휴대기기: 이 기능이 지원되는 버전: Frontline Standard, Enterprise Standard 및 Enterprise Plus, Education Standard, Education Plus, Endpoint Education Upgrade, Cloud ID Premium 사용 중인 버전 비교하기
Chrome OS 기기: 기기 기반 인증서에는 Chrome Enterprise가 필요합니다.
온프레미스 인증 기관(CA)에서 발급된 인증서를 배포하여 휴대기기 및 Chrome OS 기기에서 조직의 Wi-Fi 네트워크, 내부 앱, 내부 웹사이트에 대한 사용자 액세스를 제어할 수 있습니다. Google Cloud Certificate Connector는 SCEP(단순 인증서 등록 프로토콜) 서버에서 사용자의 휴대기기 및 Chrome OS 기기 인증서와 인증 키를 안전하게 배포하는 Windows 서비스입니다. 자세히 알아보기
Chrome OS 기기의 경우 사용자 기반 또는 기기 기반 인증서를 설정할 수 있습니다. 사용자 인증서는 특정 사용자의 기기에 추가되며 해당 사용자가 액세스할 수 있습니다. 기기 인증서는 기기에 따라 할당되며 기기에 로그인한 모든 사용자가 액세스할 수 있습니다. 자세한 내용은 Chrome 기기에서 클라이언트 인증서 관리하기를 참고하세요.
휴대기기 및 Chrome OS 기기 모두에서 Wi-Fi 네트워크 액세스를 제어하려면 별도의 SCEP 프로필 및 Wi-Fi 네트워크를 설정해야 합니다. 휴대기기 및 Chrome OS 기기에서 서로 다른 RSA 키 유형을 지원하기 때문입니다.
키 스토리지에 대한 참고사항
- 휴대기기의 경우 인증서의 비공개 키는 Google 서버에서 생성됩니다. 이 키는 기기에 인증서가 설치된 시점 또는 24시간이 지난 시점 중 먼저 도래하는 시점에 Google 서버에서 삭제됩니다.
- Chrome OS 기기의 경우 인증서의 비공개 키는 Chrome 기기에서 생성됩니다. 해당 공개 키는 Google 서버에 일시적으로 저장되며 인증서가 설치된 후 삭제됩니다.
시스템 요구사항
- 조직에서 SCEP 서버용 Microsoft Active Directory 인증서 서비스와 Microsoft NDES(네트워크 기기 등록 서비스)를 사용하여 인증서를 배포합니다.
- 휴대기기: 고급 모바일 관리 대상인 iOS 및 Android 기기. 기기 요구사항에 대해 자세히 알아보기
- Chrome OS 기기:
- 기기 인증서: Chrome OS 버전 89 이상 및 Chrome Enterprise로 관리되는 기기
- 사용자 인증서: Chrome OS 버전 86 이상의 기기. 참고: 87 이전 버전의 경우 사용자는 기기를 다시 시작하거나 사용자 인증서가 배포될 때까지 몇 시간 정도 기다려야 합니다.
시작하기 전에
- Active Directory 사용자 이름을 사용하기 위해 인증서에 있는 주체 이름이 필요한 경우 Google Cloud 디렉터리 동기화(GCDS)를 사용하여 Active Directory와 Google 디렉터리를 동기화해야 합니다. 필요한 경우 GCDS를 설정합니다.
- Google 관리 콘솔에서 CA 인증서를 아직 업로드하지 않았을 경우 인증서를 추가합니다.
- 예기치 않은 동작을 방지하기 위해 알려진 문제를 검토합니다.
알려진 문제
- 기기에 인증서가 설치된 후에는 인증서 취소가 불가능합니다.
- SCEP 프로필에서는 동적 보안 질문을 지원하지 않습니다.
- 경우에 따라 조직 단위 간의 SCEP 프로필 상속이 중단될 수 있습니다. 예를 들어 조직 단위에 SCEP 프로필을 설정하고 하위 조직 단위의 SCEP 프로필을 변경하면 상위 조직 단위의 SCEP 프로필 중 어느 것도 하위 조직 단위에 다시 상속될 수 없습니다.
- 휴대기기의 경우 SCEP 프로필은 Wi-Fi에만 적용할 수 있으며 VPN 또는 이더넷 구성에는 적용할 수 없습니다.
- Chrome OS 기기의 경우 SCEP 프로필은 VPN 또는 이더넷 구성에 직접 적용할 수 없습니다. VPN 또는 이더넷 구성에 SCEP 프로필을 간접적으로 적용하려면 발행자 패턴 또는 대상 패턴을 이용하여 사용할 인증서를 자동으로 선택합니다.
- Chrome OS 기기 사용자의 경우 관리 기기에 로그인한 사용자에 대해서만 인증서를 배포할 수 있으며, 사용자와 기기가 같은 도메인에 속해야 합니다.
1단계: Google Cloud Certificate Connector 다운로드하기
SCEP 서버에서 서비스로 로그인할 수 있는 계정을 사용하여 SCEP 서버 또는 Windows 컴퓨터에서 다음 단계를 수행하세요. 사용할 계정 사용자 인증 정보를 미리 확보해 두세요.
조직에 서버가 여러 대 있는 경우 모든 서버에서 동일한 인증서 커넥터 에이전트를 사용할 수 있습니다. 다음 단계에 설명된 대로 설치 파일, 구성 파일, 키 파일을 한 대의 컴퓨터에 다운로드하여 설치합니다. 그런 다음 이 세 파일을 다른 컴퓨터에 복사하고 해당 컴퓨터에서 설정 안내를 따르세요.
참고: 조직의 인증서를 처음 설정하는 경우에만 Google Cloud Certificate Connector 및 구성요소를 다운로드합니다. 인증서 및 SCEP 프로필에서 단일 인증서 커넥터를 공유할 수 있습니다.
-
-
관리 콘솔에서 메뉴 기기네트워크로 이동합니다.
- 보안 SCEP커넥터 다운로드를 클릭합니다.
- Google Cloud Certificate Connector 섹션에서 다운로드를 클릭합니다. 다운로드하면 인증서 커넥터가 포함된 폴더가 데스크톱에 생성됩니다. 다른 커넥터 구성 파일을 이 폴더에 다운로드하는 것이 좋습니다.
- 커넥터 구성 파일 다운로드 섹션에서 다운로드를 클릭합니다.
config.json
파일이 다운로드됩니다. - 서비스 계정 키 받기 섹션에서 키 생성을 클릭합니다.
key.json
파일이 다운로드됩니다. - 인증서 커넥터 설치 프로그램을 실행합니다.
- 설치 마법사에서 다음을 클릭합니다.
- 라이선스 계약의 약관에 동의하고 다음을 클릭합니다.
- 설치된 서비스를 사용할 계정을 선택하고 다음을 클릭합니다. 계정에는 SCEP 서버에서 서비스로 로그인할 수 있는 권한이 있어야 합니다.
- 설치 위치를 선택합니다. 기본값을 사용하는 것이 좋습니다. 다음을 클릭합니다.
- 서비스 계정 사용자 인증 정보를 입력하고 다음을 클릭합니다. 서비스가 설치됩니다.
- 마침을 클릭하여 설치를 완료합니다.
- 설치 중에 생성된 Google Cloud Certificate Connector 폴더(일반적으로
C:\Program Files\Google Cloud Certificate Connector
)로 구성 파일과 키 파일(config.json
및key.json
)을 옮깁니다. - 다음과 같이 Google Cloud Certificate Connector 서비스를 시작합니다.
- Windows 서비스를 엽니다.
- 서비스 목록에서 Google Cloud Certificate Connector를 선택합니다.
- 시작을 클릭하여 서비스를 시작합니다. 상태가 실행 중으로 변경되었는지 확인합니다. 컴퓨터가 재부팅되면 서비스가 자동으로 다시 시작됩니다.
나중에 새 서비스 계정 키를 다운로드하는 경우 서비스를 다시 시작하여 적용합니다.
2단계: SCEP 프로필 추가하기
SCEP 프로필은 사용자가 Wi-Fi 네트워크에 액세스하도록 허용하는 인증서를 정의합니다. 조직 단위에 SCEP 프로필을 추가하여 특정 사용자에게 프로필을 할당하게 되며, 여러 SCEP 프로필을 설정하여 조직 단위 및 기기 유형별로 액세스 권한을 관리할 수 있습니다.
시작하기 전에: 이 설정을 사용할 부서나 팀을 설정해야 하는 경우 조직 단위 추가하기를 참고하세요.
-
-
관리 콘솔에서 메뉴 기기네트워크로 이동합니다.
- SCEP 프로필 만들기를 클릭합니다.
-
(선택사항) 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다. 방법 보기 참고: 알려진 문제로 인해 프로필을 적용하려는 경우 각 조직 단위에 SCEP 프로필을 설정하는 것이 좋습니다.
- 보안 SCEP 프로필 추가를 클릭합니다.
- SCEP 프로필의 구성 세부정보를 입력합니다. CA에서 특정 템플릿을 발급하는 경우 프로필의 세부정보를 템플릿과 동일하게 입력하세요.
- SCEP 프로필 이름: 프로필을 설명하는 이름입니다. 이 이름은 프로필 목록 및 Wi-Fi 네트워크 구성의 프로필 선택기에 표시됩니다.
- 주체 이름 형식: 인증서 소유자를 식별하는 방법을 선택합니다. 완전히 구분되는 고유 이름을 선택하면 인증서 일반 이름이 사용자의 사용자 이름이 됩니다.
- 주체 대체 이름: SAN(주체 대체 이름)을 입력합니다. 기본값은 없음입니다.
Chrome OS 기기의 경우 사용자 및 기기 속성을 기반으로 주체의 대체 이름을 정의할 수 있습니다. 맞춤 인증서 서명 요청(CSR)을 사용하려면 CA에서 인증서 템플릿을 구성하여 요청 자체에 정의된 주체 값으로 인증서를 예상하고 생성하세요. 적어도 주체의 CommonName 값은 제공해야 합니다.
다음과 같은 자리표시자를 사용할 수 있습니다. 모든 값은 선택사항입니다.
${DEVICE_DIRECTORY_ID}
: 기기의 디렉터리 ID${USER_EMAIL}
: 로그인한 사용자의 이메일 주소${USER_EMAIL_DOMAIN}
: 로그인한 사용자의 도메인 이름${DEVICE_SERIAL_NUMBER}
: 기기의 일련번호${DEVICE_ASSET_ID}
: 관리자가 기기에 할당한 애셋 ID${DEVICE_ANNOTATED_LOCATION}
: 관리자가 기기에 할당한 위치${USER_EMAIL_NAME}
: 로그인한 사용자의 이메일 주소 첫 부분(@ 기호의 앞부분)
해당하는 자리표시자 값이 없는 경우 빈 문자열로 대체됩니다.
- 서명 알고리즘: 인증 키를 암호화하는 데 사용되는 해시 함수입니다. RSA를 사용하는 SHA256만 지원됩니다.
- 키 사용: 키, 키 암호화, 서명을 사용하는 방법을 선택할 수 있는 여러 옵션입니다. 2개 이상을 선택할 수 있습니다.
- 키 크기(비트): RSA 키의 크기입니다. Chrome OS 기기의 경우 2,048비트를 선택합니다.
- SCEP 서버 URL: SCEP 서버의 URL입니다.
- 인증서 유효 기간(연 단위): 기기 인증서가 유효한 기간입니다. 숫자로 입력하세요.
- 다음 일수 내에 갱신: 이 기간이 지나면 기기 인증서가 만료되어 인증서 갱신이 시도됩니다.
- 확장 키 사용: 키를 사용할 수 있는 방법입니다. 두 개 이상의 값을 선택할 수 있습니다.
- 보안 질문 유형: SCEP 서버에서 발급된 인증서를 요청할 때 Google에서 지정한 보안 질문 문구를 입력하도록 하려면 고정을 선택하고 문구를 입력합니다. 선택 안함을 선택하면 서버에서 보안 질문을 요구하지 않습니다.
- 템플릿 이름: NDES 서버에서 사용하는 템플릿의 이름입니다.
- 인증 기관: 인증 기관으로 사용하기 위해 업로드한 인증서의 이름입니다.
- 이 프로필이 적용되는 네트워크 유형: SCEP 프로필을 사용하는 네트워크의 유형입니다.
- 이 프로필이 적용되는 플랫폼: SCEP 프로필을 사용하는 기기 플랫폼입니다. Chrome OS 기기의 경우 배포하려는 인증서 유형에 따라 Chromebook(사용자), Chromebook(기기) 또는 둘 다를 선택합니다.
- 저장을 클릭합니다. 또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다.
상속된 값을 나중에 복원하려면 상속을 클릭합니다.
프로필을 추가하면 프로필 이름 및 프로필이 사용 설정된 플랫폼이 함께 표시됩니다. 플랫폼 열에서 프로필은 파란색 아이콘이 있는 플랫폼에서는 사용 설정되고 회색 아이콘이 있는 플랫폼에서는 사용 중지됩니다. 프로필을 수정하려면 행을 가리킨 다음 수정 을 클릭합니다.
조직 단위의 사용자에게는 SCEP 프로필이 자동으로 배포됩니다.
3단계: Google Cloud Certificate Connector의 키 저장소 구성하기
신뢰할 수 있는 CA에서 인증서를 발급했거나 또는 SCEP 서버 URL이 HTTP로 시작하는 경우 이 단계를 건너뛰세요.
자체 서명 인증서와 같이 신뢰할 수 있는 CA에서 발급되지 않은 인증서의 경우 Google Cloud Certificate Connector 키 저장소로 가져와야 합니다. 그렇지 않으면 기기 인증서를 프로비저닝할 수 없으며 기기를 연결할 수 없습니다.
- CA에 로그인합니다.
- 자바 JRE가 아직 설치되지 않은 경우 keytool.exe를 사용할 수 있도록 설치합니다.
- 명령 프롬프트를 엽니다.
- 다음 명령어를 실행하여 CA 인증서를 내보내고 PEM 파일로 변환합니다.
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- CA 인증서를 키 저장소로 가져옵니다. 설치 중에 생성된 Google Cloud Certificate Connector 폴더의 하위 디렉터리(일반적으로 C:\Program Files\Google Cloud Certificate Connector)에서 다음 명령어를 실행합니다.
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
java-home-dir
Google Cloud Certificate Connector 폴더의 JRE 경로와cert-export-dir
4단계에서 내보낸 인증서의 경로를 바꿉니다.
4단계: SCEP 프로필을 요구하도록 Wi-Fi 네트워크 구성하기(선택사항)
사용자의 휴대기기 또는 Chrome OS 기기에서 SCEP 서버에서 발급된 인증서를 수신하면 인증서 인증을 요구하도록 Wi-Fi 네트워크를 구성할 수 있습니다.
휴대기기 및 Chrome OS 기기의 Wi-Fi 네트워크 액세스를 제어하려면 기기마다 별도의 Wi-Fi 네트워크를 설정하세요. 예를 들어 휴대기기에 Wi-Fi 하나의 네트워크를 설정하고 휴대기기용 SCEP 프로필을 할당한 다음, Chrome OS 기기에는 다른 Wi-Fi 네트워크를 설정하고 Chrome OS 기기용 SCEP 프로필을 할당합니다.
인증서를 선택하고 SCEP 프로필을 Wi-Fi 네트워크에 적용하려면 다음 안내를 따르세요.
- Wi-Fi 설정을 추가하거나 기존 설정을 수정합니다.
- 플랫폼 액세스 섹션에서 Android 또는 iOS 또는 둘 다에 대한 체크박스를 선택합니다.
- 세부정보 섹션에서 다음을 설정합니다.
- 보안 설정의 경우 WPA/WPA2 Enterprise(802.1X) 또는 동적 WEP(802.1X)를 선택합니다.
- 확장성 인증 프로토콜에서 EAP-TLS 또는 EAP-TTLS를 선택합니다.
- SCEP 프로필의 경우 이 네트워크에 적용할 SCEP 프로필을 선택합니다.
- 저장을 클릭합니다.
이제 사용자가 Wi-Fi 네트워크에 처음 연결을 시도할 때 기기에서 인증서를 제공해야 합니다.
- Android 및 Chrome OS 기기의 경우 SCEP 프로필 및 네트워크에 해당하는 인증서가 자동으로 입력되고 사용자는 연결을 클릭하면 됩니다.
- iOS 기기의 경우 사용자가 사용할 인증서를 선택한 다음 연결을 클릭해야 합니다.
Google Cloud Certificate Connector를 통한 인증서 인증의 작동 방식
Google Cloud Certificate Connector는 SCEP 서버와 Google 간 전용 연결을 설정하는 Windows 서비스입니다. 인증서 커넥터는 구성 파일과 키 파일로 구성 및 보호되며, 두 파일 모두 조직 전용으로 사용됩니다.
SCEP 프로필을 사용하여 기기 및 사용자에게 기기 인증서를 할당합니다. 프로필을 할당하려면 조직 단위를 선택하고 해당 조직 단위에 프로필을 추가하세요. SCEP 프로필에는 기기 인증서를 발급하는 인증 기관이 포함되어 있습니다. 사용자가 관리를 위해 휴대기기 또는 Chrome OS 기기를 등록할 때 Google 엔드포인트 관리에서 사용자의 SCEP 프로필을 가져와 기기에 인증서를 설치합니다. Chrome OS 기기의 경우 기기 인증서는 사용자가 로그인하기 전에 설치되지만 사용자 인증서는 사용자가 로그인한 후에 설치됩니다. 기기가 이미 등록되어 있는 경우 인증서는 일반 동기화 주기의 일부로 설치됩니다.
사용자가 네트워크에 연결을 시도하면 인증서를 제공하라는 메시지가 표시됩니다. Android 기기의 경우 인증서가 자동으로 선택되면 사용자가 연결을 클릭하면 됩니다. iOS 기기의 경우 사용자가 인증서를 직접 찾아 선택한 다음 연결해야 합니다. 기기에서는 인증서 커넥터를 통해 Google에서 협상한 키를 사용하여 조직의 네트워크에 액세스합니다. 보안 협상 중에 Google에서 키를 일시적으로 저장하지만 기기에 키가 설치되거나 24시간이 지나면 키는 삭제됩니다.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.