기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SCEP용 커넥터용 Jamf Pro 구성
<a name="connector-for-scep-general-purpose"></a>

Jamf Pro 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 범용 커넥터를 생성한 후 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다.

## SCEP용 커넥터용 Jamf Pro 구성
<a name="connector-for-scep-jamf-pro"></a>

이 가이드에서는 SCEP용 커넥터와 함께 사용하도록 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다. Jamf Pro 및 SCEP용 커넥터를 성공적으로 구성한 후에는 관리형 디바이스에 인증서를 발급 AWS Private CA 할 수 있습니다.

### Jamf Pro 요구 사항
<a name="connector-for-scep-jamf-pro-requirements"></a>

Jamf Pro 구현은 다음 요구 사항을 충족해야 합니다.
+ Jamf Pro에서 **인증서 기반 인증 활성화** 설정을 활성화해야 합니다. 이 설정에 대한 세부 정보는 Jamf Pro 설명서의 Jamf Pro [보안 설정](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) 페이지에서 확인할 수 있습니다.

### 1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

지문은 다른 시스템 또는 애플리케이션과 신뢰를 구축할 때 CA의 ID를 확인하는 데 사용할 수 있는 프라이빗 CA의 고유 식별자입니다. 인증 기관(CA) 지문을 통합하면 관리형 디바이스가 연결 중인 CA를 인증하고 예상 CA에서만 인증서를 요청할 수 있습니다. Jamf Pro에서 CA 지문을 사용하는 것이 좋습니다.

**프라이빗 CA에 대한 지문을 생성하려면**

1.  AWS Private CA 콘솔에서 또는 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)를 사용하여 프라이빗 CA 인증서를 가져옵니다. `ca.pem` 파일로 저장합니다.

1. [OpenSSL 명령줄 유틸리티](https://wiki.openssl.org/index.php/Command_Line_Utilities)를 설치합니다.

1. OpenSSL에서 다음 명령을 실행하여 지문을 생성합니다.

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### 2단계: Jamf Pro에서 외부 CA AWS Private CA 로 구성
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

SCEP용 커넥터를 생성한 후에는 Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 설정해야 합니다. 를 글로벌 외부 CA AWS Private CA 로 설정할 수 있습니다. 또는 Jamf Pro 구성 프로파일을 사용하여 조직의 디바이스 하위 집합에 인증서 발급과 같은 다양한 사용 사례에 AWS Private CA 대해와 다른 인증서를 발급할 수 있습니다. Jamf Pro 구성 프로파일 구현에 대한 지침은이 문서의 범위를 벗어납니다.

**Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 구성하려면**

1. Jamf Pro 콘솔에서 설정 > **글로벌** > **PKI 인증서**로 이동하여 **PKI 인증서** **설정** 페이지로 이동합니다.

1. **관리 인증서 템플릿** 탭을 선택합니다.

1. **외부 CA**를 선택합니다.

1. **편집**을 선택합니다.

1. (선택 사항) **구성 프로필에 대해 Jamf Pro를 SCEP 프록시로 활성화를** 선택합니다. Jamf Pro 구성 프로필을 사용하여 특정 사용 사례에 맞는 다양한 인증서를 발급할 수 있습니다. Jamf Pro에서 구성 프로파일을 사용하는 방법에 대한 지침은 [Jamf Pro 설명서의 구성 프로파일에 대한 SCEP 프록시로 Jamf Pro 활성화를 참조하세요](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2).

1. **컴퓨터 및 모바일 디바이스 등록에 SCEP 지원 외부 CA 사용을** 선택합니다.

1. (선택 사항) **컴퓨터 및 모바일 디바이스 등록을 위해 Jamf Pro를 SCEP 프록시로 사용을** 선택합니다. 프로파일 설치에 실패하는 경우 섹션을 참조하세요[프로파일 설치 실패 문제 해결](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).

1. 커넥터 세부 정보에서 SCEP용 커넥터 **SCEP URL**을 복사하여 Jamf Pro의 **URL** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져오고 응답에서 `Endpoint` 값을 복사할 수 있습니다.

1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.

1. 챌린지 유형에 대해 **정적**을 선택합니다.

1. 커넥터에서 챌린지 암호를 복사하여 **챌린지** 필드에 붙여 넣습니다. 커넥터에는 여러 개의 챌린지 암호가 있을 수 있습니다. 커넥터의 챌린지 암호를 보려면 AWS 콘솔에서 커넥터의 세부 정보 페이지로 이동하여 **암호 보기** 버튼을 선택합니다. 또는 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)(GetChallengePassword)를 호출하여 커넥터의 챌린지 암호를 가져오고 응답에서 `Password` 값을 복사할 수 있습니다. 챌린지 암호 사용에 대한 자세한 내용은 섹션을 참조하세요[SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해고려 사항 및 제한 사항](c4scep-considerations-limitations.md).

1. 챌린지 암호를 **챌린지 확인** 필드에 붙여 넣습니다.

1. **키 크기를** 선택합니다. 키 크기는 2048 이상인 것이 좋습니다.

1. (선택 사항) **디지털 서명으로 사용을** 선택합니다. 디바이스에 Wi-Fi 및 VPN과 같은 리소스에 대한 보안 액세스 권한을 부여하려면 인증 목적으로이 옵션을 선택합니다.

1. (선택 사항) **키 암호화에 사용을** 선택합니다.

1. (선택 사항 - 권장) **지문** 필드에 16진수 문자열을 입력합니다. 관리형 디바이스가 CA를 확인하고 CA에서만 인증서를 요청할 수 있도록 CA 지문을 추가하는 것이 좋습니다. 프라이빗 CA에 대한 지문을 생성하는 방법에 대한 지침은 섹션을 참조하세요[1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기](#connector-for-scep-jamf-pro-ca-fingerprint).

1. **저장**을 선택합니다.

### 3단계: 구성 프로필 서명 인증서 설정
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Jamf Pro를 SCEP용 커넥터와 함께 사용하려면 커넥터와 연결된 프라이빗 CA에 대한 서명 및 CA 인증서를 제공해야 합니다. 두 인증서가 모두 포함된 프로필 서명 인증서 키 스토어를 Jamf Pro에 업로드하여이 작업을 수행할 수 있습니다.

다음은 인증서 키 스토어를 생성하여 Jamf Pro에 업로드하는 단계입니다.
+ 내부 프로세스를 사용하여 인증서 서명 요청(CSR)을 생성합니다.
+ 커넥터와 연결된 프라이빗 CA에서 서명한 CSR을 가져옵니다.
+ 프로필 서명 인증서와 CA 인증서를 모두 포함하는 프로필 서명 인증서 키 스토어를 생성합니다.
+ 인증서 키 스토어를 Jamf Pro에 업로드합니다.

다음 단계에 따라 디바이스가 프라이빗 CA에서 서명한 구성 프로파일을 검증하고 인증하여 Jamf Pro에서 SCEP용 커넥터를 사용할 수 있도록 할 수 있습니다.

1. 다음 예제에서는 OpenSSL 및를 사용하지 AWS Certificate Manager만 원하는 방법을 사용하여 인증서 서명 요청을 생성할 수 있습니다.

------
#### [ AWS Certificate Manager console ]

**ACM 콘솔을 사용하여 프로필 서명 인증서를 생성하려면**

   1. ACM을 사용하여 [프라이빗 PKI 인증서를 요청합니다](). 다음을 포함합니다.
      + **유형** - MDM 시스템의 SCEP 인증 기관 역할을 하는 것과 동일한 프라이빗 CA 유형을 사용합니다.
      + **인증 기관 세부 정보** 섹션에서 **인증 기관** 메뉴를 선택하고 Jamf Pro의 CA 역할을 하는 프라이빗 CA를 선택합니다.
      + **도메인 이름** - 인증서에 포함할 도메인 이름을 제공합니다. 와 같은 정규화된 도메인 이름(FQDN) `www.example.com`또는와 같은 베어 또는 정점 도메인 이름`example.com`( 제외)을 사용할 수 있습니다`www.`.

   1. ACM을 사용하여 이전 단계에서 생성한 [프라이빗 인증서를 내](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)보냅니다. 인증서, 인증서 체인 및 암호화된 키에 대한 **파일 내보내기를** 선택합니다. 다음 단계에서 필요하므로 **암호를** 준비해 둡니다.

   1. 터미널에서 내보낸 파일이 포함된 폴더에서 다음 명령을 실행하여 이전 단계에서 생성한 암호로 인코딩된 `output.p12` 파일에 PKCS\#12 번들을 씁니다.

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:{{your-passphrase}} \
        -passout pass:{{your-passphrase}}
      ```

------
#### [ AWS Certificate Manager CLI ]

**ACM CLI를 사용하여 프로필 서명 인증서를 생성하려면**
   + 다음 명령은 ACM에서 인증서를 생성한 다음 파일을 PKCS\#12 번들로 내보내는 방법을 보여줍니다.

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <{{any valid domain name, such as test.name}}> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name {{example}} \
       -out output.p12 \
       -passin pass:{{passphrase}} \
       -passout pass:{{passphrase}}
     ```

------
#### [ OpenSSL CLI ]

**OpenSSL CLI를 사용하여 프로필 서명 인증서를 생성하려면**

   1. OpenSSL을 사용하여 다음 명령을 실행하여 프라이빗 키를 생성합니다.

      ```
      openssl genrsa -out local.key 2048
      ```

   1. 인증서 서명 요청(CSR) 생성:

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. 를 사용하여 이전 단계에서 생성한 CSR을 사용하여 서명 인증서를 AWS CLI발급합니다. 다음 명령을 실행하고 응답에 인증서 ARN을 기록해 둡니다.

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. 다음 명령을 실행하여 서명 인증서를 가져옵니다. 이전 단계의 인증서 ARN을 지정합니다.

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. 다음 명령을 실행하여 CA 인증서를 가져옵니다.

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. OpenSSL을 사용하여 서명 인증서 키 스토어를 p12 형식으로 출력합니다. 4단계와 5단계에서 생성한 CRT 파일을 사용합니다.

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. 메시지가 표시되면 내보내기 암호를 입력합니다. 이 암호는 Jamf Pro에 제공할 키 스토어 암호입니다.

------

1. Jamf Pro에서 **관리 인증서 템플릿**으로 이동하여 **외부 CA** 창으로 이동합니다.

1. **외부 CA** 창 하단에서 **서명 및 CA 인증서 변경을** 선택합니다.

1. 화면의 지침에 따라 외부 CA에 대한 서명 및 CA 인증서를 업로드합니다.

### 4단계: (선택 사항) 사용자가 시작한 등록 중에 인증서 설치
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

클라이언트 디바이스와 프라이빗 CA 간에 신뢰를 설정하려면 디바이스가 Jamf Pro에서 발급한 인증서를 신뢰하는지 확인해야 합니다. 등록 프로세스 중에 인증서를 요청할 때 Jamf Pro의 [사용자 시작 등록 설정을](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) 사용하여 클라이언트 디바이스에 AWS Private CA의 CA 인증서를 자동으로 설치할 수 있습니다.

### 프로파일 설치 실패 문제 해결
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

**컴퓨터 및 모바일 디바이스 등록을 위해 Jamf Pro를 SCEP 프록시로 사용을** 활성화한 후 프로파일 설치에 실패하는 경우 디바이스 로그를 참조하고 다음을 시도하세요.


| 디바이스 로그 오류 메시지 | 완화 | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | 등록을 시도하는 동안이 오류 메시지가 표시되면 등록을 다시 시도하세요. 등록에 성공하려면 몇 번의 시도가 필요할 수 있습니다. | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | 챌린지 암호가 잘못 구성되었을 수 있습니다. Jamf Pro의 챌린지 암호가 커넥터의 챌린지 암호와 일치하는지 확인합니다. |