Apple 기기에 인증서 배포하기
iPhone, iPad 및 Apple Vision Pro 기기에 인증서를 수동으로 배포할 수 있습니다. 사용자가 인증서를 받으면 탭하여 콘텐츠를 검토한 다음 탭하여 인증서를 기기에 추가합니다. 신원 인증서가 설치되면 사용자는 해당 인증서를 보호할 암호를 입력하도록 요청받습니다. 인증서의 신뢰성을 확인할 수 없는 경우 인증서는 신뢰할 수 없다고 나타나며 사용자는 해당 인증서를 기기에 추가할 것인지를 선택할 수 있습니다.
Mac 컴퓨터에 인증서를 수동으로 배포할 수도 있습니다. 사용자가 인증서를 받으면 두 번 클릭하여 키체인 접근을 열고 콘텐츠를 검토합니다. 인증서가 기대와 일치한다면 사용자는 원하는 키체인을 선택하고 추가 버튼을 클릭합니다. 사용자 인증서는 대부분 로그인 키체인에 설치해야 합니다. 신원 인증서가 설치되면 사용자는 해당 인증서를 보호할 암호를 입력하도록 요청받습니다. 인증서의 신뢰성을 확인할 수 없는 경우 인증서는 신뢰할 수 없다고 나타나며 사용자는 해당 인증서를 Mac에 추가할 것인지를 선택할 수 있습니다.
일부 인증서 신원은 Mac 컴퓨터에서 자동으로 갱신될 수 있습니다.
MDM 페이로드를 사용한 인증서 배포 방법
다음 표는 구성 프로필을 사용하여 인증서를 배포하는 여러 페이로드를 표시합니다. 여기에는 Active Directory 인증서 페이로드, 인증서 페이로드(PKCS #12 신원 인증서용), 자동 인증서 관리 환경(ACME) 페이로드 및 SCEP(Simple Certificate Enrollment Protocol) 페이로드가 포함됩니다.
페이로드 | 지원되는 운영 체제 및 채널 | 설명 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory 인증서 페이로드 | macOS 기기 macOS 사용자 | Active Directory 인증서 페이로드를 구성하면 macOS는 원격 프로시저 호출을 통해 인증서 서명 요청을 Active Directory 인증서 서비스 서버를 발급하는 CA에 직접 보냅니다. 사용자는 Active Directory에 있는 Mac 컴퓨터의 객체에 대한 자격 증명을 사용하여 시스템 신원을 등록할 수 있습니다. 사용자는 개인 신원을 권한 설정하는 등록 절차로써 자신의 자격 증명을 제공할 수 있습니다. 이 페이로드를 사용하면 관리자는 개인 키 사용 및 등록용 인증서 템플릿을 추가적으로 통제할 수 있습니다. SCEP와 마찬가지로 개인 키는 기기에 유지됩니다. | |||||||||
ACME 페이로드 | iOS iPadOS 공유 iPad 기기 macOS 기기 macOS 사용자 tvOS watchOS 10 visionOS 1.1 | 기기는 CA로부터 MDM 솔루션에 등록된 Apple 기기에 대한 인증서를 얻습니다. 이 기술 덕분에 개인 키는 기기에만 유지되고, 선택적으로 기기에 하드웨어 바운드될 수 있습니다. | |||||||||
인증서 페이로드(PKCS #12 신원 인증서용) | iOS iPadOS 공유 iPad 기기 macOS 기기 macOS 사용자 tvOS watchOS 10 visionOS 1.1 | 신원이 사용자 또는 기기를 대신하여 기기에서 권한 설정되는 경우 PKCS #12 파일(.p12 또는 .pfx)에 결합되고 암호로 보호될 수 있습니다. 페이로드에서 암호를 포함하는 경우 사용자에게 묻지 않고 신원이 설치될 수 있습니다. | |||||||||
SCEP 페이로드 | iOS iPadOS 공유 iPad 기기 macOS 기기 macOS 사용자 tvOS watchOS 10 visionOS 1.1 | 기기는 인증서 서명 요청을 등록 서버로 직접 보냅니다. 이 기술 덕분에 개인 키는 기기에만 유지될 수 있습니다. | |||||||||
서비스를 특정 신원과 연관하려면 ACME, SCEP 또는 인증서 페이로드를 구성한 다음 원하는 서비스를 동일한 구성 프로필에 구성합니다. 예를 들어, SCEP 페이로드는 신원을 기기에 권한 설정하도록 동일한 구성 프로필에 구성할 수 있으며 Wi-Fi 페이로드는 SCEP 인증 등록의 결과인 기기 인증서를 사용하여 기업용 WPA2/EAP-TLS에 대해 구성할 수 있습니다.
서비스를 macOS의 특정 신원과 연관하려면 Active Directory 인증서, ACME, SCEP 또는 인증서 페이로드를 구성한 다음 원하는 서비스를 동일한 구성 프로필에 구성합니다. 예를 들어, Active Directory 인증서 페이로드는 신원을 기기에 권한 설정하도록 동일한 구성 프로필에 구성할 수 있으며 Wi-Fi 페이로드는 Active Directory 인증서 인증 등록의 결과인 기기 인증서를 사용하여 기업용 WPA2 EAP-TLS에 대해 구성할 수 있습니다.
구성 프로필을 사용하여 설치된 인증서 갱신하기
서비스 접근이 지속되도록 하려면 MDM 솔루션을 사용하여 배포한 인증서가 만료되기 전에 이를 갱신해야 합니다. 이를 위해 MDM 솔루션은 설치된 인증서를 쿼리하고 만료일을 검사하고 새로운 프로필 또는 구성을 미리 발급할 수 있습니다.
Active Directory 인증서의 경우, 인증서 신원이 기기 프로필의 일부로 배포될 때 macOS 13 이상에서 기본 동작은 자동 갱신입니다. 관리자는 시스템 환경설정을 설정하여 이 동작을 수정할 수 있습니다. 자세한 정보는 Apple 지원 문서 구성 프로필을 통해 전송된 인증서를 자동으로 갱신하기를 참조하십시오.
Mail 또는 Safari를 통해 인증서 설치하기
사용자는 인증서를 메일 메시지의 첨부 파일로 전송하거나 보안 웹사이트에서 인증서를 호스트하여 다른 사용자가 Apple 기기에 인증서를 다운로드하도록 할 수 있습니다.
인증서 제거 및 취소하기
MDM 솔루션은 기기에 저장된 모든 인증서를 확인하거나 기기에서 설치한 모든 인증서를 삭제할 수 있습니다.
또한 인증서 상태를 확인하기 위해 OCSP(온라인 인증서 상태 프로토콜)를 지원합니다. OCSP가 활성화된 인증서가 사용되면 iOS, iPadOS, macOS 및 visionOS가 주기적으로 인증서를 확인하여 취소되지 않았는지 확인합니다.
구성 프로필을 사용하여 인증서를 취소하려면 인증서 취소 MDM 페이로드 설정을 참조하십시오.
iOS, iPadOS, visionOS 1.1 이상에서 설치된 인증서를 수동으로 제거하려면 설정 > 일반 > 기기 관리로 이동하고 프로필을 선택한 다음 기타 세부사항을 탭하고 제거하려는 인증서를 탭합니다. 계정 또는 네트워크에 접근하는 데 필요한 인증서를 삭제하면 iPhone, iPad 또는 Apple Vision Pro에서 더 이상 해당 서비스에 연결할 수 없습니다.
macOS에서 설치된 인증서를 수동으로 제거하려면 키체인 접근 앱을 실행한 다음 해당 인증서를 검색합니다. 제거하려는 인증서를 선택한 다음 키체인에서 삭제합니다. 계정 또는 네트워크에 접근하는 데 필요한 인증서를 삭제하면 Mac에서 더 이상 해당 서비스에 연결할 수 없습니다.