인증서 프로필 만들기
적용 대상: Configuration Manager(현재 분기)
중요
버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.
Configuration Manager 인증서 프로필을 사용하여 회사 리소스에 액세스하는 데 필요한 인증서를 사용하여 관리되는 디바이스를 프로비전합니다. 인증서 프로필을 만들기 전에 인증서 인프라 설정에 설명된 대로 인증서 인프라를 설정합니다.
이 문서에서는 신뢰할 수 있는 루트 및 SCEP(단순 인증서 등록 프로토콜) 인증서 프로필을 만드는 방법을 설명합니다. PFX 인증서 프로필을 만들려면 PFX 인증서 프로필 만들기를 참조하세요.
인증서 프로필을 만들려면 다음을 수행합니다.
- 인증서 프로필 만들기 마법사를 시작합니다.
- 인증서에 대한 일반 정보를 제공합니다.
- 신뢰할 수 있는 CA(인증 기관) 인증서를 구성합니다.
- SCEP 인증서 정보를 구성합니다.
- 인증서 프로필에 지원되는 플랫폼을 지정합니다.
마법사 시작
인증서 프로필 만들기를 시작하려면 다음을 수행합니다.
Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하여 준수 설정을 확장하고 회사 리소스 액세스를 확장한 다음 인증서 프로필 노드를 선택합니다.
리본의 홈 탭에 있는 만들기 그룹에서 인증서 프로필 만들기를 선택합니다.
일반
인증서 프로필 만들기 마법사의 일반 페이지에서 다음 정보를 지정합니다.
이름: 인증서 프로필의 고유한 이름을 입력합니다. 최대 256자를 사용할 수 있습니다.
설명: 인증서 프로필의 개요를 제공하는 설명을 제공합니다. 또한 Configuration Manager 콘솔에서 식별하는 데 도움이 되는 기타 관련 정보도 포함합니다. 최대 256자를 사용할 수 있습니다.
만들려는 인증서 프로필 유형을 지정합니다.
신뢰할 수 있는 CA 인증서: 사용자 또는 디바이스가 다른 디바이스를 인증해야 하는 경우 신뢰할 수 있는 루트 CA(인증 기관) 또는 중간 CA 인증서를 배포하여 신뢰의 인증서 체인을 구성하려면 이 유형을 선택합니다. 예를 들어 디바이스는 RADIUS(원격 인증 전화 접속 사용자 서비스) 서버 또는 VPN(가상 사설망) 서버일 수 있습니다.
또한 SCEP 인증서 프로필을 만들기 전에 신뢰할 수 있는 CA 인증서 프로필을 구성합니다. 이 경우 신뢰할 수 있는 CA 인증서는 사용자 또는 디바이스에 인증서를 발급하는 CA에 대한 인증서여야 합니다.
SCEP(단순 인증서 등록 프로토콜) 설정: 단순 인증서 등록 프로토콜 및 NDES(네트워크 디바이스 등록 서비스) 역할 서비스를 사용하여 사용자 또는 디바이스에 대한 인증서를 요청하려면 이 유형을 선택합니다.
개인 정보 교환 PKCS #12(PFX) 설정 - 가져오기: PFX 인증서를 가져오려면 이 옵션을 선택합니다. 자세한 내용은 PFX 인증서 프로필 가져오기를 참조하세요.
PFX(개인 정보 교환 PKCS #12) 설정 - 만들기: 인증 기관을 사용하여 PFX 인증서를 처리하려면 이 옵션을 선택합니다. 자세한 내용은 PFX 인증서 프로필 만들기를 참조하세요.
신뢰할 수 있는 CA 인증서
중요
SCEP 인증서 프로필을 만들기 전에 신뢰할 수 있는 CA 인증서 프로필을 하나 이상 구성합니다.
인증서가 배포된 후 이러한 값을 변경하면 새 인증서가 요청됩니다.
- 키 스토리지 공급자
- 인증서 템플릿 이름
- 인증서 형식
- 주체 이름 형식
- 주체 대체 이름
- 인증서 유효 기간
- 주요 사용량
- 키 크기
- 확장 키 사용
- 루트 CA 인증서
인증서 프로필 만들기 마법사의 신뢰할 수 있는 CA 인증서 페이지에서 다음 정보를 지정합니다.
인증서 파일: 가져오기를 선택한 다음 인증서 파일로 이동합니다.
대상 저장소: 둘 이상의 인증서 저장소가 있는 디바이스의 경우 인증서를 저장할 위치를 선택합니다. 저장소가 하나만 있는 디바이스의 경우 이 설정은 무시됩니다.
인증서 지문 값을 사용하여 올바른 인증서를 가져왔는지 확인합니다.
SCEP 인증서
1. SCEP 서버
인증서 프로필 만들기 마법사의 SCEP 서버 페이지에서 SCEP 를 통해 인증서를 발급할 NDES 서버의 URL을 지정합니다. 인증서 등록 지점의 구성에 따라 NDES URL을 자동으로 할당하거나 수동으로 URL을 추가할 수 있습니다.
2. SCEP 등록
인증서 프로필 만들기 마법사의 SCEP 등록 페이지를 완료합니다.
다시 시도: 디바이스가 NDES 서버에 대한 인증서 요청을 자동으로 다시 시도한 횟수를 지정합니다. 이 설정은 CA 관리자가 인증서 요청을 수락하기 전에 승인해야 하는 시나리오를 지원합니다. 이 설정은 일반적으로 보안이 높은 환경에 사용되거나 엔터프라이즈 CA가 아닌 독립 실행형 발급 CA가 있는 경우에 사용됩니다. 또한 발급 CA가 인증서 요청을 처리하기 전에 인증서 요청 옵션을 검사할 수 있도록 테스트 목적으로 이 설정을 사용할 수도 있습니다. 이 설정은 다시 시도 지연(분) 설정과 함께 사용합니다.
다시 시도 지연(분): 발급 CA가 인증서 요청을 처리하기 전에 CA 관리자 승인을 사용할 때 각 등록 시도 사이의 간격(분)을 지정합니다. 테스트 목적으로 관리자 승인을 사용하는 경우 낮은 값을 지정합니다. 그런 다음 요청을 승인한 후 디바이스가 인증서 요청을 다시 시도할 때까지 오래 기다리지 않습니다.
프로덕션 네트워크에서 관리자 승인을 사용하는 경우 더 높은 값을 지정합니다. 이 동작을 사용하면 CA 관리자가 보류 중인 승인을 승인하거나 거부할 수 있는 충분한 시간이 허용됩니다.
갱신 임계값(%): 디바이스에서 인증서 갱신을 요청하기 전에 남아 있는 인증서 수명 비율을 지정합니다.
KSP(키 스토리지 공급자) : 인증서의 키가 저장되는 위치를 지정합니다. 다음 값 중 하나를 선택합니다.
있는 경우 TPM(신뢰할 수 있는 플랫폼 모듈)에 설치: TPM에 키를 설치합니다. TPM이 없는 경우 키는 소프트웨어 키에 대한 스토리지 공급자에 설치됩니다.
TPM(신뢰할 수 있는 플랫폼 모듈)에 설치하지 않으면 실패합니다. TPM에 키를 설치합니다. TPM 모듈이 없으면 설치가 실패합니다.
설치하여 비즈니스용 Windows Hello 실패: 이 옵션은 Windows 10 이상 디바이스에서 사용할 수 있습니다. 이를 통해 다단계 인증으로 보호되는 비즈니스용 Windows Hello 저장소에 인증서를 저장할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello를 참조하세요.
참고
이 옵션은 인증서 속성 페이지의 고급 키 사용에 대한 스마트 카드 로그온을 지원하지 않습니다.
소프트웨어 키 스토리지 공급자에 설치: 소프트웨어 키에 대한 스토리지 공급자에 키를 설치합니다.
인증서 등록을 위한 디바이스: 인증서 프로필을 사용자 컬렉션에 배포하는 경우 사용자의 기본 디바이스 또는 사용자가 로그인하는 모든 디바이스에서만 인증서 등록을 허용합니다.
디바이스 컬렉션에 인증서 프로필을 배포하는 경우 디바이스의 기본 사용자 또는 디바이스에 로그인하는 모든 사용자에 대해서만 인증서 등록을 허용합니다.
3. 인증서 속성
인증서 프로필 만들기 마법사의 인증서 속성 페이지에서 다음 정보를 지정합니다.
인증서 템플릿 이름: NDES에서 구성하고 발급 CA에 추가한 인증서 템플릿의 이름을 선택합니다. 인증서 템플릿을 성공적으로 찾아보려면 사용자 계정에 인증서 템플릿에 대한 읽기 권한이 필요합니다. 인증서 를 찾아볼 수 없는 경우 해당 이름을 입력합니다.
중요
인증서 템플릿 이름에 ASCII가 아닌 문자가 포함된 경우 인증서가 배포되지 않습니다. (이러한 문자의 한 가지 예는 중국어 알파벳에서 온 것입니다.) 인증서가 배포되었는지 확인하려면 먼저 CA에 인증서 템플릿의 복사본을 만듭니다. 그런 다음 ASCII 문자를 사용하여 복사본의 이름을 바꿉니다.
인증서 템플릿의 이름을 선택하려면 페이지의 일부 필드가 인증서 템플릿에서 자동으로 채워집니다. 경우에 따라 다른 인증서 템플릿을 선택하지 않는 한 이러한 값을 변경할 수 없습니다.
인증서 템플릿의 이름을 입력 하는 경우 이름이 인증서 템플릿 중 하나와 정확히 일치하는지 확인합니다. NDES 서버의 레지스트리에 나열된 이름과 일치해야 합니다. 인증서 템플릿의 표시 이름이 아니라 인증서 템플릿의 이름을 지정해야 합니다.
인증서 템플릿의 이름을 찾으려면 레지스트리 키
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
를 찾습니다. 인증서 템플릿을 EncryptionTemplate, GeneralPurposeTemplate 및 SignatureTemplate의 값으로 나열합니다. 기본적으로 세 인증서 템플릿 모두에 대한 값은 IPSECIntermediateOffline이며, IPSec(오프라인 요청)의 템플릿 표시 이름에 매핑됩니다.경고
인증서 템플릿의 이름을 입력하면 Configuration Manager 인증서 템플릿의 내용을 확인할 수 없습니다. 인증서 템플릿에서 지원하지 않는 옵션을 선택할 수 있으며 이로 인해 인증서 요청이 실패할 수 있습니다. 이 동작이 발생하면 CPR.log 파일에 CSR(인증서 서명 요청)의 템플릿 이름과 챌린지가 일치하지 않는 w3wp.exe 대한 오류 메시지가 표시됩니다.
GeneralPurposeTemplate 값에 대해 지정된 인증서 템플릿의 이름을 입력하면 이 인증서 프로필에 대한 키 암호화 및 디지털 서명 옵션을 선택합니다. 이 인증서 프로필에서 키 암호화 옵션만 사용하도록 설정하려면 EncryptionTemplate 키의 인증서 템플릿 이름을 지정합니다. 마찬가지로 이 인증서 프로필에서 디지털 서명 옵션만 사용하도록 설정하려면 SignatureTemplate 키의 인증서 템플릿 이름을 지정합니다.
인증서 유형: 디바이스 또는 사용자에게 인증서를 배포할지 여부를 선택합니다.
주체 이름 형식: Configuration Manager 인증서 요청에 주체 이름을 자동으로 만드는 방법을 선택합니다. 인증서가 사용자용인 경우 주체 이름에 사용자의 전자 메일 주소를 포함할 수도 있습니다.
참고
IMEI 번호 또는 일련 번호를 선택하는 경우 동일한 사용자가 소유한 여러 디바이스를 구분할 수 있습니다. 예를 들어 이러한 디바이스는 일반 이름을 공유할 수 있지만 IMEI 번호나 일련 번호는 공유할 수 없습니다. 디바이스에서 IMEI 또는 일련 번호를 보고하지 않으면 인증서가 일반 이름으로 발급됩니다.
주체 대체 이름: Configuration Manager 인증서 요청에서 SAN(주체 대체 이름)에 대한 값을 자동으로 만드는 방법을 지정합니다. 예를 들어 사용자 인증서 유형을 선택한 경우 주체 대체 이름에 UPN(사용자 계정 이름)을 포함할 수 있습니다. 클라이언트 인증서가 네트워크 정책 서버에 인증되는 경우 주체 대체 이름을 UPN으로 설정합니다.
인증서 유효 기간: 발급 CA에서 사용자 지정 유효 기간을 설정한 경우 인증서가 만료되기 전까지 남은 시간을 지정합니다.
팁
다음 명령줄을 사용하여 사용자 지정 유효 기간을 설정합니다.
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
이 명령에 대한 자세한 내용은 인증서 인프라를 참조하세요.지정된 인증서 템플릿의 유효 기간보다 낮지만 더 높지는 않은 값을 지정할 수 있습니다. 예를 들어 인증서 템플릿의 인증서 유효 기간이 2년인 경우 1년 값을 지정할 수 있지만 5년 값은 지정할 수 없습니다. 또한 이 값은 발급 CA 인증서의 남은 유효 기간보다 작아야 합니다.
키 사용: 인증서에 대한 키 사용 옵션을 지정합니다. 다음 옵션 중에서 선택합니다.
키 암호화: 키가 암호화된 경우에만 키 교환을 허용합니다.
디지털 서명: 디지털 서명으로 키를 보호하는 경우에만 키 교환을 허용합니다.
인증서 템플릿을 검색한 경우 다른 인증서 템플릿을 선택하지 않는 한 이러한 설정을 변경할 수 없습니다.
위의 두 가지 주요 사용 옵션 중 하나 또는 둘 다를 사용하여 선택한 인증서 템플릿을 구성합니다. 그렇지 않은 경우 인증서 등록 지점 로그 파일 Crp.log: CSR의 키 사용량 및 챌린지가 일치하지 않음 메시지가 표시됩니다.
키 크기(비트): 키의 크기를 비트 단위로 선택합니다.
확장 키 사용: 인증서의 용도에 대한 값을 추가합니다. 대부분의 경우 사용자 또는 디바이스가 서버에 인증할 수 있도록 인증서에 클라이언트 인증 이 필요합니다. 필요에 따라 다른 키 사용을 추가할 수 있습니다.
해시 알고리즘: 이 인증서에 사용할 수 있는 해시 알고리즘 유형 중 하나를 선택합니다. 연결 디바이스에서 지원되는 가장 강력한 보안 수준을 선택합니다.
참고
SHA-2 는 SHA-256, SHA-384 및 SHA-512를 지원합니다. SHA-3 은 SHA-3만 지원합니다.
루트 CA 인증서: 이전에 구성하고 사용자 또는 디바이스에 배포한 루트 CA 인증서 프로필을 선택합니다. 이 CA 인증서는 이 인증서 프로필에서 구성 중인 인증서를 발급하는 CA의 루트 인증서여야 합니다.
중요
사용자 또는 디바이스에 배포되지 않은 루트 CA 인증서를 지정하는 경우 Configuration Manager 이 인증서 프로필에서 구성하는 인증서 요청을 시작하지 않습니다.
지원되는 플랫폼
인증서 프로필 만들기 마법사의 지원되는 플랫폼 페이지에서 인증서 프로필을 설치할 OS 버전을 선택합니다. 모두 선택을 선택하여 사용 가능한 모든 운영 체제에 인증서 프로필을 설치합니다.
다음 단계
새 인증서 프로필은 자산 및 규정 준수 작업 영역의 인증서 프로필 노드에 표시됩니다. 사용자 또는 디바이스에 배포할 준비가 된 것입니다. 자세한 내용은 프로필을 배포하는 방법을 참조하세요.