네트워크 장치 등록 서비스 지침

게시 날짜: 2016년 9월

적용 대상: Windows Server 2012 R2, Windows Server 2012

NDES(네트워크 장치 등록 서비스)를 사용하면 도메인 자격 증명 없이 실행되는 라우터 및 기타 네트워크 장치의 소프트웨어에서 SCEP(단순 인증서 등록 프로토콜)를 기반으로 인증서를 가져올 수 있습니다.

네트워크 장치 등록 서비스는 다음과 같은 기능을 수행합니다.

1. 일회용 등록 암호를 생성하고 관리자에게 제공

2. CA에 등록 요청 제출

3. CA에서 등록된 인증서를 검색하여 네트워크 장치로 전달

NDES 구성 설정

다음 섹션에서는 NDES 이진 설치 파일을 설치한 후 선택할 수 있는 구성 옵션에 대해 설명합니다.

NDES에 대한 서비스 계정 구성

다음 중 하나로 실행하도록 NDES를 구성할 수 있습니다.

• 서비스 계정으로 지정된 사용자 계정

• IIS(인터넷 정보 서비스) 컴퓨터의 기본 제공 응용 프로그램 풀 ID

기본 제공 응용 프로그램 풀 ID를 선택한 경우에는 추가 구성이 필요하지 않습니다. 그러나 추가 구성이 필요한 사용자 계정을 지정하는 것이 좋습니다. NDES 서비스 계정으로 지정된 사용자 계정은 다음 요구 사항을 충족해야 합니다.

• 도메인 사용자 계정이어야 합니다.

• 로컬 IIS_IUSRS 그룹의 구성원이어야 합니다.

• 구성된 CA에 대한 요청 권한이 있어야 합니다.

• 자동으로 구성되는 NDES 인증서 템플릿에 대한 읽기 및 등록 권한이 있어야 합니다.

• Active Directory에 설정된 SPN(서비스 사용자 이름)이 있어야 합니다.

NDES 서비스 계정 역할을 할 도메인 사용자 계정을 만들려면

1. Active Directory 도메인 서비스 원격 서버 관리 도구가 설치되어 있는 도메인 컨트롤러 또는 관리 컴퓨터에 로그인합니다. 도메인에 사용자를 추가할 권한이 있는 계정을 사용하여 Active Directory 사용자 및 컴퓨터를 엽니다.

2. 콘솔 트리에서 사용자 계정을 만들 컨테이너가 표시될 때까지 구조를 확장합니다. 예를 들어 일부 조직에는 서비스 OU 또는 이와 유사한 계정이 있습니다. 컨테이너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 후 사용자를 클릭합니다.

3. 새 개체 - 사용자 텍스트 상자에 사용자 계정을 만들고 있다는 것을 명확히 알 수 있도록 모든 필드에 대한 적절한 이름을 입력합니다. 서비스 계정 만들기에 대한 조직의 정책이 있는 경우 이러한 정책을 따라야 합니다. 예를 들어 다음을 입력한 후 다음을 클릭할 수 있습니다.

   1. 이름: Ndes

   2. 성: 서비스

   3. 사용자 로그온 이름: NdesService

4. 계정에 대해 복잡한 암호를 설정하고 암호를 확인해야 합니다. 서비스 계정에 대한 조직의 보안 정책에 해당하는 암호 옵션을 구성하세요. 암호가 만료되도록 구성된 경우 필요한 간격으로 암호를 재설정할 수 있는 프로세스가 있어야 합니다.

5. 다음을 클릭한 후 마침을 클릭합니다.

NDES 서비스 계정을 로컬 IIS_IUSERS 그룹에 추가하려면

1. NDES 서비스를 호스트하는 서버에서 컴퓨터 관리(compmgmt.msc)를 엽니다.

2. 컴퓨터 관리 콘솔 트리에서 시스템 도구 아래의 로컬 사용자 및 그룹을 확장합니다.그룹을 클릭합니다.

3. 세부 정보 창에서 IIS_IUSRS를 두 번 클릭합니다.

4. 일반 탭에서 추가를 클릭합니다.

5. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 서비스 계정으로 구성한 계정의 사용자 로그인 이름을 입력합니다.

6. 이름 확인을 클릭하고 확인을 두 번 클릭한 후 컴퓨터 관리를 닫습니다.

CA에 대한 요청 권한이 있는 NDES 서비스 계정을 구성하려면

1. NDES에서 사용할 CA에서 CA 관리 권한이 있는 계정으로 인증 기관 콘솔을 엽니다.

2. 인증 기관 콘솔을 엽니다. 인증 기관을 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.

3. 보안 탭에서 인증서 요청 권한이 있는 계정을 확인할 수 있습니다. 기본적으로 Authenticated Users 그룹에 이 권한이 있습니다. 새로 만든 서비스 계정은 Authenticated Users의 구성원으로 사용됩니다.Authenticated Users에 인증서 요청 권한이 있는 경우 추가 권한을 부여할 필요가 없습니다. 그러나 그렇지 않은 경우에는 NDES 서비스 계정에 CA에 대한 인증서 요청 권한을 부여해야 합니다. 이렇게 하려면

   • 추가를 클릭합니다.

   • 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 NDES 서비스 계정의 이름을 입력하고 이름 확인을 클릭한 후 확인을 클릭합니다.

   • NDES 서비스 계정이 선택되어 있는지 확인합니다.인증서 요청에 해당하는 허용 확인란이 선택되어 있는지 확인합니다.확인을 클릭합니다.

NDES 서비스 계정에 대한 서비스 사용자 이름을 설정하려면

1. Domain Admins 그룹의 구성원인 계정을 사용하고 있는지 확인합니다. 관리자 권한으로 Windows PowerShell 또는 명령 프롬프트를 엽니다.

2. 다음 명령 구문을 사용하여 NDES 서비스 계정에 대한 SPN(서버 사용자 이름)을 등록합니다. setspn -s http/<computername> <domainname>\<accountname>. 예를 들어 CA1이라는 컴퓨터에서 실행되는 cpandl.com 도메인의 로그인 이름 NdesService를 사용하여 서비스 계정을 등록하려면 다음 명령을 실행합니다. setspn -s http/CA1.cpandl.com cpandl\NdesService

NDES의 CA 선택

클라이언트에 인증서를 발급할 때 사용할 NDES 서비스의 CA를 선택해야 합니다. NDES가 CA에 설치되어 있는 경우에는 로컬 CA가 사용되므로 CA를 선택할 수 없습니다. CA가 아닌 컴퓨터에 NDES를 설치할 때는 대상 CA를 선택해야 합니다. CA 이름 또는 컴퓨터 이름으로 CA를 선택할 수 있습니다.CA 이름 또는 컴퓨터 이름을 클릭한 후 선택을 클릭합니다. 선택한 옵션에 따라 다음에 표시되는 대화 상자의 유형이 결정됩니다.

• CA 이름을 클릭한 경우 선택할 수 있는 CA 목록이 있는 인증 기관 선택 대화 상자가 나타납니다.

• 컴퓨터 이름을 클릭한 경우 위치를 설정하고 CA로 지정할 컴퓨터 이름을 입력할 수 있는 컴퓨터 선택 대화 상자가 표시됩니다.

RA 정보 설정

RA 정보 페이지에는 서비스를 RA로 설정하기 위한 모든 필수 및 선택 필드가 수집됩니다. 여기에서 제공하는 정보는 서비스에 발급된 서명 인증서를 생성하는 데 사용됩니다.

NDES에 대한 암호화 구성

네트워크 장치 등록 서비스에서는 두 개의 인증서와 해당 키를 사용하여 장치 등록을 활성화합니다. 조직에서는 서로 다른 CSP(암호화 서비스 공급자)를 사용하여 이러한 키를 저장하거나, 서비스에서 사용되는 키의 길이를 변경할 수 있습니다. RA 키에는 암호화 응용 프로그래밍 인터페이스(CryptoAPI) 서비스 공급자만 지원됩니다. CNG(Cryptography API: Next Generation) 공급자는 지원되지 않습니다.

전체 NDES 구성

NDES 구성 및 작업에 대한 자세한 내용은 Microsoft TechNet의 AD CS(Active Directory 인증서 서비스)의 NDES(네트워크 장치 등록 서비스) 문서에서 확인할 수 있습니다.

모바일 장치에 대한 무선 등록이 필요한 경우 네트워크 장치 등록 서비스와 함께 정책 모듈 사용을 참조하세요.

관련 콘텐츠

• 웹 등록 페이지에서 CA 인증서를 다운로드할 수 없습니다.

• AD CS: 웹 등록

• Windows Server 보안 포럼

• AD CS(Active Directory 인증서 서비스) PKI(공개 키 인프라)에 대한 FAQ(질문과 대답)

• Windows PKI 설명서 참조 및 라이브러리

• Windows PKI 블로그