iOS 및 macOS에서 802.1X 인증을 위한 인증서 신뢰 구성하기
네트워크 보안을 보호하기 위해 신뢰할 수 있는 인증서와 신뢰할 수 있는 서버 이름 속성을 구성하는 방법에 대해 알아봅니다.
802.1X 네트워크는 서버 측 인증서를 사용하여 클라이언트와 인증 서버 간의 보안 TLS 통신 채널을 구축할 수 있습니다. 클라이언트는 인증 절차를 계속 진행하기 전에 서버의 인증서를 신뢰할 수 있도록 합니다. 구성 프로파일에 인증서 신뢰 설정을 올바르게 구성하지 않는 경우, 사용자가 802.1X 보안 네트워크에 연결할 때 인증서 신뢰 대화상자가 표시됩니다.
이 대화상자에서 RADIUS 서버 인증서 체인 정보를 신뢰할 수 있는지 확인하라는 메시지가 표시됩니다. 사용자가 모르는 사이에 신뢰할 수 있는 네트워크인 것으로 위장한 '악성 네트워크'에 연결하려고 하는 경우, 악성 네트워크의 유효하지 않은 인증서 신뢰 대화상자를 클릭할 수 있습니다. 이러한 상황은 정보를 신뢰할 수 있는지 사용자가 확인하는 방법을 모르는 경우 발생할 수 있습니다. 사용자가 악성 네트워크에 유효한 자격 증명을 제공하는 경우 네트워크 보안이 침해될 수 있습니다. 시스템 모드 802.1X 구성 프로파일에 대해 인증서 신뢰를 구성하지 않는 경우, 사용자에게 서버 인증서 체인을 신뢰하는지 직접 묻는 메시지가 표시될 수 없기 때문에 인증에 실패합니다.
구성 프로파일에 신뢰할 수 있는 인증서 구성하기
클라이언트에서 인증하려고 할 때 RADIUS 서버가 제시하는 인증서 체인을 식별합니다. 이 인증서는 RADIUS 서버의 인증서일 수 있습니다. 또는 RADIUS 서버 인증서를 발급한 중간 인증서이거나 루트 인증서일 수도 있습니다.
식별한 인증서를 구성 프로파일의 인증서 페이로드에 추가합니다.
구성 프로파일의 네트워크 페이로드에 있는 신뢰 섹션에서 신뢰를 표시할 인증서를 찾습니다. 그런 다음 신뢰할 수 있는 인증서로 표시합니다.
예를 들어 단일 RADIUS 서버가 있는 환경인 경우, 이 RADIUS 서버 인증서 또는 RADIUS 서버 인증서를 발급한 인증서에 신뢰를 표시합니다. 서버의 인증서가 모두 동일한 루트 인증서나 중간 인증서에 의해 발급된 복수 RADIUS 서버가 있는 경우, 모든 RADIUS 서버를 신뢰할 수 있도록 이 루트 인증서 또는 중간 인증서에 신뢰를 표시합니다.
이러한 인증서 신뢰 설정은 macOS 802.1X 시스템 모드 및 로그인 윈도우 모드에서도 사용할 수 있습니다.
구성 프로파일에 신뢰할 수 있는 서버 이름 구성하기
사용자에게 RADIUS 서버 인증서를 신뢰하는지 묻는 메시지가 표시되지 않도록 신뢰할 수 있는 서버 이름을 구성할 수도 있습니다. RADIUS 서버 인증서의 일반 이름과 일치하는 대소문자 구분 값을 사용하십시오. 이 값에는 동일한 도메인 내에서 여러 개의 RADIUS 서버를 식별하기 위해 와일드카드 문자가 포함될 수도 있습니다. 자세한 내용은 Apple 개발자 구성 프로파일 참조서의 EAPClientConfiguration 사전을 참조하십시오.
