장치 인증서 문제 해결

개요

SDP 클라이언트에 대한 장치 인증을 구성할 때 인증서 관련 문제가 발생할 수 있습니다. 이 문서에서는 기본 장치 인증서 문제 해결 방법을 다릅니다. 기능에 대한 추가 정보는 인증된 기업 장치 제어를 참조하세요.

문제 해결

다음은 장치 인증서 문제를 조사하는 동안 사용할 수 있는 문제 해결 단계입니다.

1. 클라이언트 연결 정책을 사용하여 장치 인증 요구 사항 관리에서 언급된 바와 같이, 운영 체제별 장치 인증서는 클라이언트 연결 정책을 사용하여 구성해야 합니다.

장치 상태 아래에서 최종 사용자 장치에 설치된 인증서에 대한 장치 검사를 생성할 수 있습니다 (해당 클라이언트 버전 지원). 검사는 장치에 설치된 인증서가 계정에 정의된 서명 인증서 중 하나와 일치하는지를 확인합니다. 자세한 정보는 장치 인증서 장치 검사 생성을 참조하세요.

대안으로, 장치 인증이 클라우드 액세스 -> 클라이언트 액세스 -> 장치 인증 아래에서 완료된 경우, 해당 OS가 필수로 나열되어 있고 차단되지 않았는지 확인합니다.


cma-cert.png

 

2. CMA에 업로드된 모든 CA 인증서는 액세스 -> 클라이언트 액세스 -> 장치 인증 아래에 나열됩니다. 이들은 장치 인증서를 서명한 인증 기관 인증서입니다. "세부 정보 표시" 아이콘을 클릭하면 인증서의 세부 정보를 읽기 가능한 형식으로 나열합니다.


devauth2.png

 

3. CA 인증서가 만료되지 않았는지 확인하는 것이 중요합니다. 그렇다면, PoP는 인증 기관이 기기 인증서를 만료되기 전에 서명한 경우에만 연결을 허용합니다. 장치 인증서에 대해 Cato는 클라이언트가 만료된 인증서로 연결하는 것을 허용하지 않습니다. 자세한 정보는 만료된 인증서 처리를 참조하세요.

 

4. 필요한 CA 인증서가 CMA에 업로드되는지 확인하는 한 가지 방법은 클라이언트 인증서 체인(인증 경로)을 확인하는 것입니다. 이 예에서 클라이언트 인증서는 "CN= Issuing CA Client"로 중간 인증서에 의해 서명되었으며, 이는 차례로 "CN= Root CA"로 루트 인증서에 의해 서명되었습니다. 이것들은 CMA에 설치된 인증서와 일치해야 합니다.

cert-chain__1_.png

 

5. RFC3280에 따르면 클라이언트 인증서의 인증 키 식별자는 발급자의 주체 키 식별자(이 경우 중간 인증서)와 일치해야 합니다. 이것은 올바른 중간 및 루트 CA 인증서가 CMA에 업로드되었는지 확인하는 또 다른 방법입니다.


key_identifier__1_.png

 

6. 구성이 올바르게 보이고 인증서가 유효한지 확인한 후, 해당 인증서가 클라이언트의 운영 체제에 존재하는지 검증할 것입니다.

참고: 인증서 배포에 대한 추가 정보는 장치 인증서 배포 및 설치를 참조하세요.


Windows:

Windows에서 장치 인증서는 로컬 컴퓨터에 설치되어야 하며, 현재 사용자 아래에 설치되어서는 안 됩니다. 장치 인증서 존재를 확인하는 두 가지 방법이 있습니다:

  • 명령 프롬프트를 열고 certutil -store My를 입력하여 장치의 모든 사용 가능한 사용자 인증서를 나열합니다. 아래 예시에서 첫 번째 인증서 발급자는 단계 #2에서 설치된 CA 인증서의 주제와 일치합니다. 이 경우가 아니라면 클라이언트는 장치에 필요한 인증서가 없습니다. 이 도구는 인증서를 목록화, 해지 또는 갱신하기 위해 사용될 수 있는 매우 강력한 도구입니다. 도구에 대한 더 많은 정보를 여기에서 찾을 수 있습니다.

  • certutil은 또한 아래 명령을 실행하여 장치에 PFX (p12) 인증서 파일을 설치하는 데 사용할 수 있습니다. 이는 Windows 장치에 장치 인증서 배포에서 설명한 대로 Windows 장치에 인증서를 설치하는 권장 방법입니다.

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  • 대안으로, Windows 시작 메뉴에서 certlm.msc를 입력하여 장치에 설치된 인증서를 확인할 수 있습니다. 이는 로컬 컴퓨터에 설치된 모든 인증서를 표시합니다. 장치 인증서는 로컬 컴퓨터의 개인/인증서 폴더에 설치되어야 하며 PFX 파일이 설치했어야 하는 개인 키를 포함해야 합니다.

 

MacOS 및 iOS:

macOS v5.3 및 이하 버전:

macOS 클라이언트가 이전에 MDM 또는 Apple Configurator를 통해 배포된 구성 프로필을 포함하고 있는지 확인하세요. 프로필은 macOS 13의 개인 정보 보호 & 보안 설정에서 찾을 수 있습니다. 이전 macOS 버전에서 프로필을 찾으려면 macOS 사용자 가이드를 참조하세요.

모든 iOS 버전:

iOS 장치가 이전에 MDM 또는 Apple Configurator를 통해 배포된 구성 프로필을 포함하고 있는지 확인하세요. 프로필은 일반 &gt; VPN & 장치 관리 &gt; iOS18의 구성 프로필에서 찾을 수 있습니다. 이전 iOS 버전에서 프로필을 찾으려면 iOS 사용자 가이드를 참조하세요.

 

VPN 프로필이 올바르게 구성되었는지 확인하세요. VPN 페이로드는 장치 유형 (macOS 또는 iOS)에 따라 구성해야 합니다:

  • 연결 유형: 사용자 정의 SSL

  • 식별자:

    • macOS의 경우:  com.catonetworks.mac.CatoClient 
    • iOS의 경우:  CatoNetworks.CatoVPN 
  • 서버: vpn.catonetworks.net
  • 계정: 계정 이름을 추가하세요. 예를 들어: CatoNetworksAccount.
    • iOS 클라이언트 v5.6 이상: 계정을 "CatoClientVPN"으로 설정합니다.

  • 제공자 번들 식별자:

    • macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • For iOS:  CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • 공급업체 지정 요건: 비어 있음
  • 사용자 인증: 인증서
  • 공급업체 유형: 패킷 터널
  • 자격 증명: ‘Certificates’ 페이로드에서 인증서를 선택합니다
  • 프록시 설정: 없음

VPN 프로필 구성에 대한 자세한 정보는 기기에 대한 장치 인증서 배포를 참조하세요.

 

macOS v5.4 이상:

macOS 클라이언트 v5.4부터, 인증서는 MDM 배포 없이 장치에 직접 설치할 수 있습니다. 인증서와 개인 키는 키체인 액세스에서 찾을 수 있습니다. 

장치 인증서는 장치 인증서 배포와 Microsoft Active Directory를 통해 Windows 엔터프라이즈 CA를 사용하여 macOS 장치에 배포될 수 있습니다. 참조: 구성 관리자와 독립적으로 Mac 컴퓨터용 클라이언트 인증서 생성 및 배포 방법

사용자 인증서는 키체인 액세스의 로그인 섹션에서 찾을 수 있습니다:

  • 인증서가 '항상 신뢰'로 설정되어 있는지 확인하세요.
  • 개인 키의 접근 제어 설정이 Cato 클라이언트 또는 '이 항목에 대한 모든 애플리케이션의 접근을 허용'으로 설정되어 있는지 확인하세요.

 

도움이 되었습니까?

3명 중 1명이 도움이 되었다고 했습니다.

댓글 0개