커넥터를 사용하여 온프레미스 인증 기관(CA)에서 발급된 기기 인증서를 배포하면 ChromeOS 기기에서 조직의 Wi-Fi 네트워크, 내부 앱, 내부 웹사이트에 대한 사용자 액세스를 제어할 수 있습니다. Google Cloud Certificate Connector는 SCEP(단순 인증서 등록 프로토콜) 서버에서 사용자의 기기로 인증서와 인증 키를 안전하게 배포하는 Windows 서비스입니다.
ChromeOS 기기의 경우 기기에 인증서의 비공개 키가 생성됩니다. 해당하는 공개 키는 Google 서버에 임시로 저장되며 인증서가 설치된 후에 삭제됩니다.
시스템 요구사항
- 조직에서 SCEP 서버용 Microsoft Active Directory 인증서 서비스와 Microsoft NDES(네트워크 기기 등록 서비스)를 사용하여 인증서를 배포합니다. Windows Server 2016 이상이 지원됩니다.
- 최상의 사용 환경을 위해서는 버전 89 이상을 실행 중인 ChromeOS 기기를 사용해야 합니다.
시작하기 전에
- SCEP로 인증서를 배포하도록 설정하려면 조직의 Microsoft Active Directory 인증서 서비스를 관리할 수 있는 전문 지식과 권한이 필요합니다. 계속하기 전에 조직에 관련 전문가가 있는지 확인하세요.
- Active Directory 사용자 이름을 사용하기 위해 인증서에 있는 주체 이름이 필요한 경우 Google Cloud 디렉터리 동기화(GCDS)를 사용하여 Active Directory와 Google 디렉터리를 동기화해야 합니다. 필요한 경우 GCDS를 설정합니다.
- Google 관리 콘솔에서 CA 인증서를 아직 업로드하지 않았다면 인증서를 추가합니다.
1단계: Google Cloud Certificate Connector 다운로드하기
참고: 이미 휴대기기에 Google Cloud Certificate Connector를 설정한 경우 이 단계를 건너뛰고 2단계: SCEP 프로필 추가하기를 바로 진행하세요.
SCEP 서버에서 서비스로 로그인할 수 있는 계정을 사용하여 SCEP 서버 또는 Windows 컴퓨터에서 다음 단계를 진행하세요. 사용할 계정 사용자 인증 정보를 미리 확보해 두세요.
조직에 서버가 여러 대 있는 경우 모든 서버에서 동일한 인증서 커넥터 에이전트를 사용할 수 있습니다. 다음 단계에 설명된 대로 설치 파일, 구성 파일, 키 파일을 한 대의 컴퓨터에 다운로드하여 설치합니다. 그런 다음 이 세 파일을 다른 컴퓨터에 복사하고 해당 컴퓨터에서 설정 안내를 따르세요.
참고: 조직의 인증서를 처음 설정하는 경우에만 Google Cloud Certificate Connector와 구성요소를 다운로드하면 됩니다. 인증서 및 SCEP 프로필에서 단일 인증서 커넥터를 공유할 수 있습니다.
-
-
관리 콘솔에서 메뉴 기기네트워크로 이동합니다.
- 보안 SCEP커넥터 다운로드를 클릭합니다.
- Google Cloud Certificate Connector 섹션에서 다운로드를 클릭합니다. 다운로드하면 인증서 커넥터가 포함된 폴더가 데스크톱에 생성됩니다. 다른 커넥터 구성 파일을 이 폴더에 다운로드하는 것이 좋습니다.
-
커넥터 구성 파일 다운로드 섹션에서 다운로드를 클릭합니다.
config.json
파일이 다운로드됩니다. - 서비스 계정 키 받기 섹션에서 키 생성을 클릭합니다.
key.json
파일이 다운로드됩니다. - 인증서 커넥터 설치 프로그램을 실행합니다.
- 커넥터 설치 프로그램을 다운로드합니다.
- 관리자 권한으로 설치 프로그램을 실행합니다.
- 설치 프로그램에서 서비스를 등록하고 로그인할 때 기본적으로 LocalService 계정을 사용합니다.
- 서비스를 등록하면 소프트웨어가 설치된 것으로 표시됩니다. 그런 다음 설치 프로그램이 서비스를 시작하려고 시도합니다.
커넥터를 처음 설치하는 경우 필요한 파일이 누락되어 서비스가 시작되지 않을 수 있습니다.
- 설치 중에 생성된 Google Cloud Certificate Connector 폴더(일반적으로
C:\Program Files\Google Cloud Certificate Connector
)로 구성 파일과 키 파일(config.json
및key.json
)을 옮깁니다. - (선택사항) 구성 도구(
C:\Program Files\Google Cloud Certificate Connector\Config Tool.exe
)를 관리자 권한으로 실행하여 기본 LocalService 계정이 아닌 다른 계정 이름으로 서비스를 다시 등록합니다. - 다음과 같이 Google Cloud Certificate Connector 서비스를 시작합니다.
- Windows 서비스를 엽니다.
- 서비스 목록에서 Google Cloud Certificate Connector를 선택합니다.
- 시작을 클릭하여 서비스를 시작합니다. 상태가 실행 중으로 변경되었는지 확인합니다. 컴퓨터가 재부팅되면 서비스가 자동으로 다시 시작됩니다.
나중에 새 서비스 계정 키를 다운로드하는 경우 서비스를 다시 시작하여 적용합니다.
2단계: SCEP 프로필 추가하기
SCEP 프로필은 사용자가 Wi-Fi 네트워크에 액세스하도록 허용하는 인증서를 정의합니다. 조직 단위에 SCEP 프로필을 추가하여 특정 사용자에게 프로필을 할당하게 되며, 여러 SCEP 프로필을 설정하여 조직 단위 및 기기 유형별로 액세스 권한을 관리할 수 있습니다.
시작하기 전: 특정 사용자를 대상으로 설정을 적용하려면 사용자의 계정을 조직 단위에 추가하세요.
-
-
관리 콘솔에서 메뉴 기기네트워크로 이동합니다.
- SCEP 프로필 만들기를 클릭합니다.
- (선택사항) 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다. 방법 보기
- 보안 SCEP 프로필 추가를 클릭합니다.
- SCEP 프로필의 구성 세부정보를 입력합니다. CA에서 특정 템플릿을 발급하는 경우 프로필의 세부정보를 템플릿과 동일하게 입력하세요.
- SCEP 프로필 이름: 프로필을 설명하는 이름입니다. 이 이름은 프로필 목록 및 Wi-Fi 네트워크 구성의 프로필 선택기에 표시됩니다.
- 주체 이름 형식: 인증서 소유자를 식별하는 방법을 선택합니다. '완전히 구분되는 고유 이름'을 선택하면 인증서 일반 이름이 사용자의 사용자 이름이 됩니다.
- 주체 대체 이름: SAN(주체 대체 이름)을 입력합니다. 기본값은 '없음'입니다. 필요에 따라 여러 SAN을 만듭니다. SAN에 지원되는 변수를 참고하세요.
- 서명 알고리즘: 인증 키를 암호화하는 데 사용되는 해시 함수입니다. RSA를 사용하는 SHA256만 지원됩니다.
- 키 사용: 키, 키 암호화, 서명을 사용하는 방법을 선택할 수 있는 여러 옵션입니다. 2개 이상을 선택할 수 있습니다.
- 키 크기(비트): RSA 키의 크기입니다.
참고: ChromeOS 기기는 2048 기반 하드웨어만 지원합니다. 보안 강화를 위해 키는 서버 대신 Chrome OS 기기에서 TPM을 사용하여 생성됩니다. - 보안: 증명 요구사항입니다. 관리 ChromeOS 기기에서만 지원되는 인증 액세스 확인을 요청하려면 엄격을 선택합니다. ChromeOS Flex 및 관리되지 않는 ChromeOS 기기의 경우 완화를 선택합니다.
- SCEP 서버 URL: SCEP 서버의 URL입니다.
- 인증서 유효 기간(연 단위): 기기 인증서가 유효한 기간입니다. 숫자로 입력하세요.
- 다음 일수 내에 갱신: 이 기간이 지나면 기기 인증서가 만료되어 인증서 갱신이 시도됩니다.
- 확장 키 사용: 키를 사용할 수 있는 방법입니다. 두 개 이상의 값을 선택할 수 있습니다.
- 보안 질문 유형: Google에서 SCEP 서버의 인증서를 요청할 때 지정된 보안 질문 문구를 입력하도록 요구하려면 '고정'을 선택하고 문구를 입력합니다. '없음'을 선택하면 서버에서 보안 질문을 요구하지 않습니다.
- 템플릿 이름: NDES 서버에서 사용하는 템플릿의 이름입니다.
- 인증 기관: 인증 기관으로 사용하기 위해 업로드한 인증서의 이름입니다.
- 이 프로필이 적용되는 네트워크 유형:SCEP 프로필을 사용하는 네트워크의 유형입니다.
- 이 프로필이 적용되는 플랫폼: SCEP 프로필을 사용하는 기기 플랫폼입니다.
-
저장을 클릭합니다. 또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다.
상속된 값을 나중에 복원하려면 상속을 클릭합니다.
프로필을 추가하면 프로필 이름 및 프로필이 사용 설정된 플랫폼이 함께 표시됩니다. 플랫폼 열에서 프로필은 파란색 아이콘이 있는 플랫폼에서는 사용 설정되고 회색 아이콘이 있는 플랫폼에서는 사용 중지됩니다. 프로필을 수정하려면 행을 가리킨 다음 수정 을 클릭합니다. 배포하려는 인증서 유형에 따라 Chromebook(사용자) 또는 Chromebook(기기)을 선택합니다.
SCEP 프로필은 조직 단위에 속한 사용자에게 자동으로 배포됩니다.
Google Cloud Certificate Connector를 통한 인증서 인증 방식
Google Cloud Certificate Connector는 SCEP 서버와 Google 간 전용 연결을 설정하는 Windows 서비스입니다. 인증서 커넥터는 구성 파일과 키 파일로 구성 및 보호되며, 두 파일 모두 조직 전용으로 사용됩니다.
SCEP 프로필을 사용하여 기기 및 사용자에게 인증서를 할당합니다. 프로필을 할당하려면 조직 단위를 선택하고 조직 단위에 프로필을 추가하세요. SCEP 프로필에는 인증서를 발급하는 인증 기관이 포함되어 있습니다. ChromeOS 기기가 등록되면 구성된 정책이 기기로 전송되며 사용자가 로그인하기 전(기기 인증서를 배포하는 경우) 또는 로그인한 후(사용자 인증서를 배포하는 경우) 기기에 인증서가 설치됩니다. 기기가 이미 등록되어 있거나 사용자 프로필이 이미 있다면 기기 또는 사용자가 관리 콘솔에서 업데이트된 정책을 받을 때 인증서가 설치됩니다.
알려진 문제 및 제한사항
- 현재 SCEP 프로필에서는 동적 보안 질문을 지원하지 않습니다.
- 기기에 인증서가 설치된 후에는 인증서를 취소할 수 없습니다.
- SCEP 프로필은 클라이언트 인증서를 발급하는 CA 인증서로 구성해야 합니다. CA 인증서 - 중개 CA 인증서 - ID 인증서와 같은 인증서 체인을 사용하는 경우 SCEP 프로필은 중개 CA 인증서로 구성해야 합니다.
- 인증서는 등록된 관리 기기에 로그인한 사용자에게만 배포할 수 있습니다. 사용자와 기기는 같은 도메인에 속해야 합니다.
SAN에 지원되는 변수
요청자의 속성을 사용하는 대신 사용자 및 기기 속성을 기반으로 주체 대체 이름을 정의할 수 있습니다. CSR(맞춤 인증서 서명 요청)을 사용하려면 CA에 인증서 템플릿도 구성해야만 요청 자체에 정의된 주체 값을 사용하여 인증서를 예상 및 생성할 수 있습니다. 적어도 주체의 CommonName
값은 제공해야 합니다.
다음과 같은 자리표시자를 사용할 수 있습니다. 모든 값은 선택사항입니다.
${DEVICE_DIRECTORY_ID}
: 기기의 디렉터리 ID${USER_EMAIL}
: 로그인한 사용자의 이메일 주소${USER_EMAIL_DOMAIN}
: 로그인한 사용자의 도메인 이름${DEVICE_SERIAL_NUMBER}
: 기기의 일련번호${DEVICE_ASSET_ID}
: 관리자가 기기에 할당한 애셋 ID${DEVICE_ANNOTATED_LOCATION}
: 관리자가 기기에 할당한 위치${USER_EMAIL_NAME}
: 로그인한 사용자의 이메일 주소 첫 부분(@ 전에 표시되는 부분)
해당하는 자리표시자 값이 없는 경우 빈 문자열로 대체됩니다.
Google 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.