Apple 기기에 대한 인증서 관리 개요
Apple 기기는 디지털 인증서 및 신원을 지원하여 조직에서 기업 서비스에 간소화된 접근이 가능하게 합니다. 이러한 인증서는 다양한 방법으로 사용될 수 있습니다. 예를 들어, Safari 브라우저에서는 X.509 디지털 인증서의 유효성을 확인하고 최대 256비트 AES 암호화로 안전 세션을 구축할 수 있습니다. 여기에는 개인 또는 기밀 정보를 가로채지 못하도록 사이트의 신원이 적법한지와 웹사이트와의 통신이 보호되어 있는지를 확인하는 과정이 포함되어 있습니다. 또한, 인증서는 작성자 또는 ‘서명자’의 신원을 보장하는 데 사용할 수 있으며 메일, 구성 프로필 및 네트워크 통신을 암호화하는 데도 사용할 수 있습니다.
Apple 기기에서 인증서 사용하기
Apple 기기에는 다양한 CA(인증 기관)의 사전 설치된 루트 인증서가 여러 개 포함되어 있고 iOS, iPadOS, macOS 또는 visionOS에서 이 루트 인증서의 신뢰성을 확인합니다. 이러한 디지털 인증서는 클라이언트 또는 서버를 안전하게 식별하는 데 사용되거나 공개 및 개인 키 쌍을 사용하여 클라이언트와 서버 간 통신을 암호화하는 데 사용됩니다. 인증서에는 공개 키, 클라이언트 또는 서버에 대한 정보와 CA의 서명(확인)이 포함되어 있습니다.
iOS, iPadOS, macOS 또는 visionOS에서 서명하는 CA의 신뢰 체인을 확인할 수 없는 경우 서비스에 에러가 발생합니다. 자체 서명된 인증서는 사용자 상호 작용 없이는 확인될 수 없습니다. 자세한 정보는 Apple 지원 문서 iOS 17, iPadOS 17, macOS 14, tvOS 17 및 watchOS 10에서 제공되는 신뢰할 수 있는 루트 인증서 목록을 참조하십시오.
iPhone, iPad 및 Mac 기기는 사전 설치된 루트 인증서가 침해된 경우 인증서를 무선으로(Mac의 경우 이더넷으로) 업데이트할 수 있습니다. 무선 또는 유선 네트워크를 통한 인증서 업데이트를 차단하는 MDM(모바일 기기 관리) 제한 사항인 ‘인증서 신뢰 설정에 자동 업데이트 허용’을 통해 이 기능을 비활성화할 수 있습니다.
지원되는 신원 유형
인증서 및 관련 개인 키는 신원이라고도 합니다. 인증서는 자유롭게 배포할 수 있지만 신원은 보안을 유지해야 합니다. 자유롭게 배포한 인증서, 특히 공개 키는 일치하는 개인 키로만 암호 해제할 수 있는 암호화에 사용됩니다. 신원의 개인 키 부분은 PKCS #12 신원 인증서(.p12) 파일로 저장되며 패스프레이즈로 보호되는 다른 키로 암호화됩니다. 신원은 인증(예: 802.1X EAP-TLS), 서명 또는 암호화(예: S/MIME)에 사용할 수 있습니다.
Apple 기기에서 지원하는 인증서 및 신원 포맷은 다음과 같습니다.
인증서: .cer, .crt, .der, RSA 키를 포함한 X.509 인증서
신원: .pfx, .p12
인증서 신뢰
CA에서 인증서를 발급했지만 CA의 루트가 신뢰할 수 있는 루트 인증서 목록에 포함되어 있지 않는 경우 iOS, iPadOS, macOS 또는 visionOS에서 인증서를 신뢰하지 않습니다. 이는 기업에서 발급하는 CA에 자주 발생하는 문제입니다. 신뢰를 구축하려면 인증서 배포에서 설명한 방식을 사용해야 합니다. 이를 통해 배포 중인 인증서에 신뢰할 수 있는 앵커를 설정합니다. 다중계층 공개 키 인프라의 경우 루트 인증서 뿐만 아니라 체인 내의 모든 중간에 대한 신뢰를 구축할 필요가 있을 수 있습니다. 주로 기업의 신뢰는 기기의 다른 서비스에 영향을 미치지 않고도 필요에 따라 MDM 솔루션을 통해 업데이트할 수 있는 단일 구성 프로필로 구성되어 있습니다.
iPhone, iPad 및 Apple Vision Pro의 루트 인증서
프로필을 통해 감독 해제된 iPhone, iPad 및 Apple Vision Pro에 수동으로 설치된 루트 인증서는 다음과 같은 경고를 표시합니다. “‘인증서 이름’ 인증서를 설치하면 사용자의 iPhone 또는 iPad에 있는 신뢰하는 인증서 목록에 추가됩니다. 이 인증서는 ‘인증서 신뢰 설정’에서 활성화하기 전에는 웹사이트용으로 신뢰되지 않습니다.”
그런 다음 사용자는 설정 > 일반 > 정보 > 인증서 신뢰 설정에서 인증서를 신뢰할 수 있습니다.
참고: MDM 솔루션 또는 감독 중인 기기에서 설치한 루트 인증서는 신뢰 설정을 변경하는 옵션을 비활성화합니다.
Mac의 루트 인증서
구성 프로필을 통해 설치된 인증서의 경우, 설치를 완료하기 위해 추가 동작이 있어야 합니다. 프로필이 추가된 후에 사용자는 설정 > 일반 > 프로필로 이동하고 다운로드됨 아래에서 프로필을 선택할 수 있습니다.
그 다음 사용자는 설치를 클릭하여 세부사항을 검토하고 취소하거나 진행할 수 있습니다. 사용자는 로컬 관리자 이름과 암호를 제공해야할 수 있습니다.
참고: macOS 13 이상의 경우, 구성 프로필을 사용하여 수동으로 설치된 루트 인증서는 기본적으로 TLS에 대해 신뢰된다고 표시되지 않습니다. 필요한 경우, 키체인 접근 앱은 TLS 신뢰를 활성화하는 데 사용할 수 있습니다. MDM 솔루션 또는 감독 중인 기기에서 설치한 루트 인증서는 신뢰 설정을 변경하는 옵션을 비활성화하며 TLS에서 신뢰하며 사용할 수 있습니다.
Mac의 중간 인증서
중간 인증서는 인증 기관의 루트 인증서에 의해 발급 및 서명되며 키체인 접근 앱을 사용하여 Mac에서 관리할 수 있습니다. 이러한 중간 인증서는 대부분의 루트 인증서보다 더 짧은 만료일을 갖고 있으며 브라우저가 중간 인증서와 연관된 웹사이트를 신뢰하도록 조직에서 사용합니다. 사용자는 키체인 접근 앱에서 시스템 키체인을 보고 만료된 중간 인증서를 찾을 수 있습니다.
Mac의 S/MIME 인증서
사용자가 자신의 키체인에서 S/MIME 인증서를 삭제하는 경우, 해당 인증서를 사용하여 암호화된 이전 이메일을 더 이상 읽지 못하게 됩니다.