WorkSpaces Personal에서 인증에 스마트 카드 사용 - Amazon WorkSpaces

WorkSpaces Personal에서 인증에 스마트 카드 사용

DCV 번들의 Windows 및 Linux WorkSpaces를 사용하면 인증에 일반 액세스 카드(CAC)개인 신원 확인(PIV) 스마트 카드를 사용할 수 있습니다.

Amazon WorkSpaces는 세션 전 인증 또는 세션 내 인증에 스마트 카드 사용을 지원합니다. 세션 전 인증은 사용자가 WorkSpaces에 로그인하는 동안 수행되는 스마트 카드 인증을 말합니다. 세션 내 인증은 로그인 후 수행되는 인증을 말합니다.

예를 들어 사용자는 웹 브라우저 및 애플리케이션으로 작업하는 동안 세션 내 인증에 스마트 카드를 사용할 수 있습니다. 또한 관리자 권한이 필요한 작업에 스마트 카드를 사용할 수도 있습니다. 예를 들어 사용자가 Linux WorkSpace에 대한 관리자 권한을 가지고 있는 경우 스마트 카드를 사용하여 sudosudo -i 명령을 실행할 때 자신을 인증할 수 있습니다.

요구 사항

  • 세션 전 인증에는 Active Directory Connector(AD Connector) 디렉터리가 필요합니다. AD Connector는 인증서 기반 상호 전송 계층 보안(상호 TLS) 인증을 사용하여 하드웨어 또는 소프트웨어 기반 스마트 카드 인증서를 사용하여 Active Directory에 사용자를 인증합니다. AD Connector 및 온프레미스 디렉터리를 구성하는 방법에 대한 자세한 내용은 디렉터리 구성 섹션을 참조하세요.

  • Windows 또는 Linux WorkSpace에서 스마트 카드를 사용하려면 사용자는 Amazon WorkSpaces Windows 클라이언트 버전 3.1.1 이상 또는 WorkSpaces macOS 클라이언트 버전 3.1.5 이상을 사용해야 합니다. Windows 및 macOS 클라이언트에서 스마트 카드를 사용하는 방법에 대한 자세한 내용은 Amazon WorkSpaces 사용 설명서의 스마트 카드 지원을 참조하세요.

  • 루트 CA 및 스마트 카드 인증서는 특정 요구 사항을 충족해야 합니다. 자세한 내용은 AWS Directory Service 관리 안내서의 스마트 카드와 함께 사용할 수 있도록 TLS 인증 활성화) 및 Microsoft 설명서의 Certificate Requirements를 참조하세요.

    이러한 요구 사항 외에도 Amazon WorkSpaces에 대한 스마트 카드 인증에 사용되는 사용자 인증서에는 다음 속성이 포함되어야 합니다.

    • 인증서의 subjectAltName(SAN) 필드에 있는 AD 사용자의 userPrincipalName(UPN). 사용자의 기본 UPN에 대해 스마트 카드 인증서를 발급하는 것이 좋습니다.

    • 클라이언트 인증(1.3.6.1.5.5.7.3.2) 확장 키 사용(EKU) 속성.

    • 스마트 카드 로그온(1.3.6.1.4.1.311.20.2.2) EKU 속성.

  • 세션 전 인증의 경우 인증서 해지 검사에 온라인 인증서 상태 프로토콜(OCSP)이 필요합니다. 세션 내 인증의 경우 OCSP가 권장되지만 필수는 아닙니다.

제한 사항

  • 현재 스마트 카드 인증에는 WorkSpaces Windows 클라이언트 애플리케이션 버전 3.1.1 이상 및 macOS 클라이언트 애플리케이션 버전 3.1.5 이상만 지원됩니다.

  • WorkSpaces Windows 클라이언트 애플리케이션 3.1.1 이상은 클라이언트가 64비트 버전의 Windows에서 실행되는 경우에만 스마트 카드를 지원합니다.

  • Ubuntu WorkSpaces는 현재 스마트 카드 인증을 지원하지 않습니다.

  • 현재 AD Connector 디렉터리만 스마트 카드 인증에 지원됩니다.

  • 세션 내 인증은 DCV가 지원되는 모든 리전에서 사용 가능합니다. 세션 전 인증은 다음 리전에서 사용할 수 있습니다.

    • 아시아 태평양(시드니) 리전

    • 아시아 태평양(도쿄) 리전

    • Europe (Ireland) Region

    • AWS GovCloud(미국 동부) 리전

    • AWS GovCloud(미국 서부) 리전

    • 미국 동부(버지니아 북부) 리전

    • US West (Oregon) Region

  • Linux 또는 Windows WorkSpaces의 세션 내 인증 및 세션 전 인증의 경우 현재 한 번에 하나의 스마트 카드만 허용됩니다.

  • 세션 전 인증의 경우 동일한 디렉터리에서 스마트 카드 인증과 로그인 인증을 모두 활성화하는 것은 현재 지원되지 않습니다.

  • 현재는 CAC 및 PIV 카드만 지원됩니다. 다른 유형의 하드웨어 또는 소프트웨어 기반 스마트 카드는 작동할 수 있지만, DCV와 함께 사용할 수 있도록 완전히 테스트되지는 않았습니다.

디렉터리 구성

스마트 카드 인증을 사용하려면 다음과 같은 방법으로 AD Connector 디렉터리와 온프레미스 디렉터리를 구성해야 합니다.

AD Connector 디렉터리 구성

시작하기 전에 AWS Directory Service 관리 안내서의 AD Connector 사전 조건에 설명된 대로 AD Connector 디렉터리를 설정했는지 확인하세요. 특히 방화벽에서 필요한 포트를 열었는지 확인하세요.

AD Connector 디렉터리 구성을 완료하려면 AWS Directory Service 관리 안내서에서 스마트 카드와 함께 사용할 수 있도록 AD Connector에서 mTLS 인증 활성화의 지침을 따르세요.

참고

스마트 카드 인증이 제대로 작동하려면 Kerberos 제한 위임(KCD)이 필요합니다. KCD를 사용하려면 AD Connector 서비스 계정의 사용자 이름 부분이 동일한 사용자의 sAMAccountName과 일치해야 합니다. sAMAccountName 이름은 20자를 초과할 수 없습니다.

온프레미스 디렉터리 구성

AD Connector 디렉터리를 구성하는 것 외에도 온프레미스 디렉터리의 도메인 컨트롤러에 발급되는 인증서에 'KDC Authentication' 확장 키 사용(EKU)이 설정되어 있는지도 확인해야 합니다. 이렇게 하려면 Active Directory 도메인 서비스(AD DS)의 기본 Kerberos 인증 인증서 템플릿을 사용하세요. 도메인 컨트롤러 인증서 템플릿이나 도메인 컨트롤러 인증 인증서 템플릿은 스마트 카드 인증에 필요한 설정이 포함되어 있지 않으므로 사용하지 마세요.

Windows WorkSpaces에 스마트 카드 활성화

Windows에서 스마트 카드 인증을 활성화하는 방법에 대한 일반적인 지침은 Microsoft 설명서의 Guidelines for enabling smart card logon with third-party certification authorities를 참조하세요.

Windows 잠금 화면을 감지하고 세션 연결을 해제하는 방법

화면이 잠겨 있을 때 사용자가 스마트 카드 세션 전 인증이 활성화된 Windows WorkSpaces의 잠금을 해제할 수 있도록 하려면 사용자 세션에서 Windows 잠금 화면 감지를 활성화하면 됩니다. Windows 잠금 화면이 감지되면 WorkSpaces 세션의 연결이 끊기고 사용자는 스마트 카드를 사용하여 WorkSpaces 클라이언트에 다시 연결할 수 있습니다.

그룹 정책 설정을 사용하여 Windows 잠금 화면이 감지될 때 세션 연결 해제를 활성화할 수 있습니다. 자세한 내용은 DCV에서 화면 잠금 시 세션 연결 해제 활성화 또는 비활성화 단원을 참조하십시오.

세션 내 또는 세션 전 인증을 활성화하는 방법

기본적으로 Windows WorkSpaces는 세션 전 인증 또는 세션 내 인증에 스마트 카드 사용을 지원하지 않습니다. 필요한 경우 그룹 정책 설정을 사용하여 Windows WorkSpaces에 대한 세션 내 및 세션 전 인증을 활성화할 수 있습니다. 자세한 내용은 DCV에서 스마트 카드 리디렉션 활성화 또는 비활성화 단원을 참조하십시오.

세션 전 인증을 사용하려면 그룹 정책 설정을 업데이트하는 것 외에도 AD Connector 디렉터리 설정을 통해 세션 전 인증을 활성화해야 합니다. 자세한 내용은 AWS Directory Service관리 안내서에서 스마트 카드와 함께 사용할 수 있도록 AD Connector에서 mTLS 인증 활성화의 지침을 따르세요.

사용자가 브라우저에서 스마트 카드를 사용할 수 있게 하는 방법

사용자가 Chrome 브라우저를 사용하는 경우 스마트 카드를 사용하기 위한 특별한 구성이 필요하지 않습니다.

사용자가 Firefox 브라우저를 사용하는 경우 그룹 정책을 통해 사용자가 Firefox에서 스마트 카드를 사용하도록 할 수 있습니다. GitHub에서 Firefox 그룹 정책 템플릿을 사용할 수 있습니다.

예를 들어 PKCS #11 지원을 위해 Windows에 OpenSC 64비트 버전을 설치한 후 다음 그룹 정책 설정을 사용할 수 있습니다. 여기서 NAME_OF_DEVICE는 PKCS #11 식별에 사용할 값(예: OpenSC) 이고, PATH_TO_LIBRARY_FOR_DEVICE는 PKCS #11 모듈의 경로입니다. 이 경로는 확장자가 .DLL인 라이브러리(예: C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll)를 가리켜야 합니다.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
작은 정보

OpenSC를 사용하는 경우 pkcs11-register.exe 프로그램을 실행하여 OpenSC pkcs11 모듈을 Firefox에 로드할 수도 있습니다. 이 프로그램을 실행하려면 C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe에서 파일을 두 번 클릭하거나 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

OpenSC pkcs11 모듈이 Firefox에 로드되었는지 확인하려면 다음을 수행합니다.

  1. Firefox가 이미 실행 중이면 종료하세요.

  2. Firefox를 엽니다. 오른쪽 상단 모서리의 메뉴 버튼( Firefox menu button )을 선택한 다음 옵션을 선택합니다.

  3. about:preferences 페이지의 왼쪽 탐색 창에서 개인 정보 및 보안을 선택합니다.

  4. 인증서에서 보안 디바이스를 선택합니다.

  5. 디바이스 관리자 대화 상자의 왼쪽 탐색 창에 OpenSC 스마트 카드 프레임워크(0.21)가 표시되며, 이 프레임워크를 선택하면 다음 값이 있을 것입니다.

    모듈: OpenSC smartcard framework (0.21)

    경로: C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll

문제 해결

스마트 카드 문제 해결에 대한 자세한 내용은 Microsoft 설명서의 Certificate and configuration problems를 참조하세요.

문제를 일으킬 수 있는 일반적인 문제는 다음과 같습니다.

  • 슬롯을 인증서에 잘못 매핑했습니다.

  • 스마트 카드에 사용자와 매칭될 수 있는 인증서가 여러 개입니다. 인증서는 다음 기준을 사용하여 매칭됩니다.

    • 인증서의 루트 CA.

    • 인증서의 <KU><EKU> 필드.

    • 인증서 주체의 UPN.

  • 키 사용에 <EKU>msScLogin이 있는 인증서가 여러 개입니다.

일반적으로 스마트 카드의 첫 번째 슬롯에 매핑되는 스마트 카드 인증용 인증서를 하나만 사용하는 것이 가장 좋습니다.

스마트 카드의 인증서 및 키를 관리(예: 인증서 및 키 제거 또는 재매핑)하는 도구는 제조업체마다 다를 수 있습니다. 자세한 내용은 스마트 카드 제조업체에서 제공하는 설명서를 참조하세요.

Linux WorkSpaces에 스마트 카드 활성화

참고

DCV를 사용하는 Linux WorkSpaces에는 현재 다음과 같은 제한 사항이 있습니다.

  • 클립보드, 오디오 입력, 비디오 입력 및 시간대 리디렉션이 지원되지 않습니다.

  • 다중 모니터가 지원되지 않습니다.

  • WorkSpaces Windows 클라이언트 애플리케이션을 사용하여 DCV의 Linux WorkSpaces에 연결해야 합니다.

Linux WorkSpaces에서 스마트 카드를 사용할 수 있도록 하려면 WorkSpaces 이미지에 PEM 형식의 루트 CA 인증서 파일을 포함해야 합니다.

루트 CA 인증서를 받는 방법

여러 가지 방법으로 루트 CA 인증서를 받을 수 있습니다.

  • 서드 파티 인증 기관에서 운영하는 루트 CA 인증서를 사용할 수 있습니다.

  • 웹 등록 사이트(http://ip_address/certsrv 또는 http://fqdn/certsrv)를 사용하여 자체 루트 CA 인증서를 내보낼 수 있습니다. ip_addressfqdn은 루트 인증서 CA 서버의 IP 주소와 정규화된 도메인 이름(FQDN)입니다. 웹 등록 사이트 사용에 대한 자세한 내용은 Microsoft 설명서의 How to export a Root Certification Authority Certificate을 참조하세요.

  • 다음 절차에 따라 Active Directory Certificate Services(AD CS)를 실행하는 루트 CA 인증 서버에서 루트 CA 인증서를 내보낼 수 있습니다. AD CS 설치에 대한 자세한 내용은 Microsoft 설명서의 Install the Certification Authority를 참조하세요.

    1. 관리자 계정을 사용하여 루트 CA 서버에 로그인합니다.

    2. Windows Start 메뉴에서 명령 프롬프트 창을 엽니다(Start > Windows System > Command Prompt).

    3. 다음 명령을 사용하여 루트 CA 인증서를 새 파일로 내보냅니다. 여기서 rootca.cer는 새 파일의 이름입니다.

      certutil -ca.cert rootca.cer

      certutil을 실행하는 방법에 대한 자세한 내용은 Microsoft 설명서의 certutil을 참조하세요.

    4. 다음 OpenSSL 명령을 사용하여 내보낸 루트 CA 인증서를 DER 형식에서 PEM 형식으로 변환합니다. 여기서 rootca는 인증서 이름입니다. OpenSSL에 대한 자세한 내용은 www.openssl.org를 참조하세요.

      openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
Linux WorkSpaces에 루트 CA 인증서를 추가하는 방법

스마트 카드를 활성화하는 데 도움이 되도록 Amazon Linux DCV 번들에 enable_smartcard 스크립트를 추가했습니다. 이 스크립트는 다음 작업을 수행합니다.

  • 루트 CA 인증서를 네트워크 보안 서비스(NSS) 데이터베이스로 가져옵니다.

  • 플러그 가능 인증 모듈(PAM) 인증을 위한 pam_pkcs11 모듈을 설치합니다.

  • WorkSpaces를 프로비저닝하는 동안 pkinit를 활성화하는 것을 포함하여 기본 구성을 수행합니다.

다음 절차는 enable_smartcard 스크립트를 사용하여 Linux WorkSpaces에 루트 CA 인증서를 추가하고 Linux WorkSpaces용 스마트 카드를 활성화하는 방법을 설명합니다.

  1. DCV 프로토콜이 활성화된 새 Linux WorkSpace를 만듭니다. Amazon WorkSpaces 콘솔에서 WorkSpace를 실행할 때 번들 선택 페이지에서 프로토콜로 DCV를 선택한 다음 Amazon Linux 2 퍼블릭 번들 중 하나를 선택해야 합니다.

  2. 새 WorkSpaces에서 다음 명령을 루트로 실행합니다. 여기서 pem-path는 PEM 형식의 루트 CA 인증서 파일 경로입니다.

    /usr/lib/skylight/enable_smartcard --ca-cert pem-path
    참고

    Linux WorkSpaces는 스마트 카드의 인증서가 사용자의 기본 사용자 보안 주체 이름(UPN)에 대해 발급된 것으로 가정합니다. 예를 들면 sAMAccountName@domain이고 여기서 domain은 정규화된 도메인 이름(FQDN)입니다.

    대체 UPN 접미사를 사용하는 방법은 run /usr/lib/skylight/enable_smartcard --help에서 자세한 내용을 알아보세요. 대체 UPN 접미사의 매핑은 각 사용자마다 고유합니다. 따라서 이 매핑은 각 사용자의 WorkSpaces에서 개별적으로 수행되어야 합니다.

  3. (선택 사항) 기본적으로 모든 서비스는 Linux WorkSpaces에서 스마트 카드 인증을 사용할 수 있도록 활성화됩니다. 스마트 카드 인증을 특정 서비스로만 제한하려면 /etc/pam.d/system-auth를 편집해야 합니다. 필요한 경우 pam_succeed_if.soauth 줄의 설명을 제거하고 서비스 목록을 편집하세요.

    auth 줄의 설명을 제거한 후 서비스가 스마트 카드 인증을 사용할 수 있도록 허용하려면 해당 줄을 목록에 추가해야 합니다. 서비스에서 암호 인증만 사용하도록 하려면 목록에서 제거해야 합니다.

  4. WorkSpaces에 대한 추가 사용자 지정을 수행합니다. 예를 들어, 사용자가 Firefox에서 스마트 카드를 사용할 수 있도록 시스템 전체 정책을 추가할 수 있습니다. (Chrome 사용자는 클라이언트에서 직접 스마트 카드를 활성화해야 합니다. 자세한 내용은 Amazon WorkSpaces 사용 설명서의 스마트 카드 지원을 참조하세요.)

  5. WorkSpace에서 사용자 지정 WorkSpace 이미지 및 번들을 생성합니다.

  6. 새로운 사용자 지정 번들을 사용하여 사용자를 위한 WorkSpaces를 시작합니다.

사용자가 Firefox에서 스마트 카드를 사용할 수 있게 하는 방법

Linux WorkSpace 이미지에 SecurityDevices 정책을 추가하여 사용자가 Firefox에서 스마트 카드를 사용할 수 있도록 할 수 있습니다. Firefox에 시스템 전체 정책을 추가하는 방법에 대한 자세한 내용은 GitHub의 Mozilla 정책 템플릿을 참조하세요.

  1. WorkSpaces 이미지를 만드는 데 사용하는 WorkSpaces에서 /usr/lib64/firefox/distribution/에 이름이 policies.json인 새 파일을 생성합니다.

  2. JSON 파일에 다음과 같은 SecurityDevices 정책을 추가합니다. 여기에서 NAME_OF_DEVICEpkcs 모듈을 식별하는 데 사용할 값입니다. 예를 들어, "OpenSC"와 같은 값을 사용할 수 있습니다.

    { "policies": { "SecurityDevices": { "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so" } } }
문제 해결

문제 해결을 위해 pkcs11-tools 유틸리티를 추가하는 것이 좋습니다. 이 유틸리티를 사용하면 다음 작업을 수행할 수 있습니다.

  • 각 스마트 카드를 나열합니다.

  • 각 스마트 카드의 슬롯을 나열합니다.

  • 각 스마트 카드의 인증서를 나열합니다.

문제를 일으킬 수 있는 일반적인 문제는 다음과 같습니다.

  • 슬롯을 인증서에 잘못 매핑했습니다.

  • 스마트 카드에 사용자와 매칭될 수 있는 인증서가 여러 개입니다. 인증서는 다음 기준을 사용하여 매칭됩니다.

    • 인증서의 루트 CA.

    • 인증서의 <KU><EKU> 필드.

    • 인증서 주체의 UPN.

  • 키 사용에 <EKU>msScLogin이 있는 인증서가 여러 개입니다.

일반적으로 스마트 카드의 첫 번째 슬롯에 매핑되는 스마트 카드 인증용 인증서를 하나만 사용하는 것이 가장 좋습니다.

스마트 카드의 인증서 및 키를 관리(예: 인증서 및 키 제거 또는 재매핑)하는 도구는 제조업체마다 다를 수 있습니다. 스마트 카드 작업에 사용할 수 있는 추가 도구는 다음과 같습니다.

  • opensc-explorer

  • opensc-tool

  • pkcs11_inspect

  • pkcs11_listcerts

  • pkcs15-tool

디버그 로깅을 활성화하는 방법

pam_pkcs11pam-krb5 구성 문제를 해결하기 위해 디버그 로깅을 활성화할 수 있습니다.

  1. /etc/pam.d/system-auth-ac 파일에서 auth 작업을 편집하고 pam_pksc11.sonodebug 파라미터를 debug로 변경합니다.

  2. /etc/pam_pkcs11/pam_pkcs11.conf 파일에서 debug = false;debug = true;로 변경합니다. 이 debug 옵션은 각 매퍼 모듈에 개별적으로 적용되므로 pam_pkcs11 섹션 바로 아래 및 적절한 매퍼 섹션(기본값: mapper generic)에서 모두 직접 변경해야 할 수도 있습니다.

  3. /etc/pam.d/system-auth-ac 파일에서 auth 작업을 편집하고 debug 또는 debug_sensitive 파라미터를 pam_krb5.so에 추가합니다.

디버그 로깅을 활성화한 후 시스템은 활성 터미널에서 직접 pam_pkcs11 디버그 메시지를 출력합니다. pam_krb5의 메시지가 /var/log/secure에 로깅됩니다.

스마트 카드 인증서가 매핑되는 사용자 이름을 확인하려면 다음 pklogin_finder 명령을 사용합니다.

sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

메시지가 표시되면 스마트 카드 PIN을 입력합니다. pklogin_finder는 스마트 카드 인증서에 있는 사용자 이름을 NETBIOS\username 형식으로 stdout에 출력합니다. 이 사용자 이름은 WorkSpace 사용자 이름과 일치해야 합니다.

Active Directory 도메인 서비스(AD DS)에서 NetBIOS 도메인 이름은 Windows 2000 이전 버전의 도메인 이름입니다. 항상 그런 것은 아니지만 일반적으로 NetBIOS 도메인 이름은 도메인 이름 시스템(DNS) 도메인 이름의 하위 도메인입니다. 예를 들어 DNS 도메인 이름이 example.com인 경우 NetBIOS 도메인은 대개 EXAMPLE입니다. DNS 도메인 이름이 corp.example.com인 경우 NetBIOS 도메인은 대개 CORP입니다.

예를 들어, corp.example.com 도메인에 있는 mmajor 사용자의 경우 pklogin_finder의 출력은 CORP\mmajor입니다.

참고

"ERROR:pam_pkcs11.c:504: verify_certificate() failed" 메시지를 수신하는 경우 이 메시지는 pam_pkcs11이 스마트 카드에서 사용자 이름 기준과 매칭되는 인증서를 찾았지만 시스템에서 인식되는 루트 CA 인증서에는 연결되지 않았음을 나타냅니다. 이 경우 pam_pkcs11은 위 메시지를 출력한 후 다음 인증서를 시도합니다. 사용자 이름과 매칭되는 인증서를 찾고 인증서가 인식된 루트 CA 인증서에 연결된 경우에만 인증을 허용합니다.

pam_krb5 구성 문제를 해결하려면 다음 명령을 사용하여 디버그 모드에서 수동으로 kinit를 호출할 수 있습니다.

KRB5_TRACE=/dev/stdout kinit -V

이 명령은 Kerberos 티켓 허가 티켓(TGT)을 성공적으로 받을 것입니다. 실패할 경우 명령에 올바른 Kerberos 보안 주체 이름을 명시적으로 추가해 보세요. 예를 들어, corp.example.com 도메인에 있는 mmajor 사용자의 경우 다음 명령을 사용하세요.

KRB5_TRACE=/dev/stdout kinit -V mmajor

이 명령이 성공하면 WorkSpaces 보안 주체 이름을 Kerberos 보안 주체 이름으로 매핑할 때 문제가 발생할 가능성이 큽니다. /etc/krb5.conf 파일의 [appdefaults]/pam/mappings 섹션을 확인하세요.

이 명령은 성공하지 못했지만 암호 기반 kinit 명령은 성공하면 /etc/krb5.conf 파일에서 pkinit_ 관련 구성을 확인하세요. 예를 들어, 스마트 카드에 둘 이상의 인증서가 들어 있는 경우 pkinit_cert_match를 변경해야 할 수 있습니다.