인증서 통합 모듈

사용자는 인증서 통합 모듈을 사용하여 기존 인증 기관(CA)을 사용할 수 있고 디바이스 및 사용자 인증서를 등록된 디바이스에 자동 프로비저닝할 수 있습니다. 인증서는 이메일, Wi-Fi, VPN 또는 MaaS360® 메일 인증에 사용됩니다.

Cloud Extender ® 는 CA와 상호작용한 후 다음 방법을 사용하여 발행된 인증서를 등록된 디바이스에 푸시합니다.

신원 인증서가 필요한 등록된 모든 장치에 대해 IBM® MaaS360 포털에서 인증서 요청을 받습니다.
인증서 요청 프로세스의 일부로 인증 기관(CA) 또는 등록대행 기관(RA)에 대해 인증합니다.
디바이스 또는 사용자의 세부사항 및 해당 속성을 인증서 요청의 일부로 전달하여 ID 인증서를 요청합니다.
요청하는 장치의 공개 키를 사용하여 수신한 인증서를 암호화하고 암호화된 페이로드를 IBM MaaS360 포털로 푸시하여 장치로 전달합니다.
인증서의 자동 갱신을 지원하고 현재 인증서가 만료되기 전에 디바이스가 새 인증서를 수신하도록 합니다.

참고: Windows 태블릿의 경우, Cloud Extender 비밀번호는 인증서를 보호하고, 요청하는 장치의 공개 키를 사용하여 비밀번호를 암호화하며, 암호화된 페이로드를 IBM MaaS360 포털로 푸시합니다. MaaS360 플랫폼이 (정책의 일부로) 암호로 보호된 인증서를 받으면 MaaS360 은 Windows MDM API를 사용하여 암호화된 페이로드를 태블릿에 푸시합니다.

지원되는 CA 버전

Cloud Extender 는 다음 인증 기관과 통합됩니다.

2003, 2008 R2또는 2012 R2에 설치된 Microsoft CA
NDES 2008+필요 (NDES 서버의 영어 버전만 지원)
Symantec Managed PKI
Entrust Identity Guard 및 Admin Services
Verizon MCS PKI

Cloud Extender 는 디바이스 인증서를 인증하고 요청하기 위해 CA 서버 및 관리 신임 정보에 대한 정보를 포함하는 인증서 템플리트로 구성되어야 합니다. MaaS360 에 등록된 모든 유형의 디바이스( iOS, Android, Windows Phone 및 Mac OS X )는 인증서 전달을 지원합니다.

시스템 요구사항

설치를 시작하기 전에 사용자 환경이 다음 최소 요구사항을 충족하는지 확인하십시오.

Cloud Extender 설치를 위한 Microsoft Windows 2016 이상
.NET 3.5 이상
Microsoft: 2008+서버에서 설정된 NDES (Network Device Enrollment Service) (영어 버전의 NDES 서버만 지원함)
Symantec: Symantec PKI 호스트 솔루션에 대한 관리 액세스 권한
Entrust: Entrust IdentityGuard Server v10.1 또는 v10.2, 또는 Entrust Admin Services v8.2 SP1 또는 v8.3에 대한 관리 액세스 권한
Verizon MCS: Verizon MCS 콘솔에 대한 관리 액세스 권한
고가용성(HA) 요구사항:
- 인증서 캐싱을 위해 고가용성 Cloud Extenders 에서 Windows 파일 공유 액세스
- Microsoft및 Symantec PKI에만 필요합니다.

스케일링

인증서 통합을 위한 Cloud Extender 는 활성-활성 고가용성 (HA) 모드에서 실행될 수 있습니다. 하나의 Cloud Extender 에서 HA 모드에서 실행 중인 다른 모든 노드로 동일한 인증서 템플리트를 가져와야 합니다. 시스템에 등록된 모든 10 ,000개의 디바이스에 대해 추가 HA Cloud Extenders 를 설정하십시오.

예: 10 ,000개의 디바이스에 인증서가 필요한 경우 HA 모드에서 두 개의 Cloud Extenders 를 설치하십시오. 추가 10 ,000개 디바이스의 경우 인증서에 대해 다른Cloud Extender 를 설치하십시오. 인증서가 필요한 50 ,000개의 등록된 디바이스가 있는 경우 스케일링 및 HA를 위해 6개의 Cloud Extenders 를 설치하십시오. IBM MaaS360 포털는 활성 및 연결된 클라우드 확장기 간의 인증서 요청을 라운드 로빈으로 처리합니다.

표 1. 인증 기관 통합 모듈의 스케일링 요구사항
항목	요구사항
10,000개 미만의 디바이스	CPU: 2 코어 메모리: 4GB
10,000개를 초과하는 디바이스	스케일링: 고가용성 (HA) 이 있는 Cloud Extender 의 다중 인스턴스에 대한 설치를 지원합니다. 전용 Cloud Extender 에 설치하거나 사용자 가시성 또는 사용자 인증 서비스가 사용으로 설정된 Cloud Extender 에서 사용으로 설정하십시오. 환경의 정확한 스케일링은 설정 > 서비스 > Enterprise Integration에서 Cloud Extender 스케일링 문서를 참조하십시오.

디바이스 인증서 또는 사용자 인증서

디바이스 퍼스펙티브에서 모든 인증서는 사용자 인증서로 처리됩니다. Cloud Extender 는 Cloud Extender에 정의된 인증서 템플리트를 기반으로 디바이스에 디바이스 인증서 또는 사용자 인증서를 발행합니다.

참고: 여러 Cloud Extender를 사용하는 환경의 경우 모든 인증서 템플리트가 PKI 인증서를 사용하는 모든 Cloud Extender 에 있어야 합니다.

다음 표에서는 디바이스 인증서와 사용자 인증서의 차이점을 나열합니다.

인증서	설명
디바이스	Cloud Extender 는 요구사항을 기반으로 인증서를 생성하고 해당 인증서를 디바이스에 푸시합니다. Cloud Extender 는 인증서 템플리트를 사용하여 인증서를 사용자에게 링크하고 디바이스 인증서로 사용되는 제목 이름/대체 이름의 일부로 사용자 속성을 전달합니다. 디바이스는 모든 인증서를 사용자 인증서로 처리합니다. Microsoft, Symantec, Entrust및 Verizon MCS를 지원하는 가장 일반적으로 사용되는 인증서 템플리트 유형입니다. 인증에 주로 사용됩니다.
사용자	인증서는 해당 사용자의 Active Directory에 존재해야 합니다. 인증서의 개인 키를 추출하기 위해 키 복구를 설정하기 위한 추가 요구사항입니다. Cloud Extender 는 인증서가 있는 경우에만 인증서를 검색할 수 있습니다. Cloud Extender 는 누락된 인증서를 생성할 수 없습니다. Microsoft CA에서만 지원됩니다. S/MIME 인증서에서 서명 및 암호화 인증서를 전달하는 데 주로 사용됩니다. 관련 정보: 다중 SMIME 인증서 지원 Active Directory 인증에 사용되는 사용자 인증서의 경우, 디바이스 인증서 템플리트를 선택하고 사용자 속성을 제공하여 인증서 생성을 위한 CA를 전달하십시오.

인증서

설명

디바이스

Cloud Extender 는 요구사항을 기반으로 인증서를 생성하고 해당 인증서를 디바이스에 푸시합니다.
Cloud Extender 는 인증서 템플리트를 사용하여 인증서를 사용자에게 링크하고 디바이스 인증서로 사용되는 제목 이름/대체 이름의 일부로 사용자 속성을 전달합니다.
디바이스는 모든 인증서를 사용자 인증서로 처리합니다.
Microsoft, Symantec, Entrust및 Verizon MCS를 지원하는 가장 일반적으로 사용되는 인증서 템플리트 유형입니다.
인증에 주로 사용됩니다.

사용자

인증서는 해당 사용자의 Active Directory에 존재해야 합니다.
인증서의 개인 키를 추출하기 위해 키 복구를 설정하기 위한 추가 요구사항입니다.
Cloud Extender 는 인증서가 있는 경우에만 인증서를 검색할 수 있습니다. Cloud Extender 는 누락된 인증서를 생성할 수 없습니다.
Microsoft CA에서만 지원됩니다.
S/MIME 인증서에서 서명 및 암호화 인증서를 전달하는 데 주로 사용됩니다. 관련 정보: 다중 SMIME 인증서 지원 Active Directory
인증에 사용되는 사용자 인증서의 경우, 디바이스 인증서 템플리트를 선택하고 사용자 속성을 제공하여 인증서 생성을 위한 CA를 전달하십시오.