SCEP용 커넥터용 Jamf Pro 구성 - AWS Private Certificate Authority
Jamf Pro

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SCEP용 커넥터용 Jamf Pro 구성

를 Jamf Pro 모바일 디바이스 관리(MDM) 시스템과 함께 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 범용 커넥터를 생성한 후 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다.

SCEP용 커넥터용 Jamf Pro 구성

이 가이드에서는 Connector for SCEP와 함께 사용하도록 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다. Jamf Pro 및 Connector for SCEP를 성공적으로 구성한 후에는 관리형 디바이스에 AWS Private CA 인증서를 발급할 수 있습니다.

Jamf Pro 요구 사항

Jamf Pro 구현은 다음 요구 사항을 충족해야 합니다.

  • Jamf Pro에서 인증서 기반 인증 활성화 설정을 활성화해야 합니다. 이 설정에 대한 세부 정보는 Jamf Pro 설명서의 Jamf Pro 보안 설정 페이지에서 확인할 수 있습니다.

1단계: (선택 사항 - 권장) 프라이빗 CA의 지문 가져오기

지문은 다른 시스템 또는 애플리케이션과 신뢰를 구축할 때 CA의 ID를 확인하는 데 사용할 수 있는 프라이빗 CA의 고유 식별자입니다. CA(인증 기관) 지문을 통합하면 관리형 디바이스가 연결 중인 CA를 인증하고 예상 CA에서만 인증서를 요청할 수 있습니다. Jamf Pro에서 CA 지문을 사용하는 것이 좋습니다.

프라이빗 CA에 대한 지문을 생성하려면

  1. AWS Private CA 콘솔 또는 GetCertificateAuthorityCertificate를 사용하여 프라이빗 CA 인증서를 가져옵니다. ca.pem 파일로 저장합니다.

  2. OpenSSL 명령줄 유틸리티를 설치합니다.

  3. OpenSSL에서 다음 명령을 실행하여 지문을 생성합니다.

    openssl x509 -in ca.pem -sha256 -fingerprint

2단계: Jamf Pro에서 외부 CA AWS Private CA 로 구성

SCEP용 커넥터를 생성한 후에는 Jamf Pro에서 외부 인증 기관(CA) AWS Private CA 으로를 설정해야 합니다. 를 글로벌 외부 CA AWS Private CA 로 설정할 수 있습니다. 또는 Jamf Pro 구성 프로파일을 사용하여 조직의 디바이스 하위 집합에 인증서 발급과 같은 다양한 사용 사례에 AWS Private CA 대해와 다른 인증서를 발급할 수 있습니다. Jamf Pro 구성 프로파일 구현 지침은이 문서의 범위를 벗어납니다.

Jamf Pro에서 외부 인증 기관(CA) AWS Private CA 으로를 구성하려면

  1. Jamf Pro 콘솔에서 설정 > 글로벌 > PKI 인증서로 이동하여 PKI 인증서 설정 페이지로 이동합니다.

  2. 관리 인증서 템플릿 탭을 선택합니다.

  3. 외부 CA를 선택합니다.

  4. [편집(Edit)]을 선택합니다.

  5. (선택 사항) 구성 프로파일에 대해 Jamf Pro를 SCEP 프록시로 활성화를 선택합니다. Jamf Pro 구성 프로파일을 사용하여 특정 사용 사례에 맞게 조정된 다양한 인증서를 발급할 수 있습니다. Jamf Pro에서 구성 프로파일을 사용하는 방법에 대한 지침은 Jamf Pro 설명서의 구성 프로파일에 대한 SCEP 프록시로 Jamf Pro 활성화를 참조하세요.

  6. 컴퓨터 및 모바일 디바이스 등록에 SCEP 지원 외부 CA 사용을 선택합니다.

  7. (선택 사항) 컴퓨터 및 모바일 디바이스 등록을 위한 SCEP 프록시로 Jamf Pro 사용을 선택합니다. 프로필 설치에 실패하는 경우 섹션을 참조하세요프로필 설치 실패 문제 해결.

  8. 커넥터 세부 정보에서 Jamf Pro의 SCEP 필드에 Connector for URL SCEP 퍼블릭 URL를 복사하여 붙여 넣습니다. 커넥터의 세부 정보를 보려면 SCEP용 커넥터 목록에서 커넥터를 선택합니다. 또는 URL를 호출하여 GetConnector를 가져오고 응답에서 Endpoint 값을 복사할 수 있습니다.

  9. (선택 사항) 이름 필드에 인스턴스의 이름을 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다AWS Private CA.

  10. 챌린지 유형에 대해 정적을 선택합니다.

  11. 커넥터에서 챌린지 암호를 복사하여 챌린지 필드에 붙여 넣습니다. 커넥터에는 여러 개의 챌린지 암호가 있을 수 있습니다. 커넥터의 챌린지 암호를 보려면 AWS 콘솔에서 커넥터의 세부 정보 페이지로 이동하여 암호 보기 버튼을 선택합니다. 또는 GetChallengePassword를 호출하여 커넥터의 챌린지 암호(들)를 가져오고 응답에서 Password 값을 복사할 수 있습니다. 챌린지 암호 사용에 대한 자세한 내용은 섹션을 참조하세요Connector for SCEP 고려 사항 및 제한 사항 이해.

  12. 챌린지 암호를 챌린지 확인 필드에 붙여 넣습니다.

  13. 키 크기를 선택합니다. 키 크기는 2048 이상인 것이 좋습니다.

  14. (선택 사항) 디지털 서명으로 사용을 선택합니다. Wi-Fi 및 VPN와 같은 리소스에 대한 보안 액세스 권한을 디바이스에 부여하려면 인증 목적으로이 옵션을 선택합니다.

  15. (선택 사항) 키 암호화에 사용을 선택합니다.

  16. (선택 사항 - 권장) 지문 필드에 16진수 문자열을 입력합니다. 관리형 디바이스가 CA를 확인하고 CA에서만 인증서를 요청할 수 있도록 CA 지문을 추가하는 것이 좋습니다. 프라이빗 CA에 대한 지문을 생성하는 방법에 대한 지침은 섹션을 참조하세요1단계: (선택 사항 - 권장) 프라이빗 CA의 지문 가져오기.

  17. 저장을 선택합니다.

3단계: 구성 프로필 서명 인증서 설정

Jamf Pro를 Connector for SCEP와 함께 사용하려면 커넥터와 연결된 프라이빗 CA에 대한 서명 및 CA 인증서를 제공해야 합니다. 두 인증서가 모두 포함된 프로필 서명 인증서 키 스토어를 Jamf Pro에 업로드하여이 작업을 수행할 수 있습니다.

다음은 인증서 키 스토어를 생성하고 이를 Jamf Pro에 업로드하는 단계입니다.

  • 내부 프로세스를 사용하여 인증서 서명 요청(CSR)을 생성합니다.

  • 커넥터와 연결된 프라이빗 CA에서 서명한 CSR를 가져옵니다.

  • 프로필 서명 및 CA 인증서가 모두 포함된 프로필 서명 인증서 키 스토어를 생성합니다.

  • 인증서 키 스토어를 Jamf Pro에 업로드합니다.

다음 단계에 따라 디바이스가 프라이빗 CA에서 서명한 구성 프로파일을 검증하고 인증하여 Jamf Pro에서 Connector for SCEP를 사용할 수 있도록 할 수 있습니다.

  1. 다음 예제에서는 OpenSSL 및를 사용하지 AWS Certificate Manager만 원하는 방법을 사용하여 인증서 서명 요청을 생성할 수 있습니다.

    AWS Certificate Manager console
    ACM 콘솔을 사용하여 프로필 서명 인증서를 생성하려면

    1. ACM를 사용하여 프라이빗 PKI 인증서를 요청합니다. 다음을 포함합니다.

      • 유형 - MDM 시스템의 SCEP 인증 기관 역할을 하는 것과 동일한 프라이빗 CA 유형을 사용합니다.

      • 인증 기관 세부 정보 섹션에서 인증 기관 메뉴를 선택하고 Jamf Pro의 CA 역할을 하는 프라이빗 CA를 선택합니다.

      • 도메인 이름 - 인증서에 포함할 도메인 이름을 제공합니다. 와 같은 정규화된 도메인 이름(FQDN) www.example.com또는 ( 제외)와 같은 베어 또는 심첨 도메인 이름을 사용할 수 example.com 있습니다www..

    2. ACM를 사용하여 이전 단계에서 생성한 프라이빗 인증서를 내보냅니다. 인증서, 인증서 체인 및 암호화된 키에 대한 파일 내보내기를 선택합니다. 다음 단계에서는 암호가 필요하므로 암호문을 항상 유용하게 보관하세요.

    3. 터미널에서 내보낸 파일이 포함된 폴더에서 다음 명령을 실행하여 이전 단계에서 생성한 암호로 인코딩된 output.p12 파일에 PKCS#12 번들을 씁니다.

      openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase
    AWS Certificate Manager CLI
    ACM CLI를 사용하여 프로필 서명 인증서를 생성하려면

    • 다음 명령은 ACM에서 인증서를 생성한 다음 파일을 PKCS#12 번들로 내보내는 방법을 보여줍니다.

      PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase
    OpenSSL CLI
    OpenSSL CLI를 사용하여 프로필 서명 인증서를 생성하려면

    1. OpenSSL를 사용하여 다음 명령을 실행하여 프라이빗 키를 생성합니다.

      openssl genrsa -out local.key 2048

    2. 인증서 서명 요청 생성(CSR):

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

    3. 를 사용하여 이전 단계에서 생성한 CSR를 사용하여 서명 인증서를 AWS CLI발급합니다. 다음 명령을 실행하고 응답에 인증서 ARN를 기록해 둡니다.

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

    4. 다음 명령을 실행하여 서명 인증서를 가져옵니다. 이전 단계에서 인증서 ARN를 지정합니다.

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

    5. 다음 명령을 실행하여 CA 인증서를 가져옵니다.

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

    6. OpenSSL를 사용하여 서명 인증서 키 스토어를 p12 형식으로 출력합니다. 4단계와 5단계에서 생성한 CRT 파일을 사용합니다.

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12

    7. 메시지가 표시되면 내보내기 암호를 입력합니다. 이 암호는 Jamf Pro에 제공할 키 스토어 암호입니다.

  2. Jamf Pro에서 관리 인증서 템플릿으로 이동하여 외부 CA 창으로 이동합니다.

  3. 외부 CA 창 하단에서 서명 및 CA 인증서 변경을 선택합니다.

  4. 화면의 지침에 따라 외부 CA에 대한 서명 및 CA 인증서를 업로드합니다.

4단계: (선택 사항) 사용자 시작 등록 중 인증서 설치

클라이언트 디바이스와 프라이빗 CA 간에 신뢰를 설정하려면 디바이스가 Jamf Pro에서 발급한 인증서를 신뢰하는지 확인해야 합니다. 등록 프로세스 중에 인증서를 요청할 때 Jamf Pro의 사용자 시작 등록 설정을 사용하여 클라이언트 디바이스에 AWS Private CA CA 인증서를 자동으로 설치할 수 있습니다.

프로필 설치 실패 문제 해결

컴퓨터 및 모바일 디바이스 등록에 Jamf Pro를 SCEP 프록시로 사용을 활성화한 후 프로필 설치에 실패하는 경우 디바이스 로그를 참조하고 다음을 시도하세요.

디바이스 로그 오류 메시지 완화

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

등록을 시도하는 동안이 오류 메시지가 표시되면 등록을 다시 시도하세요. 등록에 성공하려면 몇 번의 시도가 필요할 수 있습니다.

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

챌린지 암호가 잘못 구성되었을 수 있습니다. Jamf Pro의 챌린지 암호가 커넥터의 챌린지 암호와 일치하는지 확인합니다.