다음을 통해 공유


Configuration Manager를 위한 PKI 인증서 요구 사항

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

다음 표에는 System Center 2012 Configuration Manager에 필요할 수 있는 PKI(공개 키 인프라) 인증서가 나와 있습니다. 이 정보는 PKI 인증서에 대한 기본 지식이 있다는 가정 하에 설명되었습니다. 이러한 인증서 배포의 예에 대한 단계별 지침은 Configuration Manager를 위한 PKI 인증서 배포의 단계별 예: Windows Server 2008 인증 기관 섹션을 참조하세요. Active Directory 인증서 서비스에 대한 자세한 내용은 다음 설명서를 참조하세요.

System_CAPS_important중요

2017년 1월 1일부터 Windows에서는 SHA-1로 서명된 인증서를 더 이상 신뢰하지 않습니다. SHA-2로 서명된 서버 및 클라이언트 인증 인증서를 새로 발급하는 것이 좋습니다.

이 변경 내용과 기한 전에 가능한 업데이트에 대한 자세한 내용은 다음 블로그 게시물을 참조하세요. Windows Enforcement of Authenticode Code Signing and Timestamping(Windows의 Authenticode 코드 서명 및 타임스탬프 적용)

Configuration Manager가 모바일 장치 및 Mac 컴퓨터에 등록하는 클라이언트 인증서, Microsoft Intune에서 모바일 장치를 관리하기 위해 자동으로 만드는 인증서 및 Configuration Manager가 AMT 기반 컴퓨터에 설치하는 인증서를 제외한 다음 인증서는 PKI를 사용하여 만들고, 배포하고, 관리할 수 있습니다. 그러나 Active Directory 인증서 서비스 및 인증서 템플릿을 사용하는 경우 이 Microsoft PKI 솔루션을 사용하면 인증서를 쉽게 관리할 수 있습니다. 인증서 요구 사항에 가장 부합하는 인증서 템플릿을 알아보려면 다음 표의 사용할 Microsoft 인증서 템플릿 열을 참조하세요. 템플릿 기반 인증서는 Windows Server 2008 Enterprise 및 Windows Server 2008 Datacenter와 같은 Enterprise Edition 또는 Datacenter Edition의 서버 운영 체제에서 실행되는 엔터프라이즈 인증 기관에서만 발행할 수 있습니다.

System_CAPS_important중요

엔터프라이즈 인증 기관과 인증서 템플릿을 사용하는 경우 버전 3 템플릿을 사용하지 마세요. 이러한 인증서 템플릿은 Configuration Manager와 호환되는 인증서를 만듭니다. 대신 다음 지침을 사용하여 버전 2 템플릿을 사용합니다.

  • Windows Server 2012의 CA: 인증서 템플릿 속성의 호환성 탭에서 인증 기관 옵션에는 Windows Server 2003을 지정하고 인증서 받는 사람 옵션에는 Windows XP / Server 2003을 지정합니다.

  • Windows Server 2008의 CA: 인증서 템플릿을 복제할 때 템플릿 복제 팝업 대화 상자에서 메시지가 표시되면 기본 선택 항목인 Windows Server 2003 Enterprise를 그대로 유지합니다.Windows Server 2008, Enterprise Edition은 선택하지 마세요.

인증서 요구 사항을 보려면 다음 섹션을 참조하세요.

서버용 PKI 인증서

Configuration Manager 구성 요소

인증서 용도

사용할 Microsoft 인증서 템플릿

인증서에 포함되는 정보

Configuration Manager에서 인증서가 사용되는 방식

IIS(인터넷 정보 서비스)를 실행하고 HTTPS 클라이언트 연결용으로 구성된 사이트 시스템:

  • 관리 지점

  • 배포 지점

  • 소프트웨어 업데이트 지점

  • 상태 마이그레이션 지점

  • 등록 지점

  • 등록 프록시 지점

  • 응용 프로그램 카탈로그 웹 서비스 지점

  • 응용 프로그램 카탈로그 웹 사이트 지점

서버 인증

웹 서버

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

사이트 시스템이 인터넷의 연결을 수락하면 주체 이름 또는 주체 대체 이름에 인터넷 FQDN(정규화된 도메인 이름)을 포함해야 합니다.

사이트 시스템이 인트라넷의 연결을 수락하면 사이트 시스템의 구성 방법에 따라 주체 이름 또는 주체 대체 이름에 인트라넷 FQDN(권장)이나 컴퓨터 이름을 포함해야 합니다.

사이트 시스템에서 인터넷과 인트라넷의 연결을 모두 허용하는 경우에는 인터넷 FQDN과 인트라넷 FQDN(또는 컴퓨터 이름)을 지정해야 합니다. 이때 두 이름 사이에 앰퍼샌드(&) 구분 기호를 사용해야 합니다.

System_CAPS_important중요

소프트웨어 업데이트 지점에서 인터넷의 클라이언트 연결만 수락하는 경우 인증서에 인터넷 FQDN과 인트라넷 FQDN을 모두 포함해야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

Configuration Manager에서는 이 인증서에 지원되는 최대 키 길이가 지정되지 않습니다. 이 인증서의 키 크기와 관련된 문제는 해당 PKI 및 IIS 설명서를 참조하세요.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다.

이 웹 서버 인증서는 클라이언트에 대해 이러한 서버를 인증하고 클라이언트와 이러한 서버 간에 전송되는 모든 데이터를 SSL(Secure Sockets Layer)을 사용하여 암호화하는 데 사용됩니다.

클라우드 기반 배포 지점

서버 인증

웹 서버

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

주체 이름에는 고객이 정의한 FQDN 형식의 서비스 이름 및 도메인 이름을 클라우드 기반 배포 지점의 특정 인스턴스에 대한 일반 이름으로 포함해야 합니다.

개인 키를 내보낼 수 있어야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 키 길이: 2048비트

System Center 2012 Configuration Manager SP1 이상:

이 서비스 인증서는 Configuration Manager 클라이언트에 대해 클라우드 기반 배포 지점 서비스를 인증하고 이들 간에 전송되는 모든 데이터를 SSL(Secure Sockets Layer)을 사용하여 암호화하는 데 사용됩니다.

이 인증서는 PKCS(Public Key Certificate Standard) #12 형식으로 내보내야 하며, 암호를 알아야 클라우드 기반 배포 지점을 만들 때 이 인증서를 가져올 수 있습니다.

참고

이 인증서는 Windows Azure 관리 인증서와 함께 사용됩니다. 이 인증서에 대한 자세한 내용은 MSDN Library의 Windows Azure Platform 섹션에 있는 Windows Azure의 관리 인증서를 만드는 방법Windows Azure 구독에 관리 인증서를 추가하는 방법을 참조하세요.

소프트웨어 업데이트 지점의 NLB(네트워크 부하 분산) 클러스터

서버 인증

웹 서버

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

  1. 주체 이름 필드 또는 주체 대체 이름 필드에 표시되는 NLB 클러스터의 FQDN:

    • 인터넷 기반 클라이언트 관리를 지원하는 네트워크 부하 분산 서버의 경우 인터넷 NLB FQDN을 사용합니다.

    • 인트라넷 클라이언트를 지원하는 네트워크 부하 분산 서버의 경우 인트라넷 NLB FQDN을 사용합니다.

  2. 주체 이름 필드 또는 주체 대체 이름 필드에 표시되는 NLB 클러스터에 있는 사이트 시스템의 컴퓨터 이름: 이 서버 이름은 NLB 클러스터 이름과 앰퍼샌드(&) 구분 기호 뒤에 지정해야 합니다.

    • 인트라넷에 있는 사이트 시스템에서 인트라넷 FQDN을 지정하는 경우 이 FQDN을 사용(권장)하거나 컴퓨터 NetBIOS 이름을 사용합니다.

    • 인터넷 기반 클라이언트 관리를 지원하는 사이트 시스템의 경우 인터넷 NLB FQDN을 사용합니다.

SHA-2 해시 알고리즘이 지원됩니다.

서비스 팩이 설치되지 않은 System Center 2012 Configuration Manager의 경우:

이 인증서는 클라이언트에 대해 네트워크 부하 분산 소프트웨어 업데이트 지점을 인증하고 클라이언트와 이러한 서버 간에 전송되는 모든 데이터를 SSL(Secure Sockets Layer)을 사용하여 암호화하는 데 사용됩니다.

참고

System Center 2012 Configuration Manager SP1부터는 NLB 소프트웨어 업데이트 지점이 지원되지 않으므로 이 인증서는 서비스 팩이 설치되지 않은 Configuration Manager에만 적용됩니다.

Microsoft SQL Server를 실행하는 사이트 시스템 서버

서버 인증

웹 서버

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

주체 이름에 인트라넷 FQDN(정규화된 도메인 이름)을 포함해야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 하며, Configuration Manager는 Configuration Manager 계층에 있는 서버(사이트 시스템 서버와의 신뢰 관계를 설정해야 할 수 있음)의 신뢰할 수 있는 사용자 저장소로 인증서를 자동으로 복사합니다.

이러한 인증서는 서버 간 인증에 사용됩니다.

SQL Server 클러스터: Microsoft SQL Server를 실행하는 사이트 시스템 서버

서버 인증

웹 서버

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

주체 이름에 클러스터의 인트라넷 FQDN(정규화된 도메인 이름)을 포함해야 합니다.

개인 키를 내보낼 수 있어야 합니다.

SQL Server 클러스터를 사용하도록 Configuration Manager를 구성할 때 이 인증서의 유효 기간이 2년 이상이어야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

클러스터의 한 노드에 이 인증서를 요청하고 설치한 후 SQL Server 클러스터의 각 추가 노드로 인증서를 내보내고 가져옵니다.

이 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 하며, Configuration Manager는 Configuration Manager 계층에 있는 서버(사이트 시스템 서버와의 신뢰 관계를 설정해야 할 수 있음)의 신뢰할 수 있는 사용자 저장소로 인증서를 자동으로 복사합니다.

이러한 인증서는 서버 간 인증에 사용됩니다.

다음 사이트 시스템 역할의 사이트 시스템 모니터링:

  • 관리 지점

  • 상태 마이그레이션 지점

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

컴퓨터의 주체 이름 필드 또는 주체 대체 이름 필드에 고유한 값이 있어야 합니다.

참고

주체 대체 이름에 여러 값을 사용하는 경우 첫 번째 값만 사용됩니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

이 인증서는 나열된 사이트 시스템 서버에 필요하며, System Center 2012 Configuration Manager 클라이언트가 설치되지 않은 경우에도 마찬가지입니다. 이 인증서가 있어야 이러한 사이트 시스템 역할의 상태를 모니터링하고 사이트에 보고할 수 있습니다.

이러한 사이트 시스템의 인증서는 컴퓨터 인증서 저장소의 개인 저장소에 있어야 합니다.

네트워크 장치 등록 서비스 역할 서비스와 함께 Configuration Manager 정책 모듈을 실행하는 서버입니다.

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

인증서 주체 이름이나 SAN(주체 대체 이름)에 대한 특정 요구 사항은 없으며, 네트워크 장치 등록 서비스를 실행하는 여러 서버에 동일한 인증서를 사용할 수 있습니다.

SHA-2 및 SHA-3 해시 알고리즘이 지원됩니다.

지원되는 키 길이: 1024비트 및 2048비트

이 항목의 정보는 System Center 2012 R2 Configuration Manager 버전에만 적용됩니다.

이 인증서는 Configuration Manager에서 사용자와 장치에 대한 인증서를 등록할 수 있도록 인증서 등록 지점 사이트 시스템 서버에 대해 Configuration Manager 정책 모듈을 인증합니다.

배포 지점이 설치된 사이트 시스템

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

인증서 주체 이름이나 SAN(주체 대체 이름)에 대한 특정 요구 사항은 없으며, 여러 배포 지점에 동일한 인증서를 사용할 수 있습니다. 그러나 각 배포 지점에 대해 다른 인증서를 사용하는 것이 좋습니다.

개인 키를 내보낼 수 있어야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

이 인증서는 다음 두 가지 용도로 사용됩니다.

  • 배포 지점에서 상태 메시지를 보내기 전에 HTTPS 사용 관리 지점에 대해 배포 지점을 인증합니다.

  • 클라이언트에 대해 PXE 지원 사용 배포 지점 옵션을 선택하면 운영 체제 배포 프로세스의 작업 순서에 클라이언트 작업(예: 클라이언트 정책 검색 또는 인벤토리 정보 보내기)이 포함된 경우 운영 체제 배포 중에 클라이언트 컴퓨터가 HTTPS 사용 관리 지점에 연결할 수 있도록 인증서가 컴퓨터로 전송됩니다.

    이 인증서는 운영 체제 배포 프로세스 중에만 사용되고 클라이언트에 설치되지는 않습니다. 이처럼 임시로 사용되기 때문에 여러 클라이언트 인증서를 사용하지 않으려는 경우 모든 운영 체제 배포에 동일한 인증서를 사용할 수 있습니다.

이 인증서는 PKCS(Public Key Certificate Standard) #12 형식으로 내보내야 하며, 암호를 알아야 배포 지점 속성으로 이 인증서를 가져올 수 있습니다.

참고

이 인증서의 요구 사항은 운영 체제 배포를 위한 부팅 이미지의 클라이언트 인증서와 같습니다. 요구 사항이 동일하므로 동일한 인증서 파일을 사용할 수 있습니다.

대역 외 서비스 지점

AMT 프로비전

웹 서버(수정됨)

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1) 및 개체 식별자 2.16.840.1.113741.1.2.3을 포함해야 합니다.

주체 이름 필드에 대역 외 서비스 지점을 호스팅하는 서버의 FQDN을 포함해야 합니다.

참고

자체 내부 CA가 아니라 외부 CA에서 AMT 프로비전 인증서를 요청하는 경우 AMT 프로비전 개체 식별자 2.16.840.1.113741.1.2.3을 지원하지 않으면 인증서 주체 이름의 OU(조직 구성 단위) 특성으로 Intel(R) Client Setup Certificate 텍스트 문자열을 대신 지정할 수 있습니다. 영어로 된 이 텍스트를 대/소문자 그대로 사용(마침표 제외)해야 하며 대역 외 서비스 지점을 호스팅하는 서버의 FQDN도 포함해야 합니다.

SHA-1은 유일하게 지원되는 해시 알고리즘입니다.

지원되는 키 길이: 1024 및 2048 AMT 6.0 이상 버전의 경우 4096비트의 키 길이도 지원됩니다.

이 인증서는 대역 외 서비스 지점 사이트 시스템 서버의 컴퓨터 인증서 저장소에 있는 개인 저장소에 있습니다.

이 AMT 프로비전 인증서는 대역 외 관리를 위해 컴퓨터를 준비하는 데 사용됩니다.

이 인증서는 AMT 프로비전 인증서를 제공하는 CA에서 요청해야 하며, Intel AMT 기반 컴퓨터의 BIOS 확장 프로그램에서 이 프로비전 인증서에 대해 루트 인증서 손도장(인증서 해시라고도 함)을 사용하도록 구성해야 합니다.

VeriSign은 AMT 프로비전 인증서를 제공하는 외부 CA의 대표적인 예이지만, 고유의 내부 CA를 사용할 수도 있습니다.

대역 외 서비스 지점을 호스팅하는 서버에 인증서를 설치합니다. 이 대역 외 서비스 지점은 인증서의 루트 CA와 성공적으로 체인을 연결할 수 있어야 합니다. (VeriSign의 루트 CA 인증서 및 중간 CA 인증서는 기본적으로 Windows를 설치할 때 설치됩니다.)

Microsoft Intune 커넥터를 실행하는 사이트 시스템 서버

클라이언트 인증

해당 없음: Intune에서 이 인증서를 자동으로 만듭니다.

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)이 포함됩니다.

3가지 사용자 지정 확장을 통해 고객의 Intune 구독이 고유하게 식별됩니다.

키 크기는 2048비트이며 SHA-1 해시 알고리즘을 사용합니다.

참고

이러한 설정은 변경할 수 없습니다. 이 정보는 정보 제공용으로만 제공됩니다.

Microsoft Intune을 구독하면 이 인증서가 자동으로 요청되고 Configuration Manager 데이터베이스에 설치됩니다.Microsoft Intune 커넥터를 설치하면 Microsoft Intune 커넥터를 실행하는 사이트 시스템 서버에 이 인증서가 설치됩니다. 컴퓨터 인증서 저장소에 설치됩니다.

이 인증서는 Microsoft Intune 커넥터를 사용하여 Microsoft Intune에 대해 Configuration Manager 계층을 인증하는 데 사용됩니다. 전송되는 모든 데이터에 SSL(Secure Sockets Layer)이 사용됩니다.

인터넷 기반 클라이언트 관리를 위한 프록시 웹 서버

사이트에서 인터넷 기반 클라이언트 관리를 지원하고 들어오는 Internet 연결에 SSL 종료(브리징)를 사용하여 프록시 웹 서버를 사용하는 경우 프록시 웹 서버에 대한 인증서 요구 사항이 다음 표에 나와 있습니다.

참고

SSL 종료(터널링) 없이 프록시 웹 서버를 사용하는 경우 프록시 웹 서버에 별도의 인증서가 필요 없습니다.

네트워크 인프라 구성 요소

인증서 용도

사용할 Microsoft 인증서 템플릿

인증서에 포함되는 정보

Configuration Manager에서 인증서가 사용되는 방식 

인터넷을 통해 클라이언트 연결을 수락하는 프록시 웹 서버

서버 인증 및 클라이언트 인증

  1. 웹 서버

  2. 워크스테이션 인증

주체 이름 필드 또는 주체 대체 이름 필드의 인터넷 FQDN(Microsoft 인증서 템플릿을 사용하는 경우 워크스테이션 템플릿에서만 주체 대체 이름을 사용할 수 있음).

SHA-2 해시 알고리즘이 지원됩니다.

이 인증서는 인터넷 클라이언트에 대해 다음 서버를 인증하고, SSL을 사용하여 클라이언트와 이 서버 간에 전송되는 모든 데이터를 암호화하는 데 사용됩니다.

  • 인터넷 기반 관리 지점

  • 인터넷 기반 배포 지점

  • 인터넷 기반 소프트웨어 업데이트 지점

이 클라이언트 인증은 System Center 2012 Configuration Manager 클라이언트와 인터넷 기반 사이트 시스템 간에 클라이언트 연결을 브리징하는 데 사용됩니다.

클라이언트에 대한 PKI 인증서

Configuration Manager 구성 요소

인증서 용도

사용할 Microsoft 인증서 템플릿

인증서에 포함되는 정보

Configuration Manager에서 인증서가 사용되는 방식 

Windows 클라이언트 컴퓨터

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

클라이언트 컴퓨터는 주체 이름 필드 또는 주체 대체 이름 필드에 고유한 값을 가져야 합니다.

참고

주체 대체 이름에 여러 값을 사용하는 경우 첫 번째 값만 사용됩니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

기본적으로 Configuration Manager는 컴퓨터 인증서 저장소의 개인 저장소에서 컴퓨터 인증서를 찾습니다.

소프트웨어 업데이트 지점과 응용 프로그램 카탈로그 웹 사이트 지점을 제외하고, 이 인증서는 IIS를 실행하고 HTTPS를 사용하도록 구성된 사이트 시스템 서버에 대해 클라이언트를 인증합니다.

모바일 장치 클라이언트

클라이언트 인증

인증된 세션

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

SHA-1은 유일하게 지원되는 해시 알고리즘입니다.

지원되는 최대 키 길이는 2048비트입니다.

System_CAPS_important중요

이 인증서는 DER(Distinguished Encoding Rules) 인코딩된 바이너리 X.509 형식이어야 합니다.

Base64 인코딩된 X.509 형식은 지원되지 않습니다.

이 인증서는 관리 지점 및 배포과 같은 모바일 장치 클라이언트가 통신하는 사이트 시스템 서버에 대해 모바일 장치 클라이언트를 인증합니다.

운영 체제 배포를 위한 부팅 이미지

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

인증서 주체 이름 필드나 SAN(주체 대체 이름)에 대한 특정 요구 사항은 없으며, 모든 부팅 이미지에 동일한 인증서를 사용할 수 있습니다.

개인 키를 내보낼 수 있어야 합니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

이 인증서는 운영 체제 배포 프로세스의 작업 순서에 클라이언트 정책 검색 또는 인벤토리 정보 전송과 같은 클라이언트 작업이 포함된 경우에 사용됩니다.

이 인증서는 운영 체제 배포 프로세스 중에만 사용되고 클라이언트에 설치되지는 않습니다. 이처럼 임시로 사용되기 때문에 여러 클라이언트 인증서를 사용하지 않으려는 경우 모든 운영 체제 배포에 동일한 인증서를 사용할 수 있습니다.

이 인증서는 PKCS #12(공개 키 암호 표준 #12) 형식으로 내보내야 하며 Configuration Manager 부팅 이미지로 가져올 수 있도록 암호를 알 수 있어야 합니다.

참고

이 인증서의 요구 사항은 배포 지점이 설치된 사이트 시스템의 서버 인증서와 동일합니다. 요구 사항이 동일하므로 동일한 인증서 파일을 사용할 수 있습니다.

Mac 클라이언트 컴퓨터

클라이언트 인증

Configuration Manager 등록:인증된 세션

Configuration Manager와 별개의 인증서 설치: 워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

Configuration Manager에서 사용자 인증서가 만들어지는 경우 인증서 주체 값이 Mac 컴퓨터를 등록하는 사용자의 사용자 이름으로 자동 채워집니다.

Configuration Manager 등록을 사용하지 않고 Configuration Manager와 별개로 컴퓨터 인증서를 배포하는 인증서 설치의 경우, 인증서 주체 값이 고유해야 합니다. 예를 들어 컴퓨터의 FQDN을 지정합니다.

주체 대체 이름 필드는 지원되지 않습니다.

SHA-2 해시 알고리즘이 지원됩니다.

지원되는 최대 키 길이는 2048비트입니다.

System Center 2012 Configuration Manager SP1 이상:

이 인증서는 관리 지점 및 배포 지점과 같은 Mac 클라이언트 컴퓨터가 통신하는 사이트 시스템 서버에 대해 Mac 클라이언트 컴퓨터를 인증합니다.

Linux 및 UNIX 클라이언트 컴퓨터

클라이언트 인증

워크스테이션 인증

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

주체 대체 이름 필드는 지원되지 않습니다.

개인 키를 내보낼 수 있어야 합니다.

SHA-1 해시 알고리즘이 지원됩니다.

SHA-2 해시 알고리즘은 클라이언트의 운영 체제가 SHA-2를 지원하는 경우에 지원됩니다. 자세한 내용은 Linux 및 UNIX 서버에 대 한 클라이언트 배포 계획 항목에서 수행할 하지 지원 s h A-256 Linux 및 UNIX 운영 체제를 실행 하는 것에 대 한 섹션을 참조하세요.

지원되는 키 길이: 2048비트

System_CAPS_important중요

이 인증서는 DER(Distinguished Encoding Rules) 인코딩된 바이너리 X.509 형식이어야 합니다. Base64 인코딩된 X.509 형식은 지원되지 않습니다.

System Center 2012 Configuration Manager SP1 이상:

이 인증서는 관리 지점 및 배포 지점과 같은 Linux 및 UNIX 클라이언트가 통신하는 사이트 시스템 서버에 대해 Linux 및 UNIX 클라이언트를 인증합니다.

이 인증서는 PKCS #12(공개 키 암호 표준 #12) 형식으로 내보내야 하며 PKI 인증서를 지정할 떄 클라이언트에 대해 지정할 수 있도록 암호를 알 수 있어야 합니다.

자세한 내용은 Linux 및 UNIX 서버에 대 한 보안 및 인증서 계획 항목에서 Linux 및 UNIX 서버에 대 한 클라이언트 배포 계획 섹션을 참조하세요.

다음 시나리오에 대한 루트 CA(인증 기관) 인증서:

  • 운영 체제 배포

  • 모바일 장치 등록

  • Intel AMT 기반 컴퓨터에 대한 RADIUS 서버 인증

  • 클라이언트 인증서 인증

신뢰할 수 있는 원본에 대한 인증서 체인

해당 없음.

표준 루트 CA 인증서입니다.

클라이언트에서 통신하는 서버의 인증서를 신뢰할 수 있는 원본에 연결해야 하는 경우 루트 CA 인증서를 제공해야 합니다. 이것은 다음과 같은 경우에 적용됩니다.

  • 운영 체제를 배포하고, HTTPS를 사용하도록 구성된 관리 지점에 클라이언트 컴퓨터를 연결하는 작업 순서가 실행되는 경우

  • System Center 2012 Configuration Manager로 관리되는 모바일 장치를 등록하는 경우

  • AMT 기반 컴퓨터에 대한 802.1X 인증을 사용하고, RADIUS 서버의 루트 인증서에 대한 파일을 지정하려는 경우

또한 클라이언트 인증서가 관리 지점 인증서를 발급한 CA 계층이 아닌 다른 CA 계층에서 발급된 경우 클라이언트에 대한 루트 CA 인증서를 제공해야 합니다.

Intel AMT 기반 컴퓨터

서버 인증입니다.

웹 서버(수정됨)

주체 이름을 이 Active Directory 정보로 만듦으로 구성한 후에, 주체 이름 형식일반 이름을 선택합니다.

대역 외 관리 구성 요소 속성에서 지정하는 범용 보안 그룹에 읽기등록 권한을 부여해야 합니다.

확장된 키 사용 값에 서버 인증(1.3.6.1.5.5.7.3.1)을 포함해야 합니다.

주체 이름에 AMT 기반 컴퓨터의 FQDN이 포함되어야 합니다. 이는 Active Directory 도메인 서비스에서 자동으로 제공됩니다.

SHA-1은 유일하게 지원되는 해시 알고리즘입니다.

지원되는 최대 키 길이: 2048비트

이 인증서는 컴퓨터에 있는 관리 컨트롤러의 비휘발성 RAM에 상주하며 Windows 사용자 인터페이스에서 확인할 수 없습니다.

각 Intel AMT 기반 컴퓨터는 AMT 프로비전 및 후속 업데이트 시에 이 인증서를 요청합니다. 이러한 컴퓨터에서 AMT 프로비전 정보를 제거하면 이 인증서가 해지됩니다.

Intel AMT 기반 컴퓨터에 이 인증서가 설치되면 루트 CA에 대한 인증서 체인도 설치됩니다. AMT 기반 컴퓨터는 키 길이가 2048비트를 초과하는 CA 인증서를 지원할 수 없습니다.

인증서가 Intel AMT 기반 컴퓨터에 설치된 후에는 이 인증서가 대역 외 서비스 지점 사이트 시스템 서버와 대역 외 관리 콘솔이 실행되는 컴퓨터에 대해 AMT 기반 컴퓨터를 인증하고 TLS(전송 계층 보안)를 사용하여 이들 사이에 전송되는 모든 데이터를 암호화합니다.

Intel AMT 802.1X 클라이언트 인증서

클라이언트 인증

워크스테이션 인증

주체 이름을 이 Active Directory 정보로 만듦으로 구성한 후에 주체 이름 형식일반 이름을 선택하고, DNS 이름의 선택을 취소하고 대체 주체 이름에 UPN(사용자 계정 이름)을 선택합니다.

대역 외 관리 구성 요소 속성에서 지정하는 범용 보안 그룹에 이 인증서 템플릿에 대한 읽기등록 권한을 부여해야 합니다.

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 포함해야 합니다.

주체 이름 필드에는 AMT 기반 컴퓨터의 FQDN이 포함되고, 주체 대체 이름에는 UPN이 포함되어야 합니다.

지원되는 최대 키 길이: 2048비트

이 인증서는 컴퓨터에 있는 관리 컨트롤러의 비휘발성 RAM에 상주하며 Windows 사용자 인터페이스에서 확인할 수 없습니다.

각 Intel AMT 기반 컴퓨터는 AMT 프로비전 시에 이 인증서를 요청할 수 있지만 AMT 프로비전 정보가 제거될 때 이 인증서를 해지하지 않습니다.

AMT 기반 컴퓨터에 인증서가 설치된 후에는 이 인증서를 통해 AMT 기반 컴퓨터에 네트워크 액세스를 허용하도록 RADIUS 서버에 대해 AMT 기반 컴퓨터가 인증됩니다.

Microsoft Intune에서 등록된 모바일 장치

클라이언트 인증

해당 없음: Intune에서 이 인증서를 자동으로 만듭니다.

확장된 키 사용 값에 클라이언트 인증(1.3.6.1.5.5.7.3.2)이 포함됩니다.

3가지 사용자 지정 확장을 통해 고객의 Intune 구독이 고유하게 식별됩니다.

사용자는 등록 시 인증서 주체 값을 제공할 수 있습니다. 그러나 이 값은 Intune에서 장치를 식별하는 데 사용되지 않습니다.

키 크기는 2048비트이며 SHA-1 해시 알고리즘을 사용합니다.

참고

이러한 설정은 변경할 수 없습니다. 이 정보는 정보 제공용으로만 제공됩니다.

이 인증서는 인증된 사용자가 Microsoft Intune을 사용하여 모바일 장치를 등록할 때 자동으로 요청되고 설치됩니다. 이로 인해 장치에 생성되는 인증서는 컴퓨터 저장소에 저장되어 등록된 모바일 장치를 Intune에 대해 인증합니다. 이후에 이 장치를 관리할 수 있습니다.

인증서에 포함되는 사용자 지정 확장 때문에 인증이 조직에 설정된 Intune 구독으로 제한됩니다.