Windows Active Directory 인증서비스

인증서 사용 용도

인증서(Certificate)는 network access authentication 을 위해 사용된다.

인증서는 사용자 및 컴퓨터를 인증하기 위한 강력한 보안을 제공한다. 즉, 기존 암호 기반 인증 방법의 보안 취약성을 제거 할 수 있는 장점이 있다.

 

관리자가 인증 방법으로써 EAP-TLS(Extensible Authentication Protocal with Transport Layer Security) 또는 PEAP-TLS(Protected EAP with TLS)를 사용하고자 할 때, 인증서는 네트워크 연결 시에 서버, 클라이언트, 사용자 등의 인증을 위해 요구된다. 이러한 인증 방법을 사용할 수 있는 대표적인 Network Access Server는 다음과 같다.

 1. 802.1x-Capable Switch (Port 접근시 인증 성공 유무에 따라서 Network Port의 Open  여부를 결정)

 2. Wireless Access Points (여러 Third-party의 무선 액세스 포인트)

 3. Virtual Private Network Server (Roution and Remote Access Service)

 4. Windows Server 2008 R2 기반의 Remote Desktop Gateway (RD Gateway)

 5. Windows Server 2008 기반의 Terminal Services Gateway (TS Gateway)

이러한 Network Access Server는 서버, 클라언트, 사용자의 좀 더 강력한 인증 방법으로써, EAP-TLS 및 PEAP-TLS 를 사용 할 수 있는데, 이러한 인증 방법을 사용할 때 필수적으로 "인증서" 가 필요하다.

 

설치

Windows Server 2008 Enterprise 또는 Windows Server 2008 Datacenter를 실행하는 서버에만 엔터프라이즈 CA 및 온라인 응답자를 설치할 수 있다.

 

 

서버 관리 -> 역활을 추가해 준다.

여기서 필요한 추가할 서비스는 Active Directory 인증서 서비스, 웹 서버(IIS) 이다.

CA 웹 등록. 웹 등록을 하면 다음과 같은 목적으로 웹 브라우저를 통해 CA에 연결할 수 있다.

                ·      인증서 요청 및 인증서 요청 검토

·      CRL(인증서 해지 목록) 검색

·      스마트 카드 인증서 등록

웹 서버는 추후에 웹 페이지를 통해서 인증서를 발급받기 위해서이다.

 

 

 

인증기관, 인증기관 웹 등록 체크 후 다음을 누른다.

 

 

AD CS 사용 시 요구 사항

CA는 Windows® 2000 Server, Windows Server® 2003 및 Windows Server 2008 등 다양한 운영 체제를 실행하는 서버에 설정할 수 있다. 하지만 일부 운영 체제에서는 특정 기능이나 설계 요구 사항을 지원하지 않을 수 있으므로 최적의 설계를 위해서는 신중히 계획하고 시험해 본 후 프로덕션 환경에서 AD CS를 배포해야 한다. 단일 CA를 위해 서버 1대 정도의 소규모 하드웨어에 AD CS를 배포할 수도 있지만, 대부분의 배포에서는 다수의 서버를 루트, 정책 및 발급 CA로 구성하고 나머지 서버는 온라인 응답자로 구성하게 된다.

 

 

CA(인증 기관). 루트 및 하위 CA는 사용자, 컴퓨터 및 서비스에 인증서를 발급하고 해당 유효성을 관리하는 데 사용된다.

 

 

Key가 없으니 "새 개인 키 만들기" 다음을 누른다.

 

 

CSP(암호화 서비스 공급자)는 Windows 기반 응용 프로그램에서 Microsoft CryptoAPI(암호화 응용 프로그래밍 인터페이스)를 통해 액세스하는 인증, 인코딩 및 암호화 서비스를 수행하는 프로그램.

 

CSP마다 CryptoAPI의 구현이 다르다.

일부는 강력한 암호화 알고리즘을 제공하고 일부는 스마트 카드와 같은 하드웨어 구성 요소를 사용한다.

새 인증서 요청을 생성하면 해당 요청의 정보는 먼저 요청 프로그램에서 CryptoAPI로 보내진다. CryptoAPI는 컴퓨터 또는 컴퓨터에 액세스할 수 있는 장치의 설치된 CSP에 올바른 데이터를 제공한다. CSP가 소프트웨어 기반 프로그램이면 키 쌍이라고도 하는 공개 키와 개인 키를 사용자의 컴퓨터에 생성한다. CSP가 스마트 카드 CSP와 같은 하드웨어 기반 프로그램이면 하드웨어의 일부에서 키 쌍을 생성하도록 명령한다.

키가 생성되면 소프트웨어 기반 CSP는 개인 키를 암호화한 다음 보안을 설정한다. 스마트 카드 CSP는 개인 키를 스마트 카드에 저장한다. 그런 다음 스마트 카드에서 해당 키에 대한 액세스를 제어한다.

공개 키는 인증서 요청자 정보와 함께 CA(인증 기관)에 보내집니다. CA가 정책에 따라 인증서 요청을 확인하면 자체 개인 키를 사용하여 인증서에 디지털 서명을 만든 다음 요청자에게 인증서를 발급한다. CA는 컴퓨터 또는 하드웨어 장치의 적절한 인증서 저장소에 인증서를 설치하는 옵션과 함께 인증서를 인증서 요청자에게 제공한다.

 

 

CA의 이름을 입력 한다음 다음을 누른다.

 

 

인증서에대한 유효기간을 설정 한다.

기본값은 5년이다.

 

 

위의 “인증서 데이터베이스” 부분에서 “인증서 데이터베이스 위치” 및 “인증서 데이터베이스 로그 위치” 경로 모두 양쪽 노드에서 연결된 공유 디스크의 특정 폴더로 지정해야 한다. 이 부분이 “CA” 서비스의 클러스터 홖경에서 운영되도록 하는 중요 부분이다.

 

 

인증서비스에 대해서 필요한 부분을 체크 한다.

웹에서 인증을 받을 경우에 위의 부분을 체크 한다.

 

"Active Directory 인증서 서비스" 와 "웹 서버(IIS)"가 모두 설치 된것을 볼 수 있다.

 

 

시작 -> 관리도구 -> IIS 인터넷 정보 서비스 관리자를 실행한다.

Hostname 확인 하고, "서버 인증서" 클릭한다.

웹에서 서버로 접속이 가능하도록 서버 인증서를 만들어서 발급을 해줘야 서버로 접속이 가능해 진다.

 

오른쪽 메뉴 탭에서 "자체 서명된 인증서 만들기" 클릭.

인증서 이름을 입력후 확인을 누른다.

 

 

왼쪽 메뉴 탭에서 "Default Web Site" 에서 "사이트 바인딩"을 추가 해 준다.

https:// 접속이 가능 하도록 하기 위함이다.

포트는 443포트를 사용한다.

SSL 인증서는 자체 서명된 인증서로 만들었던 인증서를 선택 해주면 된다.

 

 

Client 에서 https://서버IP/certstrv 입력하면 위의 창이 보이게 된다.

 

"CA 인증서, 인증서 체인 또는 CRL 다운로드" 클릭 한다.

 

먼저 서버에서 인증을 받아야 한다.

 

 

"CA 인증서 다운로드" 클릭 하면 저장을 할수 있는 창이 뜬다.

 

저장을 누른다.

 

 

 

인증서 저장 위치는 "신뢰된 루트 인증 기관" 폴더 밑에 "Local Computer" 에 저장하면 된다.

 

 

 

Client 에서 다시 https://서버IP/certstrv 입력 한다.

 

이제 "인증서 요청"을 한다.

 

 

"고급 인증서 요청" 클릭 한다.

 

 

"이 CA에 요청을 만들어 제출합니다." 클릭

 

 

 

값을 입력하고 "제출" 하면 된다.

 

 

다시 한번 물어 보는 메시지..."확인"

 

 

인증서 요청은 완료 되었다.

 

이제 서버에서 인증서를 승인을 해주면 된다.

 

 

서버에서 "창문키 + R" 눌러서 "실행"창 띄운 후 "mmc" 입력

 

"파일" 에서 "스냅인 추가/제거"에서 "추가" 클릭 후 "인증기관" 추가 한다.

 

인증기관에서 "보류 중인 요청" 을 확인해 보면 Client 에서 요청한 인증서가 확인 될 것이다.

 

인증서 마우스 오른쪽 버튼 누른 후 "모든작업"에서 "발급" 클릭 하면 인증서가 발급이된다.

 

 

이제 Client 에서 확인을 하면된다.

 

"보류 중인 인증서 요청 상태 확인" 클릭

 

 

"IPSec 인증서 (날짜)" 클릭

 

 

 

신뢰 할 수 있는 인증기관에서 발급받은 건지 물어 보는 메시지

 

"예" 클릭

 

Clieut 에서 "창문키 + R" 눌러서 "실행"창 띄운 후 "mmc" 입력

 

"파일" 에서 "스냅인 추가/제거"에서 "추가" 클릭 후 "인증서" 추가 한다.

 

 

"인증서 스냅인" 에서 "컴퓨터계정" 클릭 후 다음

 

 

받아온 인증서를 이곳에서 확인이 가능 하다.

 

"인증서" 에서 "신뢰된 루트 인증기관" 하위 메뉴인 "인증서" 에서 확인 할 수 있다.