Configuration Manager에서 새 클라이언트 인증서를 사용하도록 정책 모듈을 구성하는 방법
적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
네트워크 장치 등록 서비스 역할 서비스를 사용하여 Configuration Manager 정책 모듈을 실행하는 서버는 System Center 2012 Configuration Manager의 인증서 등록 지점 사이트 시스템 서버에 대해 정책 모듈을 인증하는 데 클라이언트 인증서를 사용합니다. 일반적으로 클라이언트 인증 인증서는 1년 동안 유효합니다. 인증서가 만료되기 전에 갱신하고 새 인증서의 레지스트리를 업데이트한 다음 네트워크 장치 등록 서비스를 실행하는 웹 서버를 다시 시작하십시오.
참고
인증서가 이미 만료되었으면 네트워크 장치 등록 서비스를 실행하는 서버의 NDESPlugin.log 파일에 “오류("http 요청 <지문>을(를) 보내지 못했습니다. 오류 12037",가 표시됩니다. 오류 메시지에서 <지문>은 만료된 인증서의 인증서 지문으로 바뀝니다.
인증서를 갱신하려면
이 클라이언트 인증서를 수동으로 요청한 경우 새 인증서를 수동으로 요청합니다. 이 인증서를 배포할 때 도움이 필요하면 Configuration Manager를 위한 PKI 인증서 배포의 단계별 예: Windows Server 2008 인증 기관 항목에서 배포 지점용 클라이언트 인증서 배포에 대한 지침을 참조할 수 있습니다. 단, 다음 사항은 예외입니다. 인증서 템플릿 속성의 요청 처리 탭에서 개인 키를 내보낼 수 있음 확인란을 선택하지 마십시오.
그룹 정책 등록을 사용하여 이 클라이언트 인증서를 자동으로 배포한 경우 기본 구성은 원래 인증서가 만료되기 전에 새 인증서를 자동으로 요청하는 것입니다.
네트워크 장치 등록 서비스와 Configuration Manager 정책 모듈을 실행하는 서버에 새 인증서가 배포되면 다음 절차를 수행하여 새 인증서를 사용하도록 서버를 구성하십시오.
새 클라이언트 인증서를 사용하도록 정책 모듈을 구성하려면
-
네트워크 장치 등록 서비스와 Configuration Manager 정책 모듈을 실행하는 서버에서 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint 레지스트리 키를 사용하여 이전 인증서 지문을 새 인증서 지문으로 바꿉니다.
.jpeg "System_CAPS_tip")
팁새 인증서의 지문을 확인하려면 인증서 스냅인을 사용하여 컴퓨터 저장소에서 인증서를 찾습니다. 그런 다음 인증서를 마우스 오른쪽 단추로 클릭하고 속성, 인증서 보기, 세부 정보 탭을 차례로 클릭한 후에 스크롤하여 지문을 선택합니다. 그러면 이 인증서의 인증서 지문인 16진수 문자의 문자열이 표시되고 이를 복사할 수 있게 됩니다.
-
다음 방법 중 하나를 사용하여 웹 서버의 서비스를 다시 시작합니다.
IIS(인터넷 정보 서비스) 관리자에서, 트리에서 웹 서버 노드로 이동합니다.작업 창에서 다시 시작을 클릭합니다.
명령줄 사용 시: iisreset /restart를 입력한 후 Enter 키를 누릅니다.
자세한 내용은 Windows Server TechNet 라이브러리의 Start or Stop the Web Server (IIS 8)(웹 서버(IIS 8) 시작 또는 중지)를 참조하십시오.
네트워크 장치 등록 서비스를 실행하는 서버의 NDESPlugin.log 파일에서 다음 항목을 검사하여 정책 모듈이 새 인증서를 사용하고 있는지 확인할 수 있습니다. INFO("NDES thumbprint is <지문>.", wszBuffer);