일부 네트워크와 내부 웹 리소스는 사용자가 디지털 인증서를 사용하여 인증하도록 요구합니다. 클라이언트 인증서가 있으면 ChromeOS 기기 사용자가 이러한 유형의 네트워크와 리소스에 액세스할 수 있습니다.
네트워크 및 내부 리소스의 보안을 개선하기 위해 조직에서는 클라이언트 측 디지털 인증서를 사용하여 직원 및 학생 기기 사용자를 인증합니다. 예를 들어 EAP-TLS(802.1x) 인증을 통해 LAN에 액세스하고 상호 TLS/SSL 인증을 통해 내부 웹 리소스에 액세스할 수 있습니다.
기기에 클라이언트 인증서를 포함하는 몇 가지 단계는 다음과 같습니다.
- 기기에서 안전하게 키 쌍을 생성합니다.
- 공개 키 및 기타 식별/인증 정보를 인증 기관(CA)으로 전송하여 인증서를 받습니다.
- 기기로 인증서를 가져옵니다.
CA마다 SCEP, EST와 같이 서로 다른 등록 프로토콜을 지원하고, 조직마다 인증서를 부여하기 전에 확인해야 할 관련 워크플로, 점검 사항 및 규칙이 있습니다.
클라이언트 인증서는 ChromeOS 기기의 Chrome TPM(신뢰 플랫폼 모듈)에 의해 지원됩니다. 비공개 키가 기기 외부로 유출되지 않습니다.
클라이언트 인증서 관리 및 프로비저닝하기
Google Cloud 자격증 커넥터를 사용하면 SCEP(단순 인증서 등록 프로토콜) 서버의 인증서와 인증 키를 사용자의 기기에 안전하게 배포할 수 있습니다. 자세한 내용은 Google Cloud 자격증 커넥터 사용하기에서 확인하거나 SCEP를 통해 ChromeOS용 인증서 등록 구성하기에서 전체 가이드를 확인하세요.
Chrome 버전 37부터 CA와 같은 파트너, 인프라 관리 공급업체, 고객들은 chrome.enterprise.platformKeys API로 확장 프로그램을 작성하여 ChromeOS 기기에서 클라이언트 인증서를 프로비저닝할 수 있습니다. 확장 프로그램을 사용하면 다양한 CA, 등록 프로토콜 및 모든 형태의 웹 기반 워크플로를 지원할 수 있습니다. Microsoft Active Directory 인증서 서비스를 사용하는 고객은 Google의 엔터프라이즈 등록 도구를 사용하여 Chrome 기기에 대한 인증서를 요청하고 설치할 수 있습니다. 자세한 내용은 ChromeOS용 인증서 등록 확장 프로그램 사용하기를 참조하세요.
chrome.enterprise.platformKeys API 사용자 토큰이 사용될 때(ID = '사용자') 확장 프로그램을 사용하여 얻은 클라이언트 인증서는 사용자와 기기마다 다릅니다. 예를 들어 동일한 기기의 두 번째 사용자는 인증서가 다릅니다. 사용자가 다른 기기에 로그인할 때 CA에서 다른 인증서를 발급합니다. TPM으로 클라이언트 인증서가 지원되므로 다른 사용자가 빼내어 다른 기기에 설치하거나 도용할 수 없습니다. 사용자를 기기에서 삭제하면 인증서도 삭제됩니다.
타사 확장 프로그램을 사용하여 클라이언트 인증서를 프로비저닝하려면 다음 단계를 따르세요.
- Chrome 서비스가 있는지 확인합니다. Chrome 서비스 옵션을 참고하세요.
관리 콘솔을 통해 조직의 모든 ChromeOS 기기에서 사용자, 기기, 앱을 손쉽게 배포하고 제어할 수 있습니다.
- chrome.enterprise.platformKeys API를 사용하여 온보딩 워크플로를 구현하고 CA와 통합하는 온보딩 확장 프로그램을 확보합니다.
Chrome 웹 스토어로 이동하여 사용하고 있는 CA에 대한 확장 프로그램을 찾습니다. CA에 대한 확장 프로그램이 없다면 직접 만들거나, 컨설턴트나 공급업체의 서비스를 활용하여 만들 수 있습니다. 자세한 내용은 개발자 가이드를 참조하세요.
- 사용자를 위해 확장 프로그램을 강제 설치합니다. chrome.enterprise.platformKeys API는 정책에 따라 강제 설치된 확장 프로그램에서만 사용할 수 있습니다. 자동으로 앱 및 확장 프로그램 설치하기를 참고하세요.
- 게스트 또는 온보딩 네트워크의 사용자가 네트워크에 접속할 수 있고, 게스트 또는 온보딩 네트워크가 CA와 통신할 수 있도록 네트워크가 설정되었는지 확인합니다.
대부분의 경우 게스트 또는 온보딩 네트워크에는 특별 액세스 권한이 없으므로 엑스트라넷을 탐색하고 인증서 온보딩을 위해 CA에 연결하는 데에만 사용할 수 있습니다. 이 네트워크를 사용하여 인증서 온보딩 프로세스를 시작할 수 있습니다. 관리하는 모든 ChromeOS 기기에서 게스트 또는 온보딩 네트워크를 사전 설정할 수 있습니다. 자세한 내용은 네트워크 관리를 참조하세요.
- 각 ChromeOS 기기가 도메인에 등록되어 있는지 확인합니다. 기기가 등록된 도메인에 있는 사용자만 기기 인증서를 사용할 수 있습니다. ChromeOS 기기 등록하기를 참고하세요.
추가 정보
관리자는 사용자 및 기기 인증서의 프로비저닝 흐름을 구성할 수 있습니다.
사용자 인증서는 관리 사용자 세션에 연결되며 웹사이트, 네트워크, 타사 애플리케이션에 대한 사용자 수준 인증에 사용할 수 있습니다.
기기 인증서는 관리 기기에 연결되며 다음과 같은 여러 위치에 노출됩니다.
- 기기와 동일한 도메인에서 관리하는 사용자의 연결된 사용자 세션
- 인증서가 네트워크에 표시되며 타사 SAML 로그인 과정의 일부인 Chrome 로그인 화면
참고: 기기 인증서는 싱글 사인온(SSO) 클라이언트 인증서 정책을 구성한 경우 타사 SAML 로그인 과정에서만 표시됩니다. - 인증서가 웹사이트, 네트워크, 타사 앱에 표시되는 관리 게스트 세션 및 키오스크 모드 기기
이러한 인증서는 VPN 클라이언트와 같이 chrome.platformKeys API를 사용하는 확장 프로그램에서 이용할 수 있습니다. 인증서 액세스 권한이 부여되는 방식은 계정이 관리되는 여부에 따라 다릅니다. 자세한 내용은 확장 프로그램 및 클라이언트 인증서에 대한 액세스 모델을 참고하세요.
게스트 또는 온보딩 네트워크에서 사용자가 유효한 인증서 없이 EAP-TLS(802.1x) 네트워크로의 연결을 최초로 시도합니다. 이 시점에서 확장 프로그램이 강제 설치되면 확장 프로그램이 CA에서 발급한 인증서를 설치하기 전에 사용자에게 일련의 단계를 안내합니다(인증 포함). 인증서가 설치되면 사용자는 EAP-TLS(802.1x) 네트워크를 선택하여 연결을 완료할 수 있습니다.
참고: Google Cloud Certificate Connector를 사용하여 인증서를 배포하면 백그라운드에서 자동으로 배포됩니다. 기기가 게스트 또는 프로비저닝 네트워크의 Google 서버에 연결할 수 있는 경우, EAP-TLS(802.1x) 네트워크에 연결을 시도할 때 배포된 인증서가 즉시 사용 가능해야 합니다.
내부 웹페이지에서 상호 TLS/SSL 인증을 요구하면 내부 웹 리소스는 인증서가 필요하다는 메시지를 사용자에게 표시합니다. 이 시점에서 사용자는 강제 설치된 확장 프로그램을 실행하고 설명된 EAP-TLS 네트워크 연결 방법과 비슷한 단계를 거친 후 브라우저를 새로고침하여 내부 웹페이지에 액세스할 수 있습니다.
chrome.platformKeys API를 통해 확장 프로그램에서 플랫폼에 의해 관리되는 클라이언트 인증서에 액세스할 수 있습니다. Android 앱은 KeyChain API를 사용합니다. 확장 프로그램 및 Android 앱 사용에 적용되는 권한 모델은 사용자 계정의 관리 여부에 따라 다릅니다. 다음은 기기의 등록 여부와 관계없이 적용됩니다.
관리되지 않는 계정개인 계정과 같이 관리되지 않는 계정으로 로그인할 경우, 사용자는 기기에 직접 가져온 인증서의 소유권과 전체 제어권을 갖습니다. 이 경우 사용자는 특정 확장 프로그램에 chrome.platformKeys를 사용하여 특정 인증서에 액세스할 수 있는 권한을 부여할 수 있습니다. 추가 제한사항은 없습니다.
관리 계정사용자가 직장 계정과 같은 관리 계정으로 로그인한 경우 기업용으로 사용할 인증서에 대한 액세스 권한 부여는 관리자가 담당합니다. 관리자는 클라이언트 인증서를 사용할 수 있는 확장 프로그램 및 Android 앱을 지정하여 권한을 부여합니다.
특정 사용자 그룹 또는 등록된 Chrome 브라우저에 대해 설정하려면 사용자 계정 또는 브라우저를 그룹 또는 조직 단위로 지정하세요. 사용자 계정만 그룹에 추가할 수 있습니다. 자세한 내용은 그룹스 및 조직 단위 추가하기를 참고하세요.
클라이언트 인증서를 사용할 수 있는 확장 프로그램 및 Android 앱을 지정하려면 다음 단계를 따르세요.
-
-
관리 콘솔에서 메뉴
기기
Chrome
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴
Chrome browser
- (사용자만 해당) 그룹에 설정을 적용하려면 다음 안내를 따르세요.
- 그룹을 선택합니다.
- 설정을 적용할 그룹을 선택합니다.
- 모든 사용자에게 설정을 적용하려면 최상위 조직 단위를 선택하고 그렇지 않으면 하위 조직 단위를 선택하세요.
-
(선택사항) 아직 관리 콘솔에서 확장 프로그램 또는 Android 앱을 관리하지 않는 경우 다음 안내를 따릅니다.
-
추가
를 가리키고 다음 옵션 중 하나를 선택합니다.
-
Chrome 웹 스토어에서 추가
-
Google Play에서 추가
-
-
확장 프로그램 또는 Android 앱을 찾아 선택을 클릭합니다. 메시지가 표시되면 조직을 대신하여 앱 권한에 동의합니다.
-
-
목록에서 관리하려는 확장 프로그램 또는 Android 앱을 찾아 클릭합니다.
-
오른쪽에 열리는 패널의 인증서 관리에서 키에 대한 액세스 허용을 사용 설정합니다.
참고: 확장 프로그램을 선택했는데 설정이 표시되지 않으면 확장 프로그램에서 인증서 관리를 지원하지 않는 것입니다. Android 앱을 선택했는데 설정이 표시되지 않으면 앱이 아직 인증서 관리 API에 액세스하도록 승인을 받지 않은 것입니다. 승인을 요청하려면 Google에 문의하세요. - 저장을 클릭합니다.
기업 인증서에 대한 액세스 권한을 부여하라는 메시지가 표시되지 않으며 chrome.enterprise.platformKeys API를 사용해 가져온 인증서만 기업용으로 사용할 수 있습니다. 확장 프로그램에 여러 인증서에 대한 액세스 권한이 부여되었다면 인증서를 선택하라는 메시지가 확장 프로그램에 표시될 수 있습니다. 사용자가 직접 가져온 경우 등 기타 방법으로 생성되거나 가져온 모든 인증서는 관리 계정의 API에 사용할 수 없습니다.
관리 Android 앱은 사용자에게 KeyChain API를 통해 기업 인증서를 선택하도록 요청할 수 없습니다. 가능한 기업 인증서가 있는 경우 시스템에서 사용자를 대신하여 항상 이를 선택합니다. KeyChain은 보유한 인증서 중 백그라운드에서 사용할 수 있는 모든 인증서를 Android 앱에 알리고, 앱 자체에서 일부 대화상자를 앱 내에서 사용자에게 직접 표시할 수 있습니다.
Android 앱 관련 고려사항
- 사용자 인증서는 Chrome 버전 89 이상에서 지원됩니다.
- 기기 인증서는 Chrome 버전 93 이상에서 지원됩니다.
- 액세스 승인을 받지 않은 Android 앱도 있습니다. 특정 Android 앱의 승인을 요청하려면 Google에 문의하세요.