macOS에서 프로파일 기반 인증서 갱신하기

macOS 최신 버전에는 구성 프로파일에서 생성된 인증서의 갱신을 지원하는 기능이 포함되어 있습니다.

macOS에서 구성 프로파일을 사용하여 인증서 등록을 갱신하는 방법은 다음 두 가지입니다.

  • SCEP(Simple Certificate Enrollment Protocol) - 흔히 Microsoft CA(인증 기관) NDES(네트워크 장치 등록 서비스)를 사용합니다.
  • DCOM/RPC(ADCertificate) - Microsoft Windows Server CA(인증 기관)를 사용합니다. 

인증서에 관하여

macOS에서는 동일한 프로파일을 사용하여 인증서를 생성하고 갱신할 수 있습니다. 다음의 경우 macOS에 인증서 만료일이 다가온다는 경고가 나타납니다.

  • 인증서 만료일까지 15일이 남았을 때 사용자는 알림을 받게 됩니다. 
  • 인증서 만료일까지 15일 미만이 남았을 때 알림 센터에 배너가 표시됩니다. 이 알림은 인증서가 만료되거나 사용자가 인증서를 업데이트 또는 제거할 때까지 하루에 한 번씩 표시됩니다.

인증서를 업데이트하려면 시스템 환경설정의 프로파일 탭에서 인증서 프로파일을 클릭한 다음 '업데이트'를 클릭합니다. 

ADCertificate를 사용하여 갱신하기

시스템 환경설정의 프로파일 패널에서 '업데이트' 버튼을 클릭하여 새로운 개인 키를 생성합니다. 새로운 개인 키는 CA로 전송되는 인증서 요청에 서명하는 데 사용됩니다. CA로부터 받은 새로운 인증서는 새로운 개인 키와 쌍으로 연결됩니다.

프로파일을 설치했을 때 생성된 원래 인증서와 개인 키는 키체인에 유지됩니다.

구성 프로파일을 통해 전달된 인증서를 자동으로 갱신하는 방법에 대해 알아봅니다.

SCEP를 사용하여 갱신하기

시스템 환경설정의 프로파일 패널에서 '업데이트' 버튼을 클릭합니다. 현재 개인 키는 CA로 전송되는 인증서 요청에 서명하는 데 사용됩니다. CA는 인증서를 갱신할 때 인증서를 원래 개인 키와 쌍으로 연결합니다.

프로파일을 설치했을 때 생성된 원래 인증서는 키체인에 유지됩니다.

명령어 라인을 통해 갱신하기

macOS 10.12 Sierra 및 이후 버전에서는 /usr/bin/profiles 명령을 사용하여 ADCertificate 및 SCEP 프로파일로 생성한 인증서를 갱신할 수 있습니다. 명령어 라인에서 다음 구문을 사용합니다.

profiles -W -p <profileIdentifier value>

-L 명령 인수로 설치된 프로파일을 나열하여 "profileIdentifier" 값을 찾을 수 있습니다.

갱신 알림 설정하기

Yosemite 및 이후 버전의 macOS에서는  인증서가 만료될 때까지 14일 미만이 남은 경우 매일 알림이 표시됩니다.

두 개의 구성 매개변수 CertificateRenewalTimeInterval과 CertificateRenewalTimePercent를 사용하여 일일 알림 시간을 변경할 수 있습니다.

매개변수  적용 방법 허용되는 값 값 유형
CertificateRenewalTimeInterval 프로파일 관리 구성 프로파일: ADCert 또는 SCEP 14일보다 크거나 인증서의 최대 수명보다 적은 값(일) 일(정수)
CertificateRenewalTimePercent /usr/sbin/defaults 1~50 백분율(정수)

다음과 같은 구문을 사용하여 CertificateRenewalTimePercent를 적용할 수 있습니다.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

다음과 같은 두 가지 설정을 함께 사용할 수 있습니다.

  • CertificateRenewalTimeInterval이 프로파일에 정의되어 있으면 CertificateRenewalTimeInterval 값을 사용합니다.
  • CertificateRenewalTimeInterval이 프로파일에 정의되어 있지 않고 클라이언트에 정의되어 있으면 CertificateRenewalTimePercent 값을 사용합니다.

아무 값도 정의되어 있지 않으면 시간 간격이 14일로 설정됩니다.

더 알아보기

ADCert 또는 SCEP 인증서를 생성하는 데 사용한 프로파일은 제거될 수도 있습니다. Mavericks 또는 이후 버전의 macOS를 사용하는 경우 최신 인증서와 개인 키는 키체인에서 제거되지만, 원래 인증서는 제거되지 않습니다. 원래 인증서는 사용자가 직접 삭제해야 합니다.

인증서를 얻는 데 사용한 프로파일에는 인증서에 연결된 다른 페이로드가 있을 수 있습니다. 네트워크 페이로드의 예로는 EAP-TLS, VPN 페이로드의 예로는 OnDemand 인증서 기반 인증이 있습니다. 인증서를 갱신할 때 기존 구성들이 새 인증서에 맞춰 업데이트됩니다.

인증서가 갱신되면 설치된 프로파일이 새 인증서와 연결됩니다. 인증서가 갱신될 때는 추가 프로파일이 설치되거나 생성되지 않습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: