Microsoft 인증 기관에서 인증서를 요청하는 경우

DCE/RPC와 Active Directory 인증서 프로파일 페이로드를 사용하여 인증서를 요청하는 방법에 대해 알아봅니다.

OS X Mountain Lion 및 이후 버전에서는 DCE/RPC 프로토콜을 사용할 수 있습니다. DCE/RPC를 사용하면 웹 기반 CA(인증 기관)가 필요하지 않습니다. 또한 DCE/RPC는 인증서를 생성하는 템플릿을 선택할 때 더 많은 유연성을 제공합니다.

OS X Mountain Lion 및 이후 버전에서는 프로파일 관리 웹 UI에서 AD(Active Directory) 인증서 프로파일을 지원합니다. 컴퓨터 또는 사용자 AD 인증서 프로파일을 자동으로 또는 수동 다운로드를 통해 클라이언트 기기에 배포할 수 있습니다.

macOS에서 프로파일 기반 인증서를 갱신하는 방법에 대해 자세히 알아보십시오.

네트워크 및 시스템 요구 사항

  • 유효한 AD 도메인
  • 유효한 Microsoft AD 인증서 서비스 CA
  • AD에 바인딩된 OS X Mountain Lion 및 이후 버전 클라이언트 시스템

프로파일 배포

OS X Mountain Lion 및 이후 버전에서는 구성 프로파일을 지원합니다. 프로파일을 사용하여 여러 시스템 및 계정 설정을 정의할 수 있습니다.

여러 가지 방법으로 프로파일을 macOS 클라이언트에 전송할 수 있습니다. 기본적으로 macOS Server 프로파일 관리를 통해 전송합니다. OS X Mountain Lion 및 이후 버전에서는 몇 가지 다른 방법을 사용할 수 있습니다. Finder에서.mobileconfig 파일을 이중 클릭하거나 타사 MDM(모바일 장비 관리) 서버를 사용할 수 있습니다.

페이로드 세부 사항

AD 인증서 페이로드를 정의할 수 있는 프로파일 관리 인터페이스에는 아래와 같은 필드가 포함되어 있습니다.

  • 설명: 프로파일 페이로드에 대한 간략한 설명을 입력합니다.
  • 인증서 서버: CA의 정규화된 호스트 이름을 입력합니다. 호스트 이름 앞에 'http://'를 입력하지 않습니다.
  • 인증서 기관: CA의 약칭을 입력합니다. AD 항목의 CN에서 이 값을 확인할 수 있습니다. CN=<CA 이름>, CN=인증 기관, CN=공개 키 서비스, CN=서비스, CN=구성, <기본 DN>
  • 인증서 템플릿: 사용자 환경에서 원하는 인증서 템플릿을 입력합니다. 사용자 인증서 기본값은 User입니다. 컴퓨터 인증서 기본값은 Machine입니다.
  • 인증서 만료 알림 시작점: 인증서가 만료되기 며칠 전에 macOS에서 만료 알림을 표시할 것인지 정의하는 정수 값입니다. 값은 일 단위로 14일보다 크고 인증서의 최대 수명보다 작아야 합니다.
  • RSA 키 크기: CSR(인증서 서명 요청)에 서명할 때 사용하는 개인 키 크기에 대한 정수 값입니다. 가능한 값에는 1024, 2048, 4096 등이 있습니다. 선택한 템플릿은 CA에 정의되며, 키 크기 값을 정의하여 사용하는 데 도움이 됩니다.
  • 자격 증명에 대해 통보: 컴퓨터 인증서의 경우 이 옵션을 무시하십시오. 사용자 인증서의 경우 프로파일 전송에 대해 수동 다운로드를 선택하는 경우에만 이 설정이 적용됩니다. 프로파일을 설치할 때 사용자에게 자격 증명을 입력하라는 메시지가 표시됩니다.
  • 사용자 이름: 컴퓨터 인증서의 경우 이 필드를 무시하십시오. 사용자 인증서의 경우 이 필드를 입력하는 것은 선택 사항입니다. 요청된 인증서의 기준으로 AD 사용자 이름을 입력할 수 있습니다.
  • 암호: 컴퓨터 인증서의 경우 이 필드를 무시하십시오. 사용자 인증서의 경우, AD 사용자 이름을 입력했다면 이 사용자 이름과 연결된 암호를 입력합니다.

컴퓨터 인증서 요청하기

macOS Server를 프로파일 관리 서비스와 함께 사용하고 있으며 이 서비스가 기기 관리에 대해 활성화되었고 AD에 바인딩되어 있는지 확인합니다.

지원되는 AD 인증서 프로파일 조합 사용하기

  • OS X Mountain Lion 및 이후 버전 클라이언트에 자동으로 전송되는 컴퓨터/시스템 인증서만 해당
  • EAP-TLS 802.1x 인증을 위한 네트워크 프로파일에 통합된 인증서
  • 컴퓨터 기반 인증서 인증을 위한 VPN 프로파일에 통합된 인증서
  • 네트워크/EAP-TLS와 VPN 프로파일에 모두 통합된 인증서

프로파일 관리 페이로드 배포하기

  1. OS X Mountain Lion 및 이후 버전 클라이언트를 AD에 바인딩합니다. 프로파일, 클라이언트 GUI 또는 클라이언트 CLI를 사용하여 클라이언트를 바인딩할 수 있습니다.
  2. 클라이언트에 발급 CA 또는 다른 CA 인증서를 설치하여 클라이언트가 완전한 신뢰 체인을 보유하도록 합니다. 프로파일을 사용하여 인증서를 설치할 수도 있습니다.
  3. 기기 또는 기기 그룹 프로파일에 대해 AD 인증서 프로파일을 전송할 때 자동 푸시와 수동 다운로드 중 어떤 방법을 사용할지 선택합니다.

  4. 자동 푸시를 선택하는 경우 macOS Server 프로파일 관리의 기기 관리 기능을 사용하여 클라이언트를 등록할 수 있습니다.
  5. 등록된 기기 또는 기기 그룹에 대한 AD 인증서 페이로드를 정의합니다. 페이로드 필드에 대한 설명은 위의 '페이로드 세부 사항' 섹션을 참조하십시오.

  6. 동일한 기기 또는 기기 그룹 프로파일에 대해 유선 또는 무선 TLS의 네트워크 페이로드를 정의할 수 있습니다. 구성된 AD 인증서 페이로드를 자격 증명으로 선택합니다. Wi-Fi 또는 이더넷에 대해 페이로드를 정의할 수 있습니다.

  7. 기기 또는 기기 그룹을 통해 IPSec(Cisco) VPN 프로파일을 정의합니다. 구성된 AD 인증서 페이로드를 자격 증명으로 선택합니다.


    • 인증서 기반 컴퓨터 인증은 IPSec VPN 터널에만 지원됩니다. 다른 VPN 유형은 다른 인증 방법이 필요합니다.
    • 계정 이름 필드에 위치 지정자 문자열을 입력할 수 있습니다.
  8. 프로파일을 저장합니다. 자동 푸시를 사용하는 경우 프로파일이 네트워크를 통해 등록된 컴퓨터에 배포됩니다. AD 인증서는 컴퓨터의 AD 자격 증명을 사용하여 CSR를 입력합니다.
  9. 수동 다운로드를 사용하는 경우 클라이언트에서 프로파일 관리 사용자 포털에 연결합니다.
  10. 사용 가능한 기기 또는 기기 그룹 프로파일을 설치합니다.
  11. 이제 새로운 개인 키 및 인증서가 클라이언트의 시스템 키체인에 있는지 확인합니다.

인증서, 디렉토리, AD 인증서, 네트워크(TLS) 및 VPN 페이로드가 결합된 기기 프로파일을 배포할 수 있습니다. 클라이언트는 페이로드를 적절한 순서로 처리하여 각 페이로드 작업을 성공적으로 마무리합니다.

사용자 인증서 요청하기

macOS Server를 프로파일 관리 서비스와 함께 사용하고 있으며 이 서비스가 기기 관리에 대해 활성화되었고 AD에 바인딩되어 있는지 확인합니다.

지원되는 AD 인증서 프로파일 조합 사용하기

  • OS X Mountain Lion 및 이후 버전의 클라이언트에 자동으로 전송되는 사용자 인증서만 해당
  • EAP-TLS 802.1x 인증을 위한 네트워크 프로파일에 통합된 인증서

프로파일 관리 페이로드 배포하기

  1. 클라이언트를 AD에 바인딩합니다. 프로파일, 클라이언트 GUI 또는 클라이언트 CLI를 사용하여 클라이언트를 바인딩할 수 있습니다.
  2. 사용자 환경의 정책에 따라 클라이언트에 대한 AD 모바일 계정 생성을 켭니다. 프로파일(모바일), 클라이언트 GUI 또는 다음과 같은 클라이언트 명령어 라인을 사용하여 이 기능을 활성화할 수 있습니다.
    sudo dsconfigad -mobile enable
    
  3. 클라이언트에 발급 CA 또는 다른 CA 인증서를 설치하여 클라이언트가 완전한 신뢰 체인을 보유하도록 합니다. 프로파일을 사용하여 인증서를 설치할 수도 있습니다.
  4. AD 사용자 또는 사용자 그룹 프로파일에 대해 AD 인증서 프로파일을 전송할 때 자동 푸시와 수동 다운로드 중 어떤 방법을 사용할지 선택합니다. 사용자 또는 그룹에 프로파일 관리 서비스에 대한 접근 권한을 부여해야 합니다.


  5. 자동 푸시를 선택하는 경우 macOS Server 프로파일 관리의 기기 관리 기능을 사용하여 클라이언트를 등록할 수 있습니다. 클라이언트 컴퓨터를 위에서 언급한 AD 사용자와 연결합니다.
  6. 동일한 AD 사용자 또는 그룹 프로파일에 대해 AD 인증서 페이로드를 정의합니다. 페이로드 필드에 대한 설명은 페이로드 세부 사항을 참조하십시오.

  7. 동일한 AD 사용자 또는 그룹 프로파일에 대해 유선 또는 무선 TLS의 네트워크 페이로드를 정의할 수 있습니다. 구성된 AD 인증서 페이로드를 자격 증명으로 선택합니다. Wi-Fi 또는 이더넷에 대해 페이로드를 정의할 수 있습니다.


  8. 프로파일 관리 서비스에 대한 접근 권한이 있는 AD 사용자 계정을 사용하여 클라이언트에 로그인합니다. 자동 푸시를 사용하는 경우, 로그인하면 필요한 Kerberos TGT(티켓 발급 티켓)가 제공됩니다. TGT는 요청된 사용자 인증서에 대한 ID 템플릿으로 제공됩니다.
  9. 수동 다운로드를 사용하는 경우 프로파일 관리 사용자 포털에 연결합니다.
  10. 사용 가능한 사용자 또는 그룹 프로파일을 설치합니다.
  11. 메시지가 표시되는 경우 사용자 이름 및 암호를 입력합니다.
  12. 키체인 접근을 실행합니다. 로그인 키체인에 Microsoft CA에서 발행한 개인 키와 사용자 인증서가 포함되어 있는지 확인합니다.

인증서, AD 인증서 및 네트워크(TLS)가 결합된 사용자 프로파일을 배포할 수 있습니다. OS X Mountain Lion 및 이후 버전의 클라이언트는 페이로드를 적절한 순서로 처리하여 각 페이로드 작업을 성공적으로 마무리합니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: