본문 바로가기
운영체제 (LNX,WIN)

사용자 단말기 관리 시 보안 강화를 위한 사설 인증서 생성 및 배포

by 날으는물고기 2024. 4. 15.

사용자 단말기 관리 시 보안 강화를 위한 사설 인증서 생성 및 배포

사설 인증서를 생성하고 관리하는 과정에서 필요한 명령어와 절차입니다. 이 예시에서는 OpenSSL을 사용하여 사설 CA(인증 기관) 설정 및 인증서 관리 과정을 설명하겠습니다.

OpenSSL 설치

먼저 OpenSSL이 설치되어 있어야 합니다. 대부분의 Linux 배포판에서는 OpenSSL이 기본적으로 설치되어 있습니다. Windows 사용자의 경우 별도로 설치가 필요할 수 있습니다.

1. 사설 CA 설정

사설 CA를 설정하기 위해서는 루트 인증서와 키를 생성해야 합니다.

  1. 루트 키 생성
    openssl genrsa -out rootCA.key 4096
    이 명령어는 4096비트 길이의 RSA 개인 키를 생성합니다.
  2. 루트 인증서 생성 (자체 서명)
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
    여기서 -x509은 자체 서명된 인증서를 요청한다는 것을 의미합니다. -days 1024는 인증서의 유효 기간을 설정합니다.

2. 서버 또는 사용자 인증서 발급

루트 CA를 사용하여 개별 서버나 사용자 인증서를 발급할 수 있습니다.

  1. 서버 키 생성
    openssl genrsa -out server.key 2048
  2. CSR(Certificate Signing Request) 생성
    openssl req -new -key server.key -out server.csr
    이 단계에서는 조직의 이름, 위치 등을 포함한 정보를 입력해야 합니다.
  3. 서버 인증서 발급
    openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 -sha256
    이 명령어는 루트 CA로부터 서버 인증서를 발급합니다. -days는 인증서의 유효 기간을 지정합니다.

3. 인증서 갱신

인증서의 유효 기간이 다가오면 새로운 CSR을 생성하고 루트 CA를 사용하여 인증서를 재발급할 필요가 있습니다.

  1. 기존 키 사용하여 새 CSR 생성
    openssl req -new -key server.key -out new_server.csr
  2. 인증서 재발급
    openssl x509 -req -in new_server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out new_server.crt -days 500 -sha256

4. 인증서 유지 관리

  • 인증서 철회
     openssl ca -revoke server.crt -keyfile rootCA.key -cert rootCA.pem
    인증서가 손상되었거나 보안이 위협받을 경우, 해당 인증서를 철회할 수 있습니다.
  • CRL(철회 목록) 생성
     openssl ca -gencrl -out crl.pem -keyfile rootCA.key -cert rootCA.pem

이러한 명령어와 절차는 사설 인증서를 안전하게 관리하고 필요에 따라 갱신하거나 철회하는 데 필요한 기술적 단계를 제공합니다. OpenSSL은 사설 인증서를 생성하고 관리하는 데 널리 사용되는 도구입니다. 이를 통해 키 페어 생성, CSR 생성, 인증서 서명 등의 작업을 수행할 수 있습니다. OpenSSL은 강력하지만 복잡할 수 있으므로, 사용하기 전에 각 옵션과 파라미터를 충분히 이해하고 사용하는 것이 중요합니다. 인증서의 갱신과 관리를 자동화하기 위해, 예를 들어 HashiCorp Vault와 같은 도구가 사용될 수 있습니다.

 

Kandji는 Mac, iPhone, iPad 및 기타 Apple 기기를 관리하기 위한 엔터프라이즈급 MDM(Mobile Device Management) 솔루션입니다. 사설 인증서를 통해 조직 내 기기들에 보안을 강화하고 특정 서비스에 대한 접근을 관리할 수 있습니다. Kandji를 사용하여 맥북에 사설 인증서를 배포하는 방법은 다음과 같습니다.

1. 인증서 준비하기

  • 인증서 파일 준비: 인증서(.p12 또는 .cer 형식)를 준비합니다. 필요에 따라 인증서를 생성하거나 기존 인증서를 사용할 수 있습니다.
  • 암호화: 특히 .p12 형식의 경우, 인증서는 비밀번호로 보호되어야 합니다.

2. Kandji에 인증서 업로드하기

  • Kandji 관리자로 로그인: Kandji 관리자 계정으로 로그인합니다.
  • 라이브러리로 이동: 메뉴에서 '라이브러리(Library)' 섹션을 선택합니다.
  • 새 항목 추가: '새 항목 추가(Add New)' 버튼을 클릭하고 '파일(File)'을 선택합니다.
  • 인증서 업로드: 준비한 인증서 파일을 업로드하고, 필요한 정보(예: 이름, 설명)를 입력합니다.

3. 인증서 배포 정책 설정하기

  • 블루프린트 선택: 인증서를 배포할 기기들이 포함된 블루프린트(BluePrint)를 선택합니다.
  • 라이브러리 항목 추가: 블루프린트 설정에서 '라이브러리 항목 추가(Add Library Items)'를 클릭합니다.
  • 인증서 선택: 앞서 라이브러리에 추가한 인증서를 선택하고 '추가(Add)'를 클릭합니다.

4. 배포 정책 적용 및 확인

  • 배포: 설정을 저장하고 배포합니다. Kandji는 정책에 따라 자동으로 선택된 기기들에 인증서를 설치합니다.
  • 기기 상태 확인: Kandji 대시보드에서 기기 상태를 확인하여 인증서가 성공적으로 설치되었는지 확인합니다.

유의사항

  • 보안: 인증서와 관련된 비밀번호는 안전하게 관리해야 합니다.
  • 호환성: 인증서 형식과 기기 호환성을 확인해야 합니다.
  • 갱신: 인증서 유효 기간을 주기적으로 확인하고 필요에 따라 갱신해야 합니다.

 

Kandji의 구체적인 인터페이스나 기능은 버전에 따라 다를 수 있으므로, 위 단계는 일반적인 가이드라인으로 참고하시고, Kandji의 최신 문서나 지원 팀과 상의하여 구체적인 절차를 확인하는 것이 좋습니다.

728x90

댓글