Dell Endpoint Security 스마트 카드 구성 가이드

Dell Endpoint Security 사전 부팅 환경에서 스마트 카드 인증을 활용하려면 인증서 등록 및 생성을 허용하도록 Active Directory를 구성해야 합니다.

등록 에이전트 인증서는 다른 사용자의 스마트 카드에 인증서를 할당하려는 모든 사용자에게 할당되어야 합니다.

템플릿을 설정 및 구성하려면 등록 에이전트용 인증서 템플릿을 활성화한 다음 새 스마트 카드 사용자 템플릿을 추가합니다.

등록 에이전트용 인증서 템플릿을 활성화하는 방법:

1. 인증 기관 MMC(Microsoft Management Console)를 엽니다.
   
2. Certificate Templates로 확장합니다.
3. 오른쪽 창을 오른쪽 클릭한 다음 Manage를 클릭합니다.
   
4. Enrollment Agent를 오른쪽 클릭한 다음 Duplicate Template을 클릭합니다.
   
5. 일반 탭으로 이동합니다.
6. Active Directory에 인증서 게시 옵션을 선택합니다.
7. 필요한 경우 템플릿 표시 이름 및 템플릿 이름을 업데이트합니다.
   

스마트 카드 사용자 템플릿을 추가하려면 다음을 수행합니다.

1. 인증 기관의 인증서 템플릿 콘솔에서 Smartcard User 템플릿을 오른쪽 클릭한 다음 Duplicate Template을 클릭합니다.
   
2. Request Handling 탭에서 Purpose를 Signature and smartcard logon으로 수정합니다.
   
3. 결과 프롬프트를 수락합니다.
   
4. Allow private key to be exported가 선택되어 있는지 확인합니다.
   
5. Subject Name 탭에는 정의된 이메일 주소를 대체 검증 방법으로 사용해야 하는 옵션이 기본적으로 표시됩니다. 일부 환경에서는 Active Directory에서 정의한 이메일 주소가 없는 사용자의 문제를 방지하기 위해 이러한 옵션을 해제할 수 있습니다.
   1. Include e-mail name in subject name 확인란의 선택을 취소합니다.
      
   2. Include this information in alternate subject name 섹션에서 이메일 이름을 지웁니다.
      
6. 발급 요구 사항 탭에서 승인된 서명 수 상자를 선택합니다.
   1. This number of authorized signatures를 1로 설정합니다.
   2. 서명에 필요한 정책 유형을애플리케이션 정책으로 그대로 둡니다.
   3. Application Policy를 Certificate Request Agent로 수정합니다.
      
7. OK를 클릭하여 이 템플릿을 게시합니다.
8. 인증 기관 MMC에서 Certificate Templates를 오른쪽 클릭한 다음 Certificate Template to Issue를 클릭하여 두 템플릿을 모두 발급할 수 있습니다.
   
9. 새로 만든 인증서 템플릿 2개를 선택합니다.
   
10. OK를 클릭합니다.

이 섹션에서는 사전 부팅 인증 환경에서 스마트 카드 기능을 허용하기 위해 Dell Security Management Server에 필요한 변경 사항에 대해 설명합니다.

관리자는 루트 CA를 가져오고 정책을 수정해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

루트 CA 가져오기

스마트 카드 인증서는 이 가이드에서 내부 CA(Certificate Authority)에 의해 서명되므로 루트 CA와 모든 중간 CA(이 가이드에 나와 있지 않음)를 인증서 체인으로 가져와야 합니다.

1. 인증서 MMC(Microsoft Management Console)에서 루트 인증 기관의 인증서를 내보냅니다.
   1. MMC를 실행합니다.
   2. 파일을 클릭합니다.
   3. Add/Remove Snap-in을 클릭합니다.
   4. Certificates를 선택합니다.
   5. Add를 클릭합니다.
   6. Computer account 원형 버튼을 선택합니다.
   7. Finish를 클릭합니다.
   8. OK를 클릭합니다.
      
   9. Certificates를 확장합니다.
   10. Trusted Root Certification Authorities를 확장합니다.
   11. Certificates를 선택합니다.
   12. 도메인 CA에서 발급한 인증서를 오른쪽 클릭합니다. 이러한 항목은 그룹 정책과 동기화됩니다.
       
   13. All Tasks를 선택한 다음 Export를 클릭합니다.
   14. 다른 이름으로 인증서 내보내기 DER encoded binary X.509 (.CER).
   15. 저장한 다음 곧 사용되는 위치를 기록합니다.
2. 이 인증서를 Java 키 저장소의 신뢰할 수 있는 인증서로 가져옵니다.
   1. 관리자 명령 프롬프트를 엽니다.
   2. 다음을 입력하여 keytool 명령을 실행할 수 있도록 경로를 수정합니다. Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" 을 클릭한 다음 Enter 키를 입력합니다.
      참고: Dell Security Management Server 버전 9.2 이하의 경우 다음을 입력합니다. Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" 를 입력하여 파일을 분석한 후 키를 누릅니다.
   3. 다음을 입력하여 Security Server의 conf 디렉토리로 이동합니다. %INSTALLDIR%\Enterprise Edition\Security Server\conf\ 를 입력하여 파일을 분석한 후 키를 누릅니다.
      
   4. 다음을 입력하여 1단계에서 내보낸 .cer 파일을 Java 키 저장소(cacerts)로 가져옵니다. Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts 를 입력하여 파일을 분석한 후 키를 누릅니다.
      
   5. cacerts 파일 비밀번호를 입력합니다.
   6. 다음을 입력하여 인증서를 신뢰하라는 메시지를 수락합니다. Y.
      
   7. Security Server를 재시작하여 가져오기를 완료합니다.

정책 수정

적절한 정책 구성을 위해 Dell Data Security 서버 버전을 클릭합니다. 버전을 관리하는 방법에 대한 자세한 내용은 Dell Data Security/Dell Data Protection Server 버전 식별 방법을 참조하십시오.

v9.8.0 이상

PBA 인증 메커니즘에 대해 스마트 카드를 허용하도록 정책을 수정하려면 다음과 같이 합니다.

1. Dell Data Security Administration Console을 엽니다.
   참고: 자세한 내용은 Dell Data Security/Dell Data Protection Server 관리 콘솔 액세스 방법을 참조하십시오.
2. 정책을 수정하고 커밋할 수 있는 사용자로 로그인합니다.
3. 정책을 변경할 모집단으로 이동합니다. 예를 들어 Populations를 선택한 다음 Enterprise를 클릭합니다.
4. Security Policies 탭을 선택합니다.
   
5. Pre-Boot Authentication을 선택합니다.
6. SED 인증 방법을 Password에서 Smartcard로 수정합니다.
   참고: 자체 암호화 드라이브 정책이 켜 짐으로 설정되어 전체 엔터프라이즈에서 이 기능을 사용할 수 있는지 확인합니다.
   
   
7. 정책을 저장하고 커밋합니다.
   참고: 자세한 내용은 Dell Data Security/Dell Data Protection Server에 대한 정책을 커밋하는 방법을 참조하십시오.

v9.2.0~9.7.0

PBA 인증 메커니즘에 대해 스마트 카드를 허용하도록 정책을 수정하려면 다음과 같이 합니다.

1. Dell Data Protection 관리 콘솔을 엽니다.
   참고: 자세한 내용은 Dell Data Security/Dell Data Protection Server 관리 콘솔 액세스 방법을 참조하십시오.
2. 정책을 수정하고 커밋할 수 있는 사용자로 로그인합니다.
3. 정책을 변경할 모집단으로 이동합니다. 예를 들어 Populations를 선택한 다음 Enterprise를 클릭합니다.
4. Security Policies 탭을 선택합니다.
   
5. Self-Encrypting Drive (SED)를 선택합니다.
6. SED 인증 방법을 Password에서 Smartcard로 수정합니다.
   참고: 자체 암호화 드라이브 정책이 켜 짐으로 설정되어 전체 엔터프라이즈에서 이 기능을 사용할 수 있는지 확인합니다.
   
   
7. 정책을 저장하고 커밋합니다.
   참고: 자세한 내용은 Dell Data Security/Dell Data Protection Server에 대한 정책을 커밋하는 방법을 참조하십시오.

v8.0.0~9.1.5

PBA 인증 메커니즘에 대해 스마트 카드를 허용하도록 정책을 수정하려면 다음과 같이 합니다.

1. PBA의 인증 메커니즘으로 스마트 카드를 허용하도록 정책을 수정합니다.
   1. Remote Management Console을 엽니다.
      참고: 자세한 내용은 Dell Data Security/Dell Data Protection Server 관리 콘솔 액세스 방법을 참조하십시오.
   2. 정책을 수정하고 커밋할 수 있는 사용자로 로그인합니다.
   3. Enterprise로 이동합니다.
   4. 맨 위에 있는 Security Policies를 클릭합니다.
   5. Override(Virtual Edition에서는 사용할 수 없음)를 사용합니다.
   6. Policy Category 드롭다운을 Self-Encrypting Drives로 수정합니다.
      
   7. SED Administration을 확장합니다.
   8. SED 인증 방법을 Password에서 Smartcard로 수정합니다.
      
      참고: Enable SED Management 및 Activate PBA가 True로 설정되어 있는지 확인하여 전체 엔터프라이즈에 대해 이 기능을 활성화합니다.
   9. 이 정책을 저장합니다.
   10. 왼쪽에서 Commit Policies를 클릭합니다.
   11. Apply Changes를 클릭합니다.

스마트 카드는 기본적으로 비어 있습니다. 인증을 위해 인증서를 추가하려면 각 스마트 카드에 할당된 인증서가 있어야 합니다. 인증서는 일반적으로 미들웨어 애플리케이션을 통해 스마트 카드에 할당됩니다. 아래 예제에서는 엔터프라이즈급 스마트 카드용 레거시 Charismathics 소프트웨어를 통한 가져오기와 PIV(Personal Identity Verification) 기반 스마트 카드용 VersaSec에 대해 간략하게 설명합니다. 관리자는 인증서를 할당한 후 스마트 카드를 사용하여 Windows에 대한 SSO(Single Sign-On)를 활성화해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 선택합니다.

Charismathics

스마트 카드를 활용하려면 디바이스에 인증서를 할당할 수 있는 등록 에이전트와 Microsoft 인증 기관에서 받은 인증서 정보를 카드가 사용할 수 있는 정보로 변환하는 미들웨어가 필요합니다.

대부분의 스마트 카드에는 보안 토큰이 사전 설정되어 있지 않습니다. 관리자는 새 스마트 카드에 보안 토큰을 스테이징하고 등록 에이전트용 인증서를 추가한 다음 사용자 등록 및 인증서 푸시를 수행해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

새 스마트 카드에 보안 토큰 스테이징

1. CSP(Cryptographic Service Provider)를 엽니다.
2. 활성 토큰 없이 카드를 삽입하면 기본 정보를 얻을 수 있습니다.
   
3. 보안 토큰을 생성한 후에는 PKCS15 프로파일에 맞게 설정되어 있는지 확인해야 합니다.
   
4. 이 항목을 생성한 후에는 더 많은 옵션을 사용할 수 있으며 인증서를 올바르게 가져올 수 있습니다.
   

등록 에이전트용 인증서 추가

1. MMC(Microsoft Management Console)를 엽니다.
2. 파일을 클릭합니다.
3. Add/Remove snap-ins을 클릭합니다.
4. Certificates를 선택합니다.
5. Add를 클릭합니다.
6. My user account 원형 버튼을 선택합니다.
7. Finish를 클릭합니다.
8. OK를 클릭합니다.
9. Certificates - Current User를 확장합니다.
10. Personal을 확장합니다.
11. Certificates가 있는 경우 확장합니다.
12. 가운데 창을 오른쪽 클릭하고 All Tasks를 선택한 다음 Request New Certificate를 선택합니다.
    
13. Next를 클릭합니다.
14. Active Directory Enrollment Policy를 선택된 상태로 둡니다.
15. Next를 클릭합니다.
16. 이전에 만들어 게시한 등록 에이전트 인증서를 선택합니다.
    
17. Enroll을 클릭합니다.
18. 완료되면 Finish를 클릭합니다.

사용자 등록 및 인증서 푸시

이제 생성한 스마트 카드에 사용자를 등록하고 인증서 MMC를 사용하여 인증서를 카드에 푸시할 수 있습니다.

사용자를 등록하고 인증서를 푸시하는 방법:

1. MMC(Microsoft Management Console)를 엽니다.
2. 파일을 클릭합니다.
3. Add/Remove snap-ins을 클릭합니다.
4. Certificates를 선택합니다.
5. Add를 클릭합니다.
6. My user account 원형 버튼을 선택합니다.
7. Finish를 클릭합니다.
8. OK를 클릭합니다.
9. Certificates - Current User를 확장합니다.
10. Personal을 확장합니다.
11. Certificates가 있는 경우 확장합니다.
12. 가운데 창을 오른쪽 클릭하고 All Tasks, Advanced Operations를 선택한 다음 Enroll on Behalf Of를 선택합니다.
    
13. Next를 클릭합니다.
14. Active Directory Enrollment Policy를 선택된 상태로 둡니다.
15. Next를 클릭합니다.
16. Browse를 클릭합니다.
17. 앞서 생성한 등록 에이전트 인증서를 선택한 다음 OK를 클릭합니다.
    
18. Next를 클릭합니다.
19. 앞서 생성한 스마트 카드 사용자 템플릿의 원형 버튼을 선택합니다.
    
20. Details 드롭다운을 선택하고 Properties를 클릭합니다.
    
21. 사용 중인 애플리케이션에 맞게 암호화 서비스 공급자를 수정합니다. 이 경우는 Charismathics입니다.
    
22. OK를 클릭합니다.
23. 다음(Next)을 클릭하십시오.
24. Browse를 클릭한 다음 도메인에서 가져올 위치를 수정합니다.
    
    
    
25. 등록할 사용자의 사용자 이름을 입력합니다.
26. Check Names를 클릭하여 사용자를 검증합니다.
    
27. OK를 클릭합니다.
28. Enroll을 클릭합니다.
29. 프롬프트를 따릅니다.
    
    
    
    
    
30. Next User를 클릭하여 동일한 방법으로 사용자를 추가로 등록하거나 Close를 클릭하여 계속합니다.

이제 PBA 인증에 스마트 카드를 활용할 수 있습니다.

VersaSec

VersaSec는 새 인증서 등록에 이전에 생성된 인증서를 사용합니다. 이 프로세스에서는 Active Directory를 통해 만든 인증서 템플릿을 사용하여 직원이 다른 직원이 로그인 세션 중에 사용할 로그인 인증서를 생성할 수 있도록 합니다. 관리자는 인증서 등록, 인증서 내보내기를 완료한 다음 스마트 카드에 인증서를 할당해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

인증서 등록

인증서를 등록하는 방법:

1. 인증서 템플릿이 구성된 도메인에 연결된 디바이스에 인증서를 할당하는 관리자로 MMC(Microsoft Management Console)를 엽니다.
   
2. Add/Remove Snap-in 옵션을 선택합니다.
   
3. Certificates를 선택한 다음 Add를 선택합니다.
   
4. My user account 옵션이 선택되어 있는지 확인합니다.
   
5. OK를 선택하여 선택한 스냅인을 로드합니다.
   
6. Certificates - Current User 창을 확장하고 오른쪽 창을 오른쪽 클릭한 다음 All Tasks, Request New Certificate를 차례로 선택합니다.
   
7. Active Directory Enrollment Policy 옵션이 선택되어 있는지 확인한 후 Next를 클릭합니다.
   
8. 현재 사용자에 대해 등록 에이전트를 만들 수 있는 인증서 템플릿을 선택한 다음 Enroll을 선택합니다. 이 예에서는 이전에 만든 Enrollment Agent Registration 템플릿을 사용합니다.
   
9. 등록이 완료되면 Finish를 클릭합니다.
   
10. 등록 에이전트 인증서를 사용해 왼쪽 창에서 Certificates 폴더를 선택하여 미리 생성된 템플릿을 기반으로 스마트 카드 사용자 인증서를 생성합니다. All Tasks, Advanced Operations를 선택한 다음 Enroll On Behalf Of를 선택합니다.
    
11. Active Directory Enrollment Policy 옵션이 선택되어 있는지 확인한 후 Next를 클릭합니다.
    
12. 등록 에이전트 인증서가 요청되면 Browse를 선택합니다.
    
13. 적절한 인증서가 선택되었는지 확인한 다음 OK를 클릭합니다.
    
14. 적절한 사용자가 정의되었는지 확인한 후 Next를 클릭합니다.
    
15. 스마트 카드 사용자 등록을 위해 미리 생성된 템플릿을 선택한 후 Next를 클릭합니다. 이 예에서는 Smartcard User Enrollment라는 템플릿을 사용합니다.
    
16. Browse를 선택하여 적절한 사용자를 찾습니다.
    
17. Location을 클릭하여 전체 디렉토리를 검색하도록 위치를 수정합니다.
    
18. 적절한 도메인 또는 조직 구성 단위를 선택한 다음 OK를 클릭합니다.
    
19. 스마트 카드 인증서를 생성할 사용자를 입력한 다음 Check Names를 선택하여 UPN(User Principal Name)의 유효성을 검사합니다.
    
20. 여러 사용자를 찾은 경우 올바른 사용자를 확인하고 OK를 선택합니다.
    
21. 사용자 정보를 확인한 다음 OK를 클릭합니다.
    
22. 사용자 정보를 다시 확인한 다음 Enroll을 클릭합니다.
    
23. 등록이 빠르게 완료됩니다. Next User를 선택하여 다른 사용자 인증서를 생성하거나 Close를 선택하여 인증서 생성 프로세스를 완료합니다. 향후 추가 사용자에 대해 추가 인증서를 생성할 수 있습니다.
    

인증서 내보내기

스마트 카드에 할당되도록 인증서를 먼저 PKCS12 형식으로 내보내야 합니다. 인증서에는 개인 키와 전체 인증서 체인이 포함되어야 합니다.

인증서를 내보내는 방법:

1. 인증서 템플릿이 구성된 도메인에 연결된 디바이스에 인증서를 할당하는 관리자로 MMC(Microsoft Management Console)를 엽니다.
   
2. Add/Remove Snap-in 옵션을 선택합니다.
   
3. Certificates를 선택한 다음 Add를 선택합니다.
   
4. My user account 옵션이 선택되어 있는지 확인합니다.
   
5. OK를 선택하여 선택한 스냅인을 로드합니다.
   
6. Certificates - Current User 창을 확장한 다음 내보낼 사용자를 오른쪽 클릭합니다. All Tasks를 선택한 다음 Export를 클릭합니다.
   
7. Yes, export the private key 옵션을 선택한 다음 Next를 클릭합니다.
   
8. Enable certificate privacy 옵션의 선택을 취소하고 Export all extended properties를 선택한 후 Next를 클릭합니다.
   
9. Password 옵션을 선택하고 인증서에 보안 비밀번호를 지정한 후 Next를 선택합니다.
   
   참고: Encryption 옵션을 수정하지 마십시오.
10. 파일 이름과 위치를 지정하고 Next를 선택합니다.
    
11. 세부 정보를 확인한 다음 Finish를 선택하여 내보내기를 완료합니다.
    

스마트 카드에 인증서 할당

VersaSec 소프트웨어와 프로비저닝되는 스마트 카드에 필요할 수 있는 관리 미들웨어를 다운로드하고 설치합니다.

스마트 카드에 인증서를 할당하는 방법:

1. VersaSec 에이전트를 시작하고 스마트 카드를 삽입합니다.
2. Card Actions - Certificates and Keys로 이동한 다음 Import를 선택합니다.
   
3. 내보낸 인증서를 찾아 선택하여 스마트 카드에 바인딩합니다. Password 필드에 인증서 비밀번호를 입력한 다음 Import를 선택합니다.
   
4. Passcode를 입력하라는 메시지가 나타나면 사용자 PIN을 입력하고 OK를 선택합니다.
   
5. 인증서 작성이 완료되면 목록 내에 나타납니다.
   
6. 모든 계정의 모든 인증서가 스마트 카드에 기록되면 이 인증서를 사용하여 Windows 또는 Dell 사전 부팅 인증 환경에 로그인할 수 있습니다.

스마트 카드를 사용하여 Windows에 SSO(Single Sign-On) 활성화

스마트 카드를 사용하여 Windows에 SSO(Single Sign-On)를 활성화하는 프로세스는 사용 중인 Dell Encryption Enterprise 버전에 따라 다릅니다. 자세한 내용을 확인하려면 해당 버전을 선택하십시오. 버전 관리 정보를 보려면 Dell Encryption Enterprise 또는 Dell Encryption Personal 버전을 식별하는 방법을 참조하십시오.

Dell Encryption Enterprise v8.18 이상

엔드포인트를 변경할 필요가 없습니다. 관리 콘솔을 통해 정책이 설정되면 모든 엔드포인트 변경 사항이 자동으로 수행됩니다.

스마트 카드 자체에는 미들웨어가 필요할 수 있습니다. 스마트 카드 공급업체에 문의하여 Windows 인증을 위해 각 엔드포인트에 미들웨어 솔루션을 설치해야 하는지 여부를 확인하십시오.

Dell Encryption Enterprise v8.17.2 이상

클라이언트 시스템은 기본적으로 SSO(Single Sign-On)를 사용하지 않습니다. SSO를 사용하려면 레지스트리 키를 추가해야 합니다.

레지스트리 키는 다음과 같습니다.

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Registry Editor를 엽니다.
2. HKEY Local Machine을 확장합니다.
3. Software를 확장합니다.
4. DigitalPersona를 확장합니다.
5. Policies를 확장합니다.
6. Default를 확장합니다.
7. 키를 만든 다음 이름을 지정합니다. Smartcards.
   
8. DWORD를 만든 다음 이름을 지정합니다. MSSmartcardSupport.
   
9. 값 데이터를 1로 설정합니다.