificateMaintenance.log 를 사용합니다.