기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SCEP용 커넥터에 대한 MDM 시스템 구성
<a name="using-connector-for-scep-with-mdm"></a>

단순 인증서 등록 프로토콜(SCEP)은 인증서 등록 및 갱신에 사용되는 표준 프로토콜입니다. SCEP용 커넥터는에서 SCEP 클라이언트 AWS Private Certificate Authority 로 인증서를 자동으로 발급하는 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 기반 SCEP 서버입니다. 커넥터를 생성할 때 SCEP용 커넥터는 SCEP 클라이언트가 인증서를 요청할 수 있는 HTTPS 엔드포인트를 제공합니다. 클라이언트는 서비스에 대한 인증서 서명 요청(CSR)의 일부로 포함된 챌린지 암호를 사용하여 인증합니다. Connector for SCEP를 Microsoft Intune, Omnissa Workspace ONE, Jamf Pro 등 널리 사용되는 모바일 디바이스 관리(MDM) 시스템과 함께 사용하여 모바일 디바이스를 등록할 수 있습니다. SCEP를 지원하는 모든 클라이언트 또는 엔드포인트에서 작동하도록 설계되었습니다.

SCEP용 커넥터는 범용 커넥터와 Microsoft Intune용 SCEP용 커넥터라는 두 가지 유형의 커넥터를 제공합니다. 다음 섹션에서는 작동 방식과 이를 사용하도록 MDM 시스템을 구성하는 방법을 설명합니다.

## 범용 커넥터
<a name="connector-for-scep-how-it-works-general-purpose"></a>

범용 커넥터는 전용 커넥터가 있는 Microsoft Intune을 제외하고 SCEP를 지원하는 모바일 디바이스 엔드포인트와 함께 작동하도록 설계되었습니다. Jamf Pro 또는 Omnissa Workspace ONE과 같은 범용 커넥터를 사용하면 SCEP 챌린지 암호를 관리할 수 있습니다. 다음 다이어그램은 모바일 디바이스 관리(MDM) 시스템을 예로 사용하지만 다른 SCEP 지원 시스템 또는 디바이스에도 동일한 기능이 적용됩니다.

![\[SCEP용 커넥터 범용 커넥터의 작동 방식을 설명합니다.\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/images/GenPurpose.jpg)


1. MDM 시스템(또는 기타 디바이스 또는 시스템)은 SCEP 프로파일을 모바일 클라이언트로 전송합니다. SCEP 프로파일에는 인증서 유효 기간, 챌린지 암호 및 인증서 발급과 관련된 기타 정보와 같이 인증서 프로파일을 정의하는 구성 파라미터가 포함되어 있습니다.

1. 모바일 클라이언트는 인증서를 요청하고 챌린지 암호가 포함된 인증서 서명 요청(CSR)도 전송합니다.

1. SCEP용 커넥터는 챌린지 암호를 검증합니다. 유효한 경우 서비스는 모바일 클라이언트를 AWS Private CA 대신하여에 인증서를 요청합니다.

1. AWS Private CA 는 인증서를 발급하고 SCEP용 커넥터로 전송합니다.

1. SCEP용 커넥터는 발급된 인증서를 모바일 클라이언트로 전송합니다.

## AWS Private CA Microsoft Intune용 SCEP용 커넥터
<a name="connector-for-scep-how-it-works-intune"></a>

AWS Private CA SCEP for Microsoft Intune용 커넥터는 Microsoft Intune과 함께 사용하도록 설계되었습니다. SCEP for Microsoft Intune 커넥터 유형을 사용하면 Microsoft Intune을 사용하여 SCEP 챌린지 암호를 관리할 수 있습니다. Microsoft Intune에서 SCEP용 커넥터 사용에 대한 자세한 내용은 섹션을 참조하세요[SCEP용 커넥터용 Microsoft Intune 구성Microsoft Intune 구성](connector-for-scep-intune.md).

Microsoft Intune에서 SCEP용 커넥터를 사용하려면 Microsoft Intune API를 사용하여 특정 기능을 활성화하고 유효한 Microsoft Intune 라이선스를 보유해야 합니다. [Microsoft Intune® 앱 보호 정책](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)도 검토해야 합니다.

![\[SCEP for Microsoft Intune용 커넥터의 작동 방식.\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/images/Intune.jpg)


1. Microsoft Intune은 SCEP 프로파일을 모바일 클라이언트로 전송합니다. 프로필에는 모바일 클라이언트가 CSR에 배치하는 암호화된 챌린지 암호가 포함되어 있습니다.

1. 모바일 클라이언트는 인증서를 요청하고 CSR을 SCEP용 커넥터로 전송합니다.

1. SCEP용 커넥터는 권한 부여를 위해 CSR을 Microsoft Intune에 전송합니다.

1. Microsoft Intune은 CSR에서 챌린지 암호를 해독합니다. 유효한 경우 Microsoft Intune은 SCEP용 커넥터에 승인을 전송하여 모바일 클라이언트에 인증서를 발급합니다.

1. SCEP용 커넥터는 모바일 클라이언트를 AWS Private CA 대신하여에서 인증서를 요청합니다.

1. AWS Private CA 는 인증서를 발급하고 SCEP용 커넥터로 전송합니다.

1. SCEP용 커넥터는 발급된 인증서를 모바일 클라이언트로 전송합니다.

**Topics**
+ [범용 커넥터](#connector-for-scep-how-it-works-general-purpose)
+ [AWS Private CA Microsoft Intune용 SCEP용 커넥터](#connector-for-scep-how-it-works-intune)
+ [SCEP용 커넥터용 Jamf Pro 구성](connector-for-scep-general-purpose.md)
+ [SCEP용 커넥터용 Microsoft Intune 구성](connector-for-scep-intune.md)
+ [SCEP용 커넥터용 Omnissa Workspace ONE 구성](connector-for-scep-omnissa.md)

# SCEP용 커넥터용 Jamf Pro 구성
<a name="connector-for-scep-general-purpose"></a>

Jamf Pro 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 범용 커넥터를 생성한 후 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다.

## SCEP용 커넥터용 Jamf Pro 구성
<a name="connector-for-scep-jamf-pro"></a>

이 가이드에서는 SCEP용 커넥터와 함께 사용하도록 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다. Jamf Pro 및 SCEP용 커넥터를 성공적으로 구성하면 관리형 디바이스에 인증서를 발급 AWS Private CA 할 수 있습니다.

### Jamf Pro 요구 사항
<a name="connector-for-scep-jamf-pro-requirements"></a>

Jamf Pro 구현은 다음 요구 사항을 충족해야 합니다.
+ Jamf Pro에서 **인증서 기반 인증 활성화** 설정을 활성화해야 합니다. 이 설정에 대한 세부 정보는 Jamf Pro 설명서의 Jamf Pro [보안 설정](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) 페이지에서 확인할 수 있습니다.

### 1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

지문은 다른 시스템 또는 애플리케이션과 신뢰를 구축할 때 CA의 ID를 확인하는 데 사용할 수 있는 프라이빗 CA의 고유 식별자입니다. 인증 기관(CA) 지문을 통합하면 관리형 디바이스가 연결 중인 CA를 인증하고 예상 CA에서만 인증서를 요청할 수 있습니다. Jamf Pro에서 CA 지문을 사용하는 것이 좋습니다.

**프라이빗 CA에 대한 지문을 생성하려면**

1.  AWS Private CA 콘솔에서 또는 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)를 사용하여 프라이빗 CA 인증서를 가져옵니다. `ca.pem` 파일로 저장합니다.

1. [OpenSSL 명령줄 유틸리티](https://wiki.openssl.org/index.php/Command_Line_Utilities)를 설치합니다.

1. OpenSSL에서 다음 명령을 실행하여 지문을 생성합니다.

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### 2단계: Jamf Pro에서 외부 CA AWS Private CA 로 구성
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

SCEP용 커넥터를 생성한 후에는 Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 설정해야 합니다. 를 글로벌 외부 CA AWS Private CA 로 설정할 수 있습니다. 또는 Jamf Pro 구성 프로파일을 사용하여 조직의 디바이스 하위 집합에 인증서 발급과 같은 다양한 사용 사례에 AWS Private CA 대해와 다른 인증서를 발급할 수 있습니다. Jamf Pro 구성 프로파일 구현에 대한 지침은이 문서의 범위를 벗어납니다.

**Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 구성하려면**

1. Jamf Pro 콘솔에서 설정 > **글로벌** > **PKI 인증서**로 이동하여 **PKI 인증서** **설정** 페이지로 이동합니다.

1. **관리 인증서 템플릿** 탭을 선택합니다.

1. **외부 CA**를 선택합니다.

1. **편집**을 선택합니다.

1. (선택 사항) **구성 프로필에 대해 Jamf Pro를 SCEP 프록시로 활성화를** 선택합니다. Jamf Pro 구성 프로파일을 사용하여 특정 사용 사례에 맞는 다양한 인증서를 발급할 수 있습니다. Jamf Pro에서 구성 프로파일을 사용하는 방법에 대한 지침은 [Jamf Pro 설명서의 구성 프로파일에 대한 SCEP 프록시로 Jamf Pro 활성화를 참조하세요](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2).

1. **컴퓨터 및 모바일 디바이스 등록에 SCEP 지원 외부 CA 사용을** 선택합니다.

1. (선택 사항) **컴퓨터 및 모바일 디바이스 등록을 위해 Jamf Pro를 SCEP 프록시로 사용을** 선택합니다. 프로파일 설치에 실패하는 경우 섹션을 참조하세요[프로파일 설치 실패 문제 해결](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).

1. 커넥터 세부 정보에서 SCEP용 커넥터 **SCEP URL**을 복사하여 Jamf Pro의 **URL** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져오고 응답에서 `Endpoint` 값을 복사할 수 있습니다.

1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.

1. 챌린지 유형으로 **정적**을 선택합니다.

1. 커넥터에서 챌린지 암호를 복사하여 **챌린지** 필드에 붙여 넣습니다. 커넥터에는 여러 개의 챌린지 암호가 있을 수 있습니다. 커넥터의 챌린지 암호를 보려면 AWS 콘솔에서 커넥터의 세부 정보 페이지로 이동하여 **암호 보기** 버튼을 선택합니다. 또는 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)(GetChallengePassword)를 호출하여 커넥터의 챌린지 암호를 가져오고 응답에서 `Password` 값을 복사할 수 있습니다. 챌린지 암호 사용에 대한 자세한 내용은 섹션을 참조하세요[SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해고려 사항 및 제한 사항](c4scep-considerations-limitations.md).

1. 챌린지 암호를 **챌린지 확인** 필드에 붙여 넣습니다.

1. **키 크기를** 선택합니다. 키 크기는 2048 이상인 것이 좋습니다.

1. (선택 사항) **디지털 서명으로 사용을** 선택합니다. 디바이스에 Wi-Fi 및 VPN과 같은 리소스에 대한 보안 액세스 권한을 부여하려면 인증 목적으로이 옵션을 선택합니다.

1. (선택 사항) **키 암호화에 사용을** 선택합니다.

1. (선택 사항 - 권장) **지문** 필드에 16진수 문자열을 입력합니다. 관리형 디바이스가 CA를 확인하고 CA에서만 인증서를 요청할 수 있도록 CA 지문을 추가하는 것이 좋습니다. 프라이빗 CA에 대한 지문을 생성하는 방법에 대한 지침은 섹션을 참조하세요[1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기](#connector-for-scep-jamf-pro-ca-fingerprint).

1. **저장**을 선택합니다.

### 3단계: 구성 프로필 서명 인증서 설정
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Jamf Pro를 SCEP용 커넥터와 함께 사용하려면 커넥터와 연결된 프라이빗 CA에 대한 서명 및 CA 인증서를 제공해야 합니다. 두 인증서가 모두 포함된 프로필 서명 인증서 키 스토어를 Jamf Pro에 업로드하여이 작업을 수행할 수 있습니다.

다음은 인증서 키 스토어를 생성하여 Jamf Pro에 업로드하는 단계입니다.
+ 내부 프로세스를 사용하여 인증서 서명 요청(CSR)을 생성합니다.
+ 커넥터와 연결된 프라이빗 CA에서 서명한 CSR을 가져옵니다.
+ 프로필 서명 인증서와 CA 인증서를 모두 포함하는 프로필 서명 인증서 키 스토어를 생성합니다.
+ 인증서 키 스토어를 Jamf Pro에 업로드합니다.

다음 단계에 따라 디바이스가 프라이빗 CA에서 서명한 구성 프로파일을 검증하고 인증하여 Jamf Pro에서 SCEP용 커넥터를 사용할 수 있도록 할 수 있습니다.

1. 다음 예제에서는 OpenSSL 및를 사용하지 AWS Certificate Manager만 원하는 방법을 사용하여 인증서 서명 요청을 생성할 수 있습니다.

------
#### [ AWS Certificate Manager console ]

**ACM 콘솔을 사용하여 프로필 서명 인증서를 생성하려면**

   1. ACM을 사용하여 [프라이빗 PKI 인증서를 요청합니다](). 다음을 포함합니다.
      + **유형** - MDM 시스템의 SCEP 인증 기관 역할을 하는 것과 동일한 프라이빗 CA 유형을 사용합니다.
      + **인증 기관 세부 정보** 섹션에서 **인증 기관** 메뉴를 선택하고 Jamf Pro의 CA 역할을 하는 프라이빗 CA를 선택합니다.
      + **도메인 이름** - 인증서에 포함할 도메인 이름을 제공합니다. 와 같은 정규화된 도메인 이름(FQDN) `www.example.com`또는와 같은 베어 또는 정점 도메인 이름`example.com`( 제외)을 사용할 수 있습니다`www.`.

   1. ACM을 사용하여 이전 단계에서 생성한 [프라이빗 인증서를 내](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)보냅니다. 인증서, 인증서 체인 및 암호화된 키에 대한 **파일 내보내기를** 선택합니다. **암호**는 다음 단계에서 필요하므로 준비해 둡니다.

   1. 터미널에서 내보낸 파일이 포함된 폴더에서 다음 명령을 실행하여 이전 단계에서 생성한 암호로 인코딩된 `output.p12` 파일에 PKCS\$112 번들을 씁니다.

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:your-passphrase \
        -passout pass:your-passphrase
      ```

------
#### [ AWS Certificate Manager CLI ]

**ACM CLI를 사용하여 프로필 서명 인증서를 생성하려면**
   + 다음 명령은 ACM에서 인증서를 생성한 다음 파일을 PKCS\$112 번들로 내보내는 방법을 보여줍니다.

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <any valid domain name, such as test.name> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name example \
       -out output.p12 \
       -passin pass:passphrase \
       -passout pass:passphrase
     ```

------
#### [ OpenSSL CLI ]

**OpenSSL CLI를 사용하여 프로필 서명 인증서를 생성하려면**

   1. OpenSSL을 사용하여 다음 명령을 실행하여 프라이빗 키를 생성합니다.

      ```
      openssl genrsa -out local.key 2048
      ```

   1. 인증서 서명 요청(CSR) 생성:

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. 를 사용하여 이전 단계에서 생성한 CSR을 사용하여 서명 인증서를 AWS CLI발급합니다. 다음 명령을 실행하고 응답에 인증서 ARN을 기록해 둡니다.

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. 다음 명령을 실행하여 서명 인증서를 가져옵니다. 이전 단계의 인증서 ARN을 지정합니다.

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. 다음 명령을 실행하여 CA 인증서를 가져옵니다.

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. OpenSSL을 사용하여 서명 인증서 키 스토어를 p12 형식으로 출력합니다. 4단계와 5단계에서 생성한 CRT 파일을 사용합니다.

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. 메시지가 표시되면 내보내기 암호를 입력합니다. 이 암호는 Jamf Pro에 제공할 키 스토어 암호입니다.

------

1. Jamf Pro에서 **관리 인증서 템플릿**으로 이동하여 **외부 CA** 창으로 이동합니다.

1. **외부 CA** 창 하단에서 **서명 및 CA 인증서 변경을** 선택합니다.

1. 화면의 지침에 따라 외부 CA에 대한 서명 및 CA 인증서를 업로드합니다.

### 4단계: (선택 사항) 사용자 시작 등록 중 인증서 설치
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

클라이언트 디바이스와 프라이빗 CA 간에 신뢰를 설정하려면 디바이스가 Jamf Pro에서 발급한 인증서를 신뢰하는지 확인해야 합니다. 등록 프로세스 중에 인증서를 요청할 때 Jamf Pro의 [사용자 시작 등록 설정을](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) 사용하여 클라이언트 디바이스에 AWS Private CA의 CA 인증서를 자동으로 설치할 수 있습니다.

### 프로파일 설치 실패 문제 해결
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

**컴퓨터 및 모바일 디바이스 등록을 위한 SCEP 프록시로 Jamf Pro 사용을** 활성화한 후 프로파일 설치에 실패하는 경우 디바이스 로그를 참조하고 다음을 시도하세요.


| 디바이스 로그 오류 메시지 | 완화 | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | 등록을 시도하는 동안이 오류 메시지가 표시되면 등록을 다시 시도하세요. 등록에 성공하려면 몇 번의 시도가 필요할 수 있습니다. | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | 챌린지 암호가 잘못 구성되었을 수 있습니다. Jamf Pro의 챌린지 암호가 커넥터의 챌린지 암호와 일치하는지 확인합니다. | 

# SCEP용 커넥터용 Microsoft Intune 구성
<a name="connector-for-scep-intune"></a>

Microsoft Intune 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP for Microsoft Intune용 커넥터를 생성한 후 Microsoft Intune을 구성하는 방법에 대한 지침을 제공합니다.

## 사전 조건
<a name="connector-for-scep-intune-prerequisites"></a>

Microsoft Intune용 SCEP용 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
+ Entra ID를 생성합니다.
+ Microsoft Intune 테넌트를 생성합니다.
+ Microsoft Entra ID에서 앱 등록을 생성합니다. [앱 등록에 대한 애플리케이션 수준 권한을 관리하는 방법에 대한 자세한 내용은 Microsoft Entra 설명서의 Microsoft Entra ID에서 앱의 요청된 권한 업데이트를](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) 참조하세요. 앱 등록에는 다음 권한이 있어야 합니다.
  + **Intune**에서 **scep\$1challenge\$1provider**를 설정합니다.
  + **Microsoft Graph**의 경우 **Application.Read.All** 및 **User.Read**를 설정합니다.
+ 앱 등록 관리자 동의에서 애플리케이션을 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서의 [애플리케이션에 테넌트 전체 관리자 동의 부여](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)를 참조하세요.
**작은 정보**  
앱 등록을 생성할 때 **애플리케이션(클라이언트) ID**와 **디렉터리(테넌트) ID 또는 기본 도메인을** 기록해 둡니다. Microsoft Intune용 SCEP용 커넥터를 생성할 때 이러한 값을 입력합니다. 이러한 값을 가져오는 방법에 대한 자세한 내용은 [Microsoft Entra 설명서의 리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 보안 주체 생성을](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) 참조하세요.

## 1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여
<a name="connector-for-scep-intune-configure-pca"></a>

SCEP for Microsoft Intune용 커넥터를 생성한 후에는 SCEP용 커넥터가 Microsoft Intune과 통신할 수 있도록 Microsoft 앱 등록에 따라 페더레이션 자격 증명을 생성해야 합니다.

**Microsoft Intune에서 외부 CA AWS Private CA 로를 구성하려면**

1. Microsoft Entra ID 콘솔에서 **앱 등록**으로 이동합니다.

1. SCEP용 커넥터와 함께 사용하도록 생성한 애플리케이션을 선택합니다. 클릭하는 애플리케이션의 애플리케이션(클라이언트) ID는 커넥터를 생성할 때 지정한 ID와 일치해야 합니다.

1. **관리**형 드롭다운 메뉴에서 **인증서 및 보안 암호를** 선택합니다.

1. **페더레이션 자격 증명** 탭을 선택합니다.

1. **자격 증명 추가를** 선택합니다.

1. **페더레이션 자격 증명 시나리오** 드롭다운 메뉴에서 **기타 발급자를** 선택합니다.

1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 발급**자 값을 복사하여 **발급자** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Issuer` 값을 복사할 수 있습니다.

1. **유형**에서 **명시적 주체 식별자**를 선택합니다.

1. 커넥터에서 **OpenID 제목** 값을 복사하여 **값** 필드에 붙여 넣습니다. AWS 콘솔의 커넥터 세부 정보 페이지에서 OpenID 발급자 값을 볼 수 있습니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Audience` 값을 복사할 수 있습니다.

1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.

1. (선택 사항) 설명 필드에 **설명을** 입력합니다.

1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 대상** 값을 복사하여 **대상** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Subject` 값을 복사할 수 있습니다.

1. **추가**를 선택합니다.

## 2단계: Microsoft Intune 구성 프로필 설정
<a name="connector-for-scep-intune-config-profile"></a>

Microsoft Intune AWS Private CA 을 호출할 수 있는 권한을 부여한 후에는 Microsoft Intune을 사용하여 디바이스가 인증서 발급을 위해 SCEP용 커넥터에 연결하도록 지시하는 Microsoft Intune 구성 프로파일을 생성해야 합니다.

1. 신뢰할 수 있는 인증서 구성 프로필을 생성합니다. 신뢰를 구축하려면 SCEP용 커넥터와 함께 사용 중인 체인의 루트 CA 인증서를 Microsoft Intune에 업로드해야 합니다. 신뢰할 수 있는 인증서 구성 프로필을 생성하는 방법에 대한 자세한 내용은 [Microsoft Intune 설명서의 Microsoft Intune에 대한 신뢰할 수 있는 루트 인증서 프로필을](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) 참조하세요.

1. 새 인증서가 필요할 때 디바이스가 커넥터를 가리키도록 SCEP 인증서 구성 프로파일을 생성합니다. 구성 프로필의 **프로필 유형은** **SCEP 인증서**여야 합니다. 구성 프로필의 루트 인증서의 경우 이전 단계에서 생성한 신뢰할 수 있는 인증서를 사용해야 합니다.

   **SCEP 서버 URLs** 경우 커넥터 세부 정보에서 **SCEP URL**을 복사하여 **SCEP 서버 URLs** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html)를 호출하여 URL을 가져온 다음 응답에서 `Endpoint` 값을 복사할 수 있습니다. Microsoft Intune에서 구성 프로파일을 생성하는 방법에 대한 지침은 Microsoft Intune 설명서의 Microsoft [Intune에서 SCEP 인증서 프로파일 생성 및 할당](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)을 참조하세요.
**참고**  
비 Mac OS 및 iOS 디바이스의 경우 구성 프로필에서 유효 기간을 설정하지 않으면 SCEP용 커넥터는 유효 기간이 1년인 인증서를 발급합니다. 구성 프로필에서 확장 키 사용(EKU) 값을 설정하지 않으면 SCEP용 커넥터는 로 설정된 EKU로 인증서를 발급합니다`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`. macOS 또는 iOS 디바이스의 경우 Microsoft Intune은 구성 프로필의 `ExtendedKeyUsage` 또는 `Validity` 파라미터를 준수하지 않습니다. 이러한 디바이스의 경우 SCEP용 커넥터는 클라이언트 인증을 통해 이러한 디바이스에 1년 유효 기간이 있는 인증서를 발급합니다.

## 3단계: SCEP용 커넥터에 대한 연결 확인
<a name="connector-for-scep-verify"></a>

SCEP용 커넥터 엔드포인트를 가리키는 Microsoft Intune 구성 프로파일을 생성한 후 등록된 디바이스가 인증서를 요청할 수 있는지 확인합니다. 확인하려면 정책 할당 실패가 없는지 확인합니다. 확인하려면 Intune 포털에서 **디바이스** > **디바이스 관리** > **구성**으로 이동하여 **구성 정책 할당 실패** 아래에 나열된 항목이 없는지 확인합니다. 있는 경우 이전 절차의 정보로 설정을 확인합니다. 설정이 올바르고 여전히 장애가 있는 경우 [모바일 디바이스에서 사용 가능한 데이터 수집](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)을 참조하세요.

디바이스 등록에 대한 자세한 내용은 Microsoft Intune 설명서의 [디바이스 등록이란 무엇입니까?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)를 참조하세요.

# SCEP용 커넥터용 Omnissa Workspace ONE 구성
<a name="connector-for-scep-omnissa"></a>

를 Omnissa Workspace ONE UEM(통합 엔드포인트 관리) 시스템에서 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP 커넥터를 생성한 후 Omnissa Workspace ONE을 구성하는 방법에 대한 지침을 제공합니다 AWS.

## 사전 조건
<a name="prerequisites"></a>

Omnissa Workspace ONE용 SCEP 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
+  AWS 콘솔에서 프라이빗 CA를 생성합니다. 자세한 내용은 [에서 프라이빗 CA 생성 AWS Private CA](create-CA.md) 단원을 참조하십시오.
+ 범용 SCEP 커넥터를 생성합니다. 자세한 내용은 [커넥터 생성을 참조하세요](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ 조직 그룹 ID가 있는 활성 Omnissa Workspace ONE 환경 관리자 계정이 있어야 합니다.
+ Apple 디바이스를 등록하는 경우 MDM용 Apple 푸시 알림 서비스(APNs)를 구성합니다. 자세한 내용은 Omnissa 설명서의 [APNs 인증서를](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) 참조하세요.

## 1단계: Omnissa Workspace ONE에서 인증 기관 및 템플릿 정의
<a name="step-1-define-certificate-authority-and-template"></a>

 AWS 콘솔에서 프라이빗 CA 및 SCEP 커넥터를 생성한 후 Omnissa Workspace ONE에서 인증 기관 및 템플릿을 정의합니다.

**인증 기관 AWS Private CA 으로 추가**

1. **시스템** 메뉴에서 **엔터프라이즈 통합**을 선택한 다음 **인증 기관**을 선택합니다.

1. **\$1 ADD**를 선택하고 다음 정보를 제공합니다.
   + **이름**: AWS-Private-CA.
   + **설명**: 디바이스 인증서 발급에 AWS Private CA 대한 설명입니다.
   + **권한 유형**: **일반 SCEP**를 선택합니다.
   + **SCEP URL**: SCEP URL을 입력합니다 AWS Private CA.
   + **챌린지 유형**: **정적**을 선택합니다.
   + **정적 챌린지**: AWS 콘솔의 SCEP용 커넥터 구성에서 SCEP 정적 챌린지 암호를 입력합니다.
   + **재시도 제한 시간** 및 **최대 재시도** 횟수 값을 입력합니다.

1. 구성을 저장합니다.

**인증서 템플릿 생성**

1. **시스템** 메뉴에서 **엔터프라이즈 통합**을 선택하고 **인증 기관**을 선택한 다음 **템플릿을** 선택합니다.

1. **템플릿 추가를** 선택하고 다음 정보를 제공합니다.
   + **템플릿 이름**: Device-Cert-Template.
   + **인증 기관**: **AWS-Private-CA**를 선택합니다.
   + **제목 이름**: 사용자 지정 가능한 필드입니다. 속성 목록에서 변수 값을 선택할 수 있습니다. 예: CN=\$1DeviceReportedName\$1, O=\$1DevicePlatform\$1, OU=\$1CustomAttribute1\$1
   + **프라이빗 키 길이**: 2048비트.
   + **프라이빗 키 유형**: 필요에 따라 **서명** 및 **암호화를** 선택합니다.
   + **자동 갱신**: 활성화됨/비활성화됨(필요에 따라 다름).

1. 템플릿의 이름을 (으)로 지정합니다.

## 2단계: Omnissa Workspace ONE UEM 프로파일 구성 설정
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

디바이스를 SCEP용 커넥터로 전달하여 인증서를 발급하도록 Omnissa Workspace ONE UEM에서 프로파일을 생성합니다.

**인증서 배포를 위한 SCEP 디바이스 프로파일 생성**

1. **리소스** 메뉴에서 **프로필 및 기준을** 선택한 다음 **프로필을** 선택합니다.

1. **추가**를 선택한 다음 **프로필 추가**를 선택합니다.

1. 디바이스 플랫폼(**Android**, **iOS**, **macOS**, **Windows**)을 선택합니다.

1. **관리 유형**과 **컨텍스트**를 적절하게 설정합니다.

1. **이름**: Device-Cert-Profile을 설정합니다.

1. **SCEP 페이로드**로 스크롤합니다.

1. **SCEP**를 선택한 다음 **\$1추가**를 선택합니다.

1. 다음 구성을 사용합니다.
   + **SCEP**:
     + **자격 증명 소스**에서 **정의된 인증 기관**(기본값)을 선택합니다.
     + **인증 기관에서** **AWS-Private-CA**를 선택합니다.
     + **인증서 템플릿**에서 1단계에 정의된 **Device-Cert-Template**을 선택합니다.

1. **다음을** 선택하고 **할당** 섹션의 목록에서 적절한 스마트 그룹(디바이스의 할당 그룹)을 선택합니다.

1. **할당 유형을** **자동**으로 선택하여 자동 갱신을 활성화합니다.

1. 프로필을 저장하고 게시합니다.

**참고**  
자세한 내용은 Omnissa 설명서의 [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)를 참조하세요.

## 3단계: Omnissa Workspace ONE에 디바이스 등록
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**스마트 그룹 생성 또는 확인**

1. **그룹 및 설정**에서 **그룹을** 선택한 다음 **할당 그룹을** 선택합니다.

1. POC-Devices 스마트 그룹을 생성하거나 편집합니다.
   + **이름**: POC-Devices.
   + **디바이스 유형**: **모두** 또는 특정 플랫폼(예: Android 또는 iOS)을 선택합니다.
   + **기준**: **UserGroup**, **플랫폼 및 OS**, **OEM 및 모델을** 사용하여 대상 디바이스를 그룹화하는 기준을 지정합니다.
   + **소유권**: 개인 또는 회사 디바이스의 경우 **모두를** 선택합니다.

1. 대상 디바이스를 저장하고 **미리 보기** 탭에 나타나는지 확인합니다.

### 수동 디바이스 등록
<a name="manual-device-enrollment"></a>

Android  
+ Google Play에서 **Workspace ONE Intelligent Hub** 앱을 다운로드합니다.
+ 앱을 열고 등록 URL을 입력하거나 QR 코드를 스캔합니다.
+ 로그인하고 프롬프트에 따라 MDM 관리형 디바이스로 등록합니다.

iOS/macOS  
+ 디바이스에서 **Safari**를 열고 등록 URL(예: https://<WorkspaceONEUEMHostname>/enroll)로 이동합니다.
+ 사용자 자격 증명으로 로그인합니다.
+ App Store에서 **Workspace ONE Intelligent Hub** 앱을 다운로드하여 설치합니다.
+ 프롬프트에 따라 **설정** > **일반** > **VPN 및 디바이스 관리** > 프로필 > 설치에서 MDM **프로필을** **설치합니다**.

Windows  
+ **Workspace ONE 서버 또는 Microsoft Store에서 Workspace ONE Intelligent Hub**를 다운로드합니다.
+ 등록 URL 및 자격 증명을 사용하여 Hub를 통해 등록합니다.

디바이스 > **목록 보기** > **추가 작업** > 스마트 그룹에 할당에서 등록된 **디바이스**를 POC-디바이스 **스마트 그룹에 할당**합니다.

자세한 내용은 Omnissa 설명서의 [자동 디바이스 등록](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)을 참조하세요.

**등록 확인**

1. Omnissa Workspace ONE UEM 콘솔에서 **디바이스**로 이동한 다음 **목록 보기**로 이동합니다.

1. 등록된 디바이스가 등록됨 상태로 표시되는지 확인합니다****.

1. 디바이스 **세부 정보의** 그룹 탭에서 디바이스가 POC-Devices 스마트 **그룹에** 있는지 확인합니다.

## 4단계: 인증서 발급
<a name="step-4-certificate-issuance"></a>

**인증서 발급 트리거**

1. **디바이스** **목록 보기**에서 등록된 디바이스를 선택합니다.

1. **쿼리** 버튼에서를 선택하여 체크인 메시지를 표시합니다.

1. Device-Cert-Profile은를 통해 인증서를 발급해야 합니다 AWS Private CA.

**인증서 설치 확인**

Android  
**설정을** 선택한 다음 **보안을** 선택하고 **신뢰할 수 있는 자격 증명을** 선택한 다음 **사용자를** 선택하여 인증서를 확인합니다.

iOS  
**설정**으로 이동한 다음 **일반**, **VPN 및 디바이스 관리**, **구성 프로필을** 차례로 선택합니다. AWS-Private-CA의 인증서가 있는지 확인합니다.

macOS  
**키체인 액세스를** 연 다음 **시스템 키체인**을 열고 인증서를 확인합니다.

Windows  
**certmgr.msc**, **Personal**, **Certificates**를 차례로 열어 인증서를 확인합니다.

## 문제 해결
<a name="troubleshooting"></a>

SCEP 오류(예: "22013 - SCEP 서버가 잘못된 응답을 반환함")  
+ Workspace ONE에서 SCEP URL과 정적 챌린지 암호가 일치하는지 확인합니다 AWS Private CA.
+ SCEP 엔드포인트 연결 테스트: curl <SCEP\$1URL>.
+  AWS CloudTrail 로그에 AWS Private CA 오류(`IssueCertificate`예: 실패)가 있는지 확인합니다.

APNs(iOS/macOS)  
+ APNs가 유효하고 올바른 조직 그룹에 할당되었는지 확인합니다.
+ APNs 연결 테스트: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

프로파일 설치 실패  
+ 디바이스가 올바른 스마트 그룹(**디바이스**, **목록 보기**, **그룹**)에 있는지 확인합니다.
+ 프로파일 동기화 강제 적용: **추가 작업**, **전송**, **프로파일 목록**.

로그  
+ Android: **Logcat** 또는 Workspace ONE 로그를 사용합니다.
+ iOS/macOS: 로그 표시 --predicate 'process == 'mdmclient'' --last 1h(Xcode/Apple Configurator 사용).
+ Windows: **이벤트 뷰어**, **애플리케이션 및 서비스 로그**, **Microsoft-Windows-DeviceManagement**.
+ Workspace ONE UEM: **모니터링**, **보고서 및 분석**, **이벤트**, **디바이스 이벤트**.

의 SCEP 모니터링용 커넥터에 대한 자세한 내용은 [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) AWS참조하세요.

## 보안 고려 사항
<a name="security-considerations"></a>
+ SCEP URLs과 보안 암호를 안전하게 저장합니다. 자세한 내용은 [AWS Secrets Manager 서비스를](https://docs.aws.amazon.com/secretsmanager/) 참조하세요.
+ 스마트 그룹 기준을 대상 디바이스로만 제한합니다.
+ Apple 푸시 알림(APNs) 인증서를 정기적으로 갱신합니다(1년간 유효).
+ 개념 증명 프로젝트의 짧은 인증서 유효 기간을 설정하여 위험을 최소화합니다.
+ 개인용 디바이스의 경우 정리에서 모든 프로필과 인증서를 제거해야 합니다.

SCEP 커넥터를 사용하여 Omnissa Workspace ONE UEM 및 CA 통합을 구성하는 방법에 대한 자세한 내용은 [Omnissa Workspace ONE의 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.) 설명서를 참조하세요.