macOS에서 프로파일 기반 인증서 갱신하기

macOS 최신 버전에는 구성 프로파일에서 생성된 인증서의 갱신을 지원하는 기능이 포함되어 있습니다.

macOS에서 구성 프로파일을 사용하여 인증서 등록을 갱신하는 방법은 다음 두 가지입니다.

  • SCEP(Simple Certificate Enrollment Protocol) - 흔히 Microsoft CA(인증 기관) NDES(네트워크 장치 등록 서비스)를 사용합니다.
  • DCOM/RPC(ADCertificate) - Microsoft Windows Server CA(인증 기관)를 사용합니다. 

인증서에 관하여

macOS에서는 동일한 프로파일을 사용하여 인증서를 생성하고 갱신할 수 있습니다. 인증서 만료일까지 15일이 남았을 때 사용자는 알림을 받게 됩니다. 알림을 받으면 시스템 환경설정의 프로파일 패널에 있는 인증서 프로파일에서 '업데이트'를 클릭합니다. 인증서가 만료될 때까지 15일 미만이 남은 경우에는 알림 센터에 배너가 표시됩니다. 이 알림은 인증서가 만료되거나 사용자가 조치를 취할 때까지 하루에 한 번씩 표시됩니다.

ADCertificate를 사용하여 갱신하기

시스템 환경설정의 프로파일 패널에서 '업데이트' 버튼을 클릭하여 새로운 개인 키를 생성합니다. 새로운 개인 키는 CA로 전송되는 인증서 요청에 서명하는 데 사용됩니다. CA로부터 받은 새로운 인증서는 새로운 개인 키와 쌍으로 연결됩니다.

프로파일을 설치했을 때 생성된 원래 인증서와 개인 키는 키체인에 유지됩니다.

SCEP를 사용하여 갱신하기

시스템 환경설정의 프로파일 패널에서 '업데이트' 버튼을 클릭합니다. 현재 개인 키는 CA로 전송되는 인증서 요청에 서명하는 데 사용됩니다. CA는 인증서를 갱신할 때 인증서를 원래 개인 키와 쌍으로 연결합니다.

프로파일을 설치했을 때 생성된 원래 인증서는 키체인에 유지됩니다.

명령어 라인을 통해 갱신하기

macOS 10.12 Sierra에서는 /usr/bin/profiles 명령을 사용하여 ADCertificate 및 SCEP 프로파일로 생성한 인증서를 갱신할 수 있습니다. 명령어 라인에서 다음 구문을 사용합니다.

profiles -W -p <profileIdentifier value>

-L 명령 인수로 설치된 프로파일을 나열하여 "profileIdentifier" 값을 찾을 수 있습니다.

갱신 알림 설정하기

Yosemite 및 이후 버전의 macOS에서는 인증서가 만료될 때까지 14일 미만이 남은 경우 매일 알림이 표시됩니다.

두 개의 구성 매개변수 CertificateRenewalTimeInterval과 CertificateRenewalTimePercent를 사용하여 일일 알림 시간을 변경할 수 있습니다.

매개변수  적용 방법 허용되는 값 값 유형
CertificateRenewalTimeInterval 프로파일 관리 구성 프로파일: ADCert 또는 SCEP 14일보다 크거나 인증서의 최대 수명보다 적은 값(일) 일(정수)
CertificateRenewalTimePercent /usr/sbin/defaults 1~50 백분율(정수)

다음과 같은 구문을 사용하여 CertificateRenewalTimePercent를 적용할 수 있습니다.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

다음과 같은 두 가지 설정을 함께 사용할 수 있습니다.

  • CertificateRenewalTimeInterval이 프로파일에 정의되어 있으면 CertificateRenewalTimeInterval 값을 사용합니다.
  • CertificateRenewalTimeInterval이 프로파일에 정의되어 있지 않고 클라이언트에 정의되어 있으면 CertificateRenewalTimePercent 값을 사용합니다.

아무 값도 정의되어 있지 않으면 시간 간격이 14일로 설정됩니다.

더 알아보기

ADCert 또는 SCEP 인증서를 생성하는 데 사용한 프로파일은 제거될 수도 있습니다. Mavericks 또는 이후 버전의 macOS를 사용하는 경우 최신 인증서와 개인 키는 키체인에서 제거되지만, 원래 인증서는 제거되지 않습니다. 원래 인증서는 사용자가 직접 삭제해야 합니다.

인증서를 얻는 데 사용한 프로파일에는 인증서에 연결된 다른 페이로드가 있을 수 있습니다. 네트워크 페이로드의 예로는 EAP-TLS, VPN 페이로드의 예로는 OnDemand 인증서 기반 인증이 있습니다. 인증서를 갱신할 때 기존 구성들이 새 인증서에 맞춰 업데이트됩니다.

인증서가 갱신되면 설치된 프로파일이 새 인증서와 연결됩니다. 인증서가 갱신될 때는 추가 프로파일이 설치되거나 생성되지 않습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: