[번역] SSL Signing Certificates: Expiration & Renewal (2960975)

출처 : https://kb.vmware.com/s/article/2960975

목적

디지털 서명 인증서는 서버에서 클라이언트로 전송된 정보가 신뢰할 수 있는 출처에 의해 확인되었음을 나타내는 데 사용된다. 인증서를 발급하는 인증 기관은 해당 비즈니스와 도메인의 소유권을 확인하여 해당 사이트가 합법적인지 확인한다. AirWatch 관리자는 이와 같은 접근방식을 사용하여 서명 인증서를 장치에 발급된 프로필에 적용하여 올바른 출처에서 온 것임을 확인할 수 있다.

프로필 서명에 유효한 SSL 인증서를 사용하는 경우, 최종 사용자는 아래 왼쪽에 있는 이미지에 표시된 것처럼 MDM 프로필을 설치하도록 요청할 때 신뢰할 수 있는 소스에 의해 MDM 프로필이 확인되었음을 알게 될 것이다. 만료되었거나 유효하지 않은 SSL 인증서를 사용하는 경우 프로파일이 대신 "Not Verified"으로 표시된다. 이 경우 클라이언트는 서버가 직접 프로파일을 보냈는지 확인할 수 없다. 인증서가 전혀 사용되지 않는 경우, 프로파일은 단순히 서명되지 않은 것으로 나타날 것이다.

해결

AirWatch의 Signing Profiles

AirWatch에서 iOS 프로필을 서명하려면 유효한 SSL 인증서를 콘솔에 업로드해야 한다. 필요한 경우 위치별 그룹에 따라 이 인증서를 재정의할 수 있다. Devices > Settings > Apple > Profiles로 이동하여 "Sign Profiles (Requires Server SSL Cert)"라고 적힌 상자를 선택한다. 여기에서 인증서를 업로드하라는 메시지가 표시되며, AirWatch 콘솔은 인증서 지문, 유효성 날짜 및 인증서 발급 대상자에 대한 정보를 보고한다.

이것은 일반적으로 모든 잠재적 프로파일에 적용되도록 가장 높은 조직 그룹(OG) 수준에서 구성된다. 인증서가 구성되면 MDM 프로필 자체를 포함한 모든 iOS 프로필이 서명되고 장치에 푸시될 때 검증된다. 프로필 설치 및 업데이트 중에 검증 표시기는 프로필 설치 요청이 신뢰할 수 있는 원본에서 시작되었음을 입증한다.

만료

일반적으로 SSL 인증서는 1~5년간 유효하다. 이 시간 동안 모든 프로파일은 설치 중에 확인된 것으로 표시되며, 서명 인증서를 사용하여 현재 설치된 모든 프로파일은 장치에 Verified로 계속 표시된다. 인증서가 만료되면 모든 새 프로파일 설치(등록 포함)에 프로파일이 Not Verified로 표시된다. 또한 현재 장치에 설치되어 있는 프로필은 검증되지 않은 것으로 표시된다. 신뢰할 수 있는 소스에서와 같은 새 프로필 설치를 확인하려면 새 SSL 인증서 또는 갱신된 SSL 인증서를 AirWatch 콘솔에 업로드해야 한다.

AirWatch는 관리 콘솔에 메시지를 표시하여 곧 만료될 것임을 알려준다.

만료의 영향

만료는 설치된 프로파일의 동작에 기능적 영향을 미치지 않는다. 현재 만료된 인증서로 원래 서명된 프로필은 항상 그랬던 것처럼 계속 작동한다.

iOS 기기에서 설치된 프로파일은 원래 설치된 서명 인증서에 연결된다. 따라서 장치에 현재 설치된 프로필은 장치 설정에서 볼 때 검증되지 않음으로 표시된다. 그렇더라도 일단 프로파일이 장치에 설치되면 프로파일 자체를 업데이트하고 장치에 게시하지 않는 한 더 이상 어떤 네트워크 트랜잭션에서도 역할을 하지 않는다.

SSL 서명 인증서를 갱신하더라도 현재 등록된 장치에 있는 프로필은 프로필을 처음 설치할 때 사용한 인증서를 항상 표시하며, 따라서 기존 프로파일은 서명 인증서를 갱신한 후에도 Not Verified로 표시된다.

또한 하나의 서명 인증서를 사용하여 설치한 프로필은 이전 버전의 AirWatch 콘솔에서 다른 서명 인증서를 사용하는 프로필로 업데이트할 수 없다. 본질적으로, 프로필이 장치에 이미 설치되어 있는 경우, 콘솔에 새 SSL 인증서가 구성되면 해당 장치의 프로필을 변경할 수 없다. iOS 기기는 서명이 일치하지 않음을 감지하고 업데이트된 프로필의 설치를 거부한다. 대신 먼저 장치에서 이전 프로필을 제거한 다음 새 서명 인증서를 사용하여 업데이트된 프로필을 설치할 수 있다.

6.3 버전 AirWatch에 소개된 것은 데이터베이스에 저장된 프로필 정보를 사용하여 모든 프로필이 올바른 서명 인증서로 푸시되도록 보장하는 메커니즘이다. 이 메커니즘으로, 업로드된 모든 인증서의 기록이 서버에 저장되고, 콘솔은 케이스 바이 케이스에 근거하여 각 장치의 각 프로필에 서명하는 데 사용할 올바른 인증서를 결정할 것이다. 이 기능을 사용하면 서명 인증서 업데이트 후 변경사항을 구현하기 위해 더 이상 프로파일을 제거한 후 푸시할 필요가 없다.

갱신

인증서를 갱신하려면 인증서 공급업체가 설명한 프로세스를 따르십시오. 예를 들어 GoDaddy에서 SSL 인증서를 구입한 경우 해당 인증서를 새로 취득하기 위한 절차를 따른다.

새 인증서를 발급받으면 위 페이지(System Settings > Device > iOS > Profiles)에서 AirWatch에 업로드할 수 있다.

  1. Replace 단추 클릭
  2. 그런 다음 새 인증서를 업로드한다.