ChromeOS용 인증서 등록 확장 프로그램 사용하기

사전 구성된 인증서를 자동으로 등록하려면 사용자가 다음 작업을 완료해야 합니다.

1. 인증서 등록 알림을 클릭합니다.
2. (선택사항) 기기 인증서를 요청하려면 기기 전체 인증서 등록 체크박스를 선택합니다. 체크박스를 선택하지 않으면 사용자 인증서가 요청됩니다.
3. 등록을 클릭합니다.

인증서를 갱신하려면 사용자는 인증서 갱신 리마인더 알림만 클릭하면 됩니다.

사용자 인증서를 요청하면 전반적인 기기용이 아닌 요청을 전송하는 특정 사용자용 인증서가 발급됩니다. 사용자 인증서는 해당 기기에 로그인한 사용자에게만 유효하며 동일한 기기를 사용하는 다른 사용자는 사용할 수 없습니다.

1. 클릭 또는 탭하여 '사용자 이름' 입력란으로 이동합니다.
2. 사용자 이름을 입력합니다.
3. 클릭 또는 탭하여 '비밀번호' 입력란으로 이동합니다.
4. 비밀번호를 입력합니다.
5. '기기 전체' 체크박스는 선택하지 않고 그대로 둡니다.

기기 인증서를 요청하면 요청을 전송하는 사용자용이 아닌 요청을 전송하는 전반적인 기기용 인증서가 발급됩니다. 기기 인증서는 장비와 동일한 조직에 속하는 모든 사용자에게 유효하며 일반적으로 공개 세션이나 키오스크 모드로 사용되는 기기에 필요합니다.

1. 클릭 또는 탭하여 '사용자 이름' 입력란으로 이동합니다.
2. 사용자 이름을 입력합니다.
3. 클릭 또는 탭하여 '비밀번호' 입력란으로 이동합니다.
4. 비밀번호를 입력합니다.
5. '기기 전체' 체크박스를 선택합니다.

전송되는 요청 유형에 관계없이(사용자 또는 기기) 전송 절차는 동일합니다.

1. 위에서 설명한 단계에 따라 사용자 또는 기기 인증서 요청을 생성합니다.
2. '등록' 버튼으로 이동합니다.
3. 등록을 클릭합니다.

요청이 전송된 후 인증서 요청을 제공할 서버로부터 성공적으로 완료되었다는 응답을 받으면 좋습니다.

1. 위에서 설명한 대로 인증서 요청을 전송합니다.
2. 응답을 받을 때까지 기다립니다.
3. 응답을 받으면 인증서를 받았고 가져왔음을 나타내는 성공 메시지가 포함된 대화상자가 표시됩니다.
4. 완료되면 대화상자에서 '확인'을 선택하거나 Esc 키를 누르거나 대화상자 밖을 클릭하여 대화상자를 닫습니다.

요청이 전송된 후 간혹 여러 가지 이유로 요청이 실패할 수 있습니다. 오류 응답에서 실패를 요약해서 표시하며 사용자에게 문제가 무엇인지 알려줍니다.

1. 위에서 설명한 대로 인증서 요청을 전송합니다.
2. 응답을 받을 때까지 기다립니다.
3. 응답을 받으면 무언가 잘못되었음을 표시하는 실패 메시지가 포함된 대화상자가 표시됩니다.
4. 완료되면 대화상자에서 '확인'을 선택하거나 Esc 키를 누르거나 대화상자 밖을 클릭하여 대화상자를 닫습니다.
5. 잘못된 사용자 이름과 같이 오류를 수정할 수 있는 경우 수정한 후 요청을 다시 전송하면 성공적으로 완료되었다는 메시지가 표시됩니다. 서버에서 요청 액세스를 거부한 경우와 같이 오류를 수정할 수 없으면 도움을 요청해야 합니다.

요청이 전송된 후 간혹 서버에서 특정 사용자가 나중에 직접 검토하고 요청을 승인/거부하도록 하기 위해 요청을 대기 중으로 설정하기도 합니다. 대기 중인 응답에서 이 플로우를 요약해서 표시하며 나중에 요청 상태를 확인할 수 있도록 관련 정보를 사용자에게 알립니다.

1. 위에서 설명한 대로 인증서 요청을 전송합니다.
2. 응답을 받을 때까지 기다립니다.
3. 응답을 받으면 요청이 대기 중으로 설정되었음을 표시하는 대기 메시지가 포함된 대화상자가 표시됩니다. 또한 나중에 확인하는 데 필요한 등록 URI와 요청 ID도 표시됩니다.
4. 나중에 참고할 수 있도록 등록 URI와 요청 ID를 복사해 둡니다.
5. 완료되면 대화상자에서 '확인'을 선택하거나 Esc 키를 누르거나 대화상자 밖을 클릭하여 대화상자를 닫습니다.

사용자에게 대기 중인 인증서가 있는 경우 어느 시점이 되면 인증서 상태를 확인하고 싶을 수 있습니다. 사용자가 대기 중인 인증서 요청을 생성하고 전송하려면 대기 중인 요청 UI로 이동해야 합니다.

1. 클릭 또는 탭하여 이동한 후 '옵션 더보기' 버튼을 선택합니다.
2. 생성된 옵션 목록에서 클릭 또는 탭하여 '대기중인 요청을 확인할 수 있도록 추가 입력란을 표시하시겠습니까?' 옵션으로 이동합니다.
3. '대기중인 요청을 확인할 수 있도록 추가 입력란을 표시하시겠습니까?'를 선택하여 대기 중인 요청 입력란이 표시되도록 합니다.

사용자가 이전에 대기 중인 요청 UI로 이동했다가 일반 요청 UI로 다시 이동하고 싶을 수 있습니다.

1. 클릭 또는 탭하여 이동한 후 '옵션 더보기' 버튼을 선택합니다.
2. 생성된 옵션 목록에서 클릭 또는 탭하여 '대기중인 요청을 확인할 수 있도록 추가 입력란을 숨기시겠습니까?' 옵션으로 이동합니다.
3. '대기중인 요청을 확인할 수 있도록 추가 입력란을 숨기시겠습니까?'를 선택하여 대기 중인 요청 입력란이 표시되지 않도록 합니다.

사용자에게 대기 중인 인증서가 있는 경우 어느 시점이 되면 인증서 상태를 확인하고 싶을 수 있습니다. 확장 프로그램을 사용하면 이 플로우가 새로운 요청을 생성하는 것과 매우 유사해집니다.

1. 위에서 설명한 대로 대기 중인 요청 UI로 이동합니다.
2. 클릭 또는 탭하여 '사용자 이름' 입력란으로 이동합니다.
3. 사용자 이름을 입력합니다.
4. 클릭 또는 탭하여 '비밀번호' 입력란으로 이동합니다.
5. 비밀번호를 입력합니다.
6. 클릭 또는 탭하여 '등록 URI' 입력란으로 이동합니다.
7. 대기 중인 이전 인증서 응답에 표시되었던 등록 URI를 입력합니다.
8. 클릭 또는 탭하여 '요청 ID' 입력란으로 이동합니다.
9. 대기 중인 이전 인증서 응답에 표시되었던 요청 ID를 입력합니다.
10. 원래 인증서 요청이 기기 전체 인증서에 관한 것인 경우 '기기 전체' 체크박스를 선택합니다. 그렇지 않으면 '기기 전체' 체크박스를 선택하지 않고 그대로 둡니다.

대기 중인 인증서 확인 요청이 생성한 후 사용자는 응답을 받기 위해 해당 요청을 전송해야 합니다. 대기 중인 인증서 확인 요청은 성공, 실패 또는 계속 대기 중이라는 응답을 받을 수 있으며 이러한 플로우에 관해서는 위에서 이미 설명했습니다.

1. 위에서 설명한 대로 대기 중인 인증서 확인 요청을 생성합니다.
2. '상태 확인' 버튼으로 이동합니다.
3. '상태 확인' 버튼을 선택합니다.

오류가 발생한 경우 지원 담당자나 관리자가 확장 프로그램에서 어떤 일이 일어났는지에 관한 전체 로그를 보는 것이 도움이 됩니다. 사용자가 이러한 로그를 가져올 수 있도록 로그를 사용자의 클립보드에 복사하는 간단한 방법을 알려 드립니다.

1. 클릭 또는 탭하여 이동한 후 '옵션 더보기' 버튼을 선택합니다.
2. 생성된 옵션 목록에서 클릭 또는 탭하여 '로그를 클립보드에 복사' 옵션으로 이동합니다.
3. '로그를 클립보드에 복사'를 선택하여 사용자의 클립보드에 로그를 복사합니다.
4. 여기에서 사용자는 사용자 기기에서 사용하는 일반적인 절차에 따라 선택한 어디에든 로그를 붙여넣을 수 있습니다.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

2. 관리 콘솔에서 메뉴  기기Chrome앱 및 확장 프로그램사용자 및 브라우저로 이동합니다.

   Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴  Chrome browser앱 및 확장 프로그램사용자 및 브라우저로 이동합니다.
3. 모든 사용자에게 설정을 적용하려면 최상위 조직 단위를 선택하고 그렇지 않으면 하위 조직 단위를 선택하세요.
4. 추가 Chrome Web Store에서 추가를 가리킵니다.
5. ChromeOS 인증서 등록을 검색하여 선택합니다. 확장 프로그램 ID는 fhndealchbngfhdoncgcokameljahhog입니다.
6. 사용자 및 카테고리 페이지에서 ChromeOS용 인증서 등록 확장 프로그램을 선택합니다.
7. 오른쪽 패널의 인증서 관리 아래에서 키에 대한 액세스 허용을 사용 설정합니다.
8. 설치 정책에서 강제 설치 또는 강제 설치 및 ChromeOS 작업 표시줄에 고정을 선택합니다.
9. 저장을 클릭합니다.

사용자의 ChromeOS에 대한 인증서 등록 확장 프로그램에 적용할 설정이 포함된 파일을 만듭니다. 이 샘플 파일로 시작하여 조직이나 사용자의 필요에 맞게 정책을 변경하세요. 텍스트 편집기를 사용하여 JavaScript Object Notation(JSON) 파일을 수정할 수 있습니다.

참고: 사용자 문자열에 기본값이 포함된 정책은 번역되어 사용자 언어에 따라 기기에 표시됩니다. 조직의 필요에 맞게 문자열을 변경할 수 있지만 변경한 문자열은 번역되지 않습니다.

다음 정책을 설정할 수 있습니다.

정책 이름	기능
allow_machine_cert_enrollment	사용자가 시스템 인증서를 설치하도록 해줍니다. true로 설정하면 사용자가 시스템 인증서 또는 사용자 인증서를 요청하도록 선택할 수 있습니다. 그렇지 않으면 사용자 인증서만 요청할 수 있습니다. 기본값은 false입니다.
cep_proxy_url	CEP의 https 엔드포인트를 지정합니다. 엔드포인트를 확인하려면 다음 안내를 따르세요. IIS 관리자에서 CEP 웹사이트로 이동합니다. 대개 웹사이트 이름에 CEP가 포함됩니다. 애플리케이션 설정을 엽니다. CEP의 https 엔드포인트가 URI 아래에 표시됩니다. https로 시작하는 값만 유효합니다. https로 시작하지만 IIS 관리자의 URI(Uniform Resource Identifier)와 일치하지 않는 값을 입력한 경우에도 값은 유효한 것으로 간주되고 사용되지만 오류가 발생할 가능성이 높습니다. 이 정책은 필수입니다.
company_info	이름, 로고와 같은 조직의 브랜딩 정보를 지정합니다. 정보나 지원을 받을 수 있는 웹페이지로 사용자를 안내하려면 help_url을 설정합니다. 지정한 웹페이지에서 인증서가 없는 사용자를 차단하는 경우(예: 첫 번째 요청 시) help_text를 사용하여 사용자에게 유용한 텍스트를 제공할 수 있습니다. help_url 및 help_text를 설정하면 지정한 웹페이지가 사용자 기기의 도움말 텍스트 아래에 표시됩니다.
device_cert_request_values	기기 인증서용 인증서 서명 요청(CSR)에 사용될 값을 지정합니다. 요청자의 속성을 사용하는 대신 사용자 및 기기 속성을 기준으로 대상 값을 정의할 수 있습니다. 맞춤 CSR을 사용하려면 요청 자체에 정의된 대상 값을 사용한 인증서를 받아들이고 생성할 수 있도록 인증 기관(CA)의 인증서 템플릿도 구성해야 합니다. 적어도 대상의 CommonName 값은 제공해야 합니다. 다음과 같은 자리표시자를 사용할 수 있습니다. 모든 값은 선택사항입니다. 버전 66 이상을 실행하는 ChromeOS 기기에서는 다음을 사용할 수 있습니다. ${DEVICE_DIRECTORY_ID}: 기기의 디렉터리 ID ${USER_EMAIL}: 로그인한 사용자의 이메일 주소 ${USER_DOMAIN}: 로그인한 사용자의 도메인 이름 ${DEVICE_SERIAL_NUMBER}: 기기의 일련번호 ${DEVICE_ASSET_ID}: 관리자가 기기에 할당한 애셋 ID ${DEVICE_ANNOTATED_LOCATION}: 관리자가 기기에 할당한 위치 해당하는 자리표시자 값이 없는 경우 빈 문자열로 대체됩니다. 자리표시자를 체이닝할 수 있습니다. 예를 들어 자산 ID가 없는 경우 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}는 기기의 일련번호로 대체됩니다.
device_enrollment_templates	사용자 등록 절차 상의 우선순위 순서로 작성된 일치하는 인증서 템플릿 이름 목록입니다. 확장 프로그램은 일치하는 인증서 템플릿을 찾기 위해 해당 목록을 검색하며, 일치하는 첫 번째 인증서 템플릿이 사용됩니다. 오류가 발생하는 경우 확장 프로그램은 다른 인증서 템플릿을 찾기 위해 다시 시도하지 않습니다. 이 정책은 필수입니다. 목록에 적어도 한 개의 값이 있어야 합니다. CA MMC(Microsoft Management Console)에서 템플릿 표시 이름이 아니라 템플릿 이름을 사용하세요. 기본값은 ChromeOSWirelessUser입니다.
enable_auto_enrollment	확장 프로그램이 자동으로 등록을 시작하는지 여부를 결정합니다. false로 설정하면 확장 프로그램이 사용자가 EAP-TLS 네트워크 연결을 시도할 때까지 기다립니다. 기본값은 false입니다.
log_level	Chrome 내 자바스크립트 콘솔로 전송되는 확장 프로그램 로그의 세부정보 수준을 지정합니다. NONE(기본값): 콘솔에 아무것도 기록되지 않습니다. ERROR: 확실한 오류만 콘솔에 기록됩니다. WARNING: 확실한 오류 및 경고가 콘솔에 기록됩니다. INFO: 확실한 오류, 경고, 관련 조치 정보가 콘솔에 기록됩니다. DEBUG: 모든 정보가 콘솔에 기록됩니다. 초기 버전의 경우 잠재적인 문제를 해결할 수 있도록 이 설정을 사용하는 것이 좋습니다. 옵션 더보기에서 모든 로그를 클립보드에 자동으로 복사할 수 있습니다. 사용자가 기기에서 Chrome 로그를 확인하려 할 때 다음 두 가지 방법으로 Chrome에서 웹 개발자 콘솔을 열 수 있습니다. Ctrl+Shift+i를 누릅니다. 도구 더보기 개발자 도구를 클릭합니다. 이 정책은 필수입니다.
placeholder_values	사용자 이름, 비밀번호, URI, 요청 ID, 헤더 자리표시자를 지정합니다. 이 정보는 사용자가 로그인할 때 사용자를 안내하는 데 도움이 됩니다. 사용자 이름, 비밀번호, URI, 요청 ID 필드는 입력 필드 위에 표시되어 각 입력 필드의 역할을 나타냅니다. 헤더 필드는 페이지 제목에 사용됩니다. 고객이 다국어 기본 이름을 사용하도록 허용하는 사용자 이름, 비밀번호, 헤더 필드의 특수 값은 다음과 같습니다. managed_username_placeholder: 사용자 이름 managed_password_placeholder: 비밀번호 managed_login_header: 인증서 등록 비밀번호 대신 암호와 같은 다른 용어를 사용하는 조직에서는 해당 값을 변경할 수 있습니다. 하지만 새 값은 번역되지 않습니다.
renew_hours_before_expiry	인증서 만료 전까지 남은 시간을 시간 단위로 지정하여 사용자에게 만료를 알립니다.   기본값은 120입니다.
renew_reminder_interval	인증서 만료 이전에 사용자에게 알림이 전송되는 빈도를 시간 단위로 제어합니다. 첫 알림 이후 사용자가 인증서를 갱신하지 않고 알림을 무시하도록 선택하지 않은 경우 설정된 시간 경과 후 또 다른 알림이 표시됩니다. 예를 들어 renew_hours_before_expiry가 120으로 설정되어 있고 renew_reminder_interval이 24로 설정된 상태에서 사용자가 계속 알림을 받도록 선택한 경우 사용자는 인증서가 만료될 때까지 하루에 하나씩 총 5개의 갱신 알림을 수신합니다. 기본값은 24입니다.
request_timeout_seconds	CEP 또는 CES에 대한 호출 시간이 초과되기 전까지 남은 시간(초)입니다. 기본값은 20입니다.
signature_algo	확장 프로그램에서 인증서 요청 서명에 사용할 서명 알고리즘을 결정합니다. 옵션은 다음과 같습니다. SHA1(권장되지 않음): 사용자 보안 침해를 발생시킬 수 있는 취약한 알고리즘 SHA256 SHA512(기본값)
user_cert_request_values	사용자 인증서용 인증서 서명 요청(CSR)에 사용되는 값을 지정합니다. 요청자의 속성을 사용하는 대신 사용자 및 기기 속성을 기준으로 대상 값을 정의할 수 있습니다. 맞춤 CSR을 사용하려면 CA에 인증서 템플릿도 구성해야 요청 자체에 정의된 대상 값을 사용하여 인증서를 예상 및 생성할 수 있습니다. 적어도 대상의 CommonName 값은 제공해야 합니다. 다음과 같은 자리표시자를 사용할 수 있습니다. 모든 값은 선택사항입니다. ${DEVICE_DIRECTORY_ID}: 기기의 디렉터리 ID ${USER_EMAIL}: 로그인한 사용자의 이메일 주소 ${USER_DOMAIN}: 로그인한 사용자의 도메인 이름 ${DEVICE_SERIAL_NUMBER}: 기기의 일련번호 ${DEVICE_ASSET_ID}: 관리자가 기기에 할당한 애셋 ID ${DEVICE_ANNOTATED_LOCATION}: 관리자가 기기에 할당한 위치 ${USER_ID}: 로그인한 사용자의 이메일 주소 첫 부분('@' 전에 표시되는 부분) 해당하는 자리표시자 값이 없는 경우 빈 문자열로 대체됩니다. 자리표시자를 체이닝할 수 있습니다. 예를 들어 자산 ID가 없는 경우 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}는 기기의 일련번호로 대체됩니다.
user_enrollment_templates	사용자 등록 절차 상의 우선순위 순서로 작성된 일치하는 인증서 템플릿 이름 목록입니다. 확장 프로그램은 일치하는 인증서 템플릿을 찾기 위해 해당 목록을 검색하며, 일치하는 첫 번째 인증서 템플릿이 사용됩니다. 오류가 발생하는 경우 확장 프로그램은 다른 인증서 템플릿을 찾기 위해 다시 시도하지 않습니다. 이 정책은 필수입니다. 목록에 적어도 한 개의 값이 있어야 합니다. CA MMC에서 템플릿 표시 이름이 아니라 템플릿 이름을 사용하세요. 기본값은 ChromeOSWirelessUser입니다.

사용자가 입력한 사용자 인증 정보를 이용하거나 이용하지 않고 인증서 프로비저닝 설정하기

기본적으로 인증서 등록 확장 프로그램은 사용자가 인증서를 받으려고 할 때 자신의 사용자 인증 정보를 제공하여 직접 인증서를 프로비저닝하도록 설정되어 있습니다.

사용자가 ChromeOS 확장 프로그램을 사용하여 자신의 사용자 인증 정보를 입력하지 않고도 자동으로 인증서를 프로비저닝하거나 갱신하도록 할 수 있습니다. 기기에서 사용자 Kerberos 티켓을 사용할 수 있는 경우 확장 프로그램에서 Kerberos 인증을 사용하여 사용자와 기기 인증서를 모두 요청할 수 있습니다. 서비스 계정을 사용하는 기기 인증서만 요청할 수도 있습니다.

Kerberos 인증

시작하기 전에

• ChromeOS 사용자는 기기에 Kerberos 티켓이 있어야 합니다.
  • 로그인한 사용자의 Kerberos 티켓을 가져오도록 허용하려면 Kerberos 사용자 인증 정보 관리자를 정책으로 설정해야 합니다. 로그인 시 자동으로 실행되도록 설정하면 좋습니다. ChromeOS 기기에 Kerberos 싱글 사인온(SSO) 설정하기를 참고하세요.
• Kerberos 티켓과 연결된 Active Directory 사용자 계정은 설정된 인증서 템플릿을 사용하여 인증서를 요청할 수 있는 권한을 갖고 있어야 합니다.
• 등록 엔드포인트가 통합 인증 서버 ChromeOS 정책에 포함되어 있어야 합니다. 자세한 내용은 Chrome 정책 목록의 정책을 참조하세요.
  • 관리 콘솔에서 통합 인증 서버 설정을 올바르게 설정합니다. 자세한 내용은 통합 인증 서버를 참고하세요.

확장 프로그램 구성

확장 프로그램 정책 값 `client_authentication`을 `kerberos`로 설정합니다.

호스팅된 서비스 계정 인증

서비스 계정을 사용하여 확장 프로그램에서 기기 인증서를 요청하도록 설정할 수 있습니다. 서비스 계정의 사용자 인증 정보는 로컬 네트워크의 웹 서버에 호스팅됩니다.

경고: 공격자가 기기의 사용자 인증 정보 및 확장 프로그램 정책을 호스팅하는 웹 서버에 대한 액세스 권한을 얻게 되면 서비스 계정 사용자 인증 정보를 가져갈 수 있습니다.

서비스 계정 사용자 인증 정보를 호스팅하는 웹 서버에 대한 액세스 권한을 최초 ChromeOS 기기 프로비저닝에만 사용되는 프로비저닝 네트워크로 제한하는 것이 좋습니다.

시작하기 전에

• HTTPS 요청을 처리할 수 있는 로컬 네트워크에 웹 서버가 있어야 합니다.
• ChromeOS는 해당 웹 서버의 인증서를 신뢰해야 합니다. 웹 서버가 자체 서명 CA에서 발행한 인증서를 사용하는 경우 관리 콘솔에서 CA 인증서를 신뢰하도록 설정할 수 있습니다.

1단계: 마스킹된 비밀번호 생성

1. 확장 프로그램을 엽니다.
2. 더보기비밀번호 마스킹 도구를 선택합니다.
3. 서비스 계정 비밀번호를 입력합니다.
4. 마스킹을 선택합니다.
5. 마스크 및 마스킹된 비밀번호를 텍스트 파일에 복사합니다.

2단계: 내부 웹 서버에 사용자 인증 정보 저장

1. 다음을 포함하고 있는 JSON 파일을 게재하도록 웹 서버를 설정합니다.

{

  ‘username’: ‘<서비스 계정 사용자 이름>’,

  ‘maskedPassword’: ‘<복사하여 붙여넣은 마스킹된 비밀번호>’

}

2. 웹 서버에서 사용자 인증 정보를 호스팅하기 위해 사용하는 URL을 텍스트 파일에 복사합니다.

3단계: 확장 프로그램 정책 구성

1. 확장 프로그램 정책 변수 ‘service_account_host’를 위에서 복사한 URL로 설정합니다.
2. 확장 프로그램 정책 변수 ‘service_account_host_password_mask’ 를 위에서 복사한 마스크에 복사합니다.

자동 인증서 갱신

확장 프로그램을 설정하여 키를 이용한 갱신 방법을 통해 추가로 인증하지 않고 기존 인증서를 갱신하도록 할 수 있습니다.

시작하기 전에

설정된 인증서 템플릿에 키를 이용한 갱신을 지원하는 ADCS 인증서 등록 서비스(CES) 엔드포인트를 사용할 수 있어야 합니다. 자세한 내용은 맞춤 포트에서 키를 이용한 인증서 갱신을 위한 인증서 등록 웹 서비스 구성을 참조하세요.

확장 프로그램 구성

• 확장 프로그램 정책 값 `use_key_based_renewal`을 true로 설정합니다.
• 확장 프로그램 정책 값 ‘ces_renewal_url’을 키를 이용한 갱신을 지원하는 인증서 등록 서비스(CES) 엔드포인트의 URL로 설정합니다.

특정 사용자 그룹 또는 등록된 Chrome 브라우저에 대해 설정하려면 사용자 계정 또는 브라우저를 그룹 또는 조직 단위로 지정하세요. 사용자 계정만 그룹에 추가할 수 있습니다. 자세한 내용은 그룹스 및 조직 단위 추가하기를 참고하세요.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

2. 관리 콘솔에서 메뉴  기기네트워크로 이동합니다.
3. Wi-Fi를 클릭합니다.
4. 새 EAP-TLS 네트워크를 추가합니다.
   Wi-Fi 네트워크 구성을 추가하는 방법에 대한 자세한 내용은 네트워크 관리하기를 참고하세요.
5. 등록 확장 프로그램의 네트워크를 지정합니다. 클라이언트 등록 URL 입력란에 chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html을 입력합니다.

참고: 등록 확장 프로그램 URL은 이 URL에 등록하도록 네트워크를 구성하지 않은 경우에도 Chrome 브라우저에서 액세스할 수 있습니다. 이 설정을 사용하면 네트워크를 구성하기 전 또는 인증서 기반 VPN과 같은 EAP-TLS 네트워크 이외에 사용할 인증서를 등록하거나 네트워크를 구성하기 전에 URL을 직접 테스트할 수 있습니다. 사용자에게 브라우저에서 URL로 이동하고 네트워크 구성 단계를 건너뛰도록 안내합니다.

1. 관리 ChromeOS 기기에서 chrome://policy로 이동합니다.
2. 정책 새로고침을 클릭합니다.
3. ChromeOS에 대한 인증서 등록까지 스크롤합니다.
4. 각 정책의 값 필드가 JSON 파일에 설정한 값과 동일한지 확인합니다.