다음을 통해 공유

선택 사항: 비즈니스용 App Control에 대한 코드 서명 인증서 만들기

참고

비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.

비즈니스용 App Control을 배포할 때 카탈로그 파일 또는 App Control 정책에 내부적으로 서명해야 할 수 있습니다. 이 서명을 수행하려면 Microsoft의 신뢰할 수 있는 서명 서비스, 공개적으로 발급된 코드 서명 인증서 또는 내부 CA를 사용해야 합니다. 코드 서명 인증서를 구입한 경우 이 문서를 건너뛰고 대신 비즈니스용 앱 제어 배포 가이드에 나열된 다른 문서를 따를 수 있습니다.

내부 CA가 있는 경우 이러한 단계를 완료하여 코드 서명 인증서를 만듭니다.

Warning

App Control 정책 서명에 대한 서명 인증서를 만들 때 서명 인증서가 다음 규칙을 따르지 않는 경우 부팅 실패(파란색 화면)가 발생할 수 있습니다.

  • 기본 및 추가를 포함한 모든 정책은 PKCS 7 Standard 따라 서명되어야 합니다.
  • 2K, 3K 또는 4K 키 크기로만 RSA 키를 사용합니다. ECDSA는 지원되지 않습니다.
  • SHA-256, SHA-384 또는 SHA-512를 Windows 11 다이제스트 알고리즘으로 사용할 수 있으며, 2022년 11월 누적 보안 업데이트를 적용한 후 Windows 10 및 Windows Server 2019 이상을 사용할 수 있습니다. 다른 모든 디바이스는 SHA256만 지원합니다.

  1. 인증 기관 MMC(Microsoft Management Console) 스냅인을 열고 발급 CA를 선택합니다.

  2. 연결되면 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택하여 인증 템플릿 콘솔을 엽니다.

    인증서 템플릿을 보여 주는 CA 스냅인입니다.

    그림 1. 인증서 템플릿 관리

  3. 탐색 창에서 코드 서명 인증서를 마우스 오른쪽 단추로 클릭한 다음 템플릿 복제를 선택합니다.

  4. 호환성 탭에서 결과 변경 내용 표시 확인란을 선택 취소합니다. 인증 기관 목록에서 Windows Server 2012 를 선택한 다음 인증서 받는 사람 목록에서 Windows 8 / Windows Server 2012 를 선택합니다.

  5. 일반 탭에서 템플릿 표시 이름템플릿 이름을 지정합니다. 이 예제에서는 App Control 카탈로그 서명 인증서라는 이름을 사용합니다.

  6. 요청 처리 탭에서 개인 키를 내보낼 수 있음 확인란을 선택합니다.

  7. 확장 탭에서 기본 제약 조건 검사 상자를 선택한 다음 편집을 선택합니다.

  8. 그림 2와 같이 기본 제약 조건 확장 편집 대화 상자에서 이 확장 사용을 선택합니다.

    기본 제약 조건 확장을 편집합니다.

    그림 2. 새 템플릿에 대한 제약 조건 선택

  9. 인증서 관리자가 발급된 인증서를 승인해야 하는 경우 발급 요구 사항 탭에서 CA 인증서 관리자 승인을 선택합니다.

  10. 주체 이름 탭에서 요청에서 제공을 선택합니다.

  11. 보안 탭에서 인증서 요청에 사용할 계정에 인증서 등록 권한이 있는지 확인합니다.

  12. 확인을 선택하여 템플릿을 만든 다음 인증서 템플릿 콘솔을 닫습니다.

이 인증서 템플릿이 생성되면 CA 게시된 템플릿 저장소에 게시해야 합니다. 이렇게 하려면 다음 단계를 완료합니다.

  1. 인증 기관 MMC 스냅인에서 인증 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음, 그림 3과 같이 발급할 인증서 템플릿을 선택합니다.

    발급할 인증서 템플릿을 선택합니다.

    그림 3. 발급할 새 인증서 템플릿 선택

    만든 템플릿을 포함하여 발급할 수 있는 템플릿 목록이 나타납니다.

  2. App Control 카탈로그 서명 인증서를 선택한 다음 확인을 선택합니다.

이제 템플릿을 발급할 수 있으므로 카탈로그 파일을 만들고 서명하는 Windows 10 또는 Windows 11 실행하는 컴퓨터에서 템플릿을 요청해야 합니다. 먼저 MMC를 열고 다음 단계를 완료합니다.

  1. MMC의 파일 메뉴에서 스냅인 추가/제거를 선택합니다. 인증서를 두 번 클릭하고 내 사용자 계정을 선택합니다.

  2. 인증서 스냅인에서 개인 저장소 폴더를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 새 인증서 요청을 선택합니다.

  3. 다음을 두 번 선택하여 인증서 선택 목록으로 가져옵니다.

  4. 그림 4와 같이 인증서 요청 목록에서 새로 만든 코드 서명 인증서를 선택한 후 추가 정보를 요청하는 파란색 텍스트를 선택합니다.

    인증서 요청: 추가 정보가 필요합니다.

    그림 4. 코드 서명 인증서에 대한 추가 정보 가져오기

  5. 인증서 속성 대화 상자에서 유형에 대해 일반 이름을 선택합니다. 의 경우 인증서의 의미 있는 이름을 지정하고(이 예제에서는 $ContosoSigningCert 선택) 추가를 선택합니다. 추가되면 확인을 선택합니다 .

  6. 등록하고 완료합니다.

참고

인증서 관리자가 발급된 인증서를 승인해야 하고 템플릿에 대한 관리 승인이 필요하도록 선택한 경우 클라이언트에 발급되기 전에 CA에서 요청을 승인해야 합니다.

이 인증서는 카탈로그 파일 및 코드 무결성 정책에 서명할 컴퓨터의 사용자 개인 저장소에 설치해야 합니다. 인증서를 요청하는 데 사용한 것과 동일한 컴퓨터에서 서명이 발생하는 경우 다음 단계를 건너뛸 수 있습니다. 다른 컴퓨터에서 서명하는 경우 필요한 키와 속성을 사용하여 .pfx 인증서를 내보내야 합니다. 이렇게 하려면 다음 단계를 완료합니다.

  1. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 내보내기를 선택합니다.

  2. 다음을 선택한 다음, 예를 선택하고 프라이빗 키를 내보냅니다.

  3. 기본 설정을 선택한 다음 확장 속성 모두 내보내기를 선택합니다.

  4. 암호를 설정하고 내보내기 경로를 선택한 다음 파일 이름으로 AppControlCatSigningCert.pfx 를 선택합니다.

인증서를 내보낸 경우 서명할 특정 컴퓨터에서 카탈로그 파일 또는 코드 무결성 정책에 서명할 사용자의 개인 저장소로 가져옵니다.