모바일 장치 인증에 인증서 사용

  • 아티클

 

마지막으로 수정된 항목: 2008-02-14

지난 달에 SSL(Secure Sockets Layer)을 사용하여 Microsoft Exchange ActiveSync 클라이언트와 Microsoft Exchange를 실행하는 컴퓨터 간의 통신 보안을 향상시키는 방법에 대해 설명했습니다. 이번 달에는 추가 보안 수준인 클라이언트 인증에 대해 알아보겠습니다.

인증은 클라이언트와 서버가 데이터 전송을 위해 해당 클라이언트와 서버의 ID를 확인하는 프로세스입니다. SSL을 사용하여 통신을 암호화하면 클라이언트와 서버 간에 교환하는 데이터가 암호화 계층에 래핑되므로 데이터를 보호할 수 있습니다. Microsoft Exchange Server 2007에서는 인증을 사용하여 Exchange 서버와 통신하려는 사용자 또는 클라이언트 및 해당 내용을 확인합니다. 인증을 통해 장치가 특정 개인에게 속하는지를 확인할 수 있습니다.

Exchange ActiveSync 가상 디렉터리에서 인증을 구성할 수 있습니다. 이 설정은 클라이언트 장치가 인증에 클라이언트 인증서를 사용하는지 여부를 제어합니다. 기본적으로 Exchange 2007에 대해 클라이언트 액세스 서버 역할을 설치하면 Exchange ActiveSync 가상 디렉터리는 SSL을 통한 기본 인증을 사용하도록 구성됩니다. Exchange ActiveSync 가상 디렉터리의 속성을 수정하여 인증 방법을 변경할 수 있습니다. 이 문서에서는 다양한 인증 유형에 대해 간단하게 설명하고 Exchange ActiveSync 가상 디렉터리의 인증 방법을 구성하기 위한 지침을 제공합니다. 또한 모바일 장치에서 인증하기 위한 클라이언트 인증서를 구성하기 위한 지침도 제공합니다.

인증 유형 개요

인증에는 기본 인증, 인증서 기반 인증 및 토큰 기반 인증, 이 세 가지 유형이 있습니다. 이 섹션에서는 이들 인증 유형에 대해 간단하게 설명합니다.

기본 인증

기본 인증은 가장 간단한 인증 방법입니다. 기본 인증을 사용하는 경우 서버는 클라이언트가 사용자 이름과 암호를 전송할 것을 요청합니다. 해당 사용자 이름과 암호는 일반 텍스트 형식이며 인터넷을 통해 서버로 전송됩니다. 서버는 제공된 사용자 이름 및 암호가 유효한지 확인한 다음 클라이언트에 대한 액세스 권한을 부여합니다. 이 방법이 Exchange ActiveSync의 기본 인증 방법입니다. SSL을 사용하도록 설정한 경우에는 이 인증 방법만 사용하는 것이 좋습니다. Exchange ActiveSync 가상 디렉터리에서 SSL을 사용하지 않도록 설정하려는 경우에는 다른 인증 방법을 선택하는 것이 좋습니다.

인증서 기반 인증

인증서 기반 인증은 디지털 인증서를 사용하여 ID를 확인합니다. 인증서 기반 인증에서는 사용자 이름 및 암호 외에 다른 형식의 자격 증명을 제공하여, Exchange 2007 서버에 저장된 사서함 리소스에 액세스하려는 사용자의 ID를 증명합니다. 디지털 인증서는 장치에 저장된 개인 키와 서버에 설치된 공용 키와 같이 두 가지 구성 요소로 구성됩니다.

Exchange ActiveSync에 대해 인증서 기반 인증을 요구하도록 Exchange 2007을 구성하는 경우 다음 조건을 충족하는 장치만이 Exchange 2007과 동기화될 수 있습니다.

  • 장치에 사용자 인증용으로 만들어진 유효한 클라이언트 인증서가 설치되어 있습니다.

  • 장치에 SSL 연결을 설정하기 위해 연결 중인 서버에 대한 신뢰할 수 있는 루트 인증서가 있습니다.

인증서 기반 인증을 배포하면 사용자 이름 및 암호만 있는 사용자가 Exchange 2007과의 동기화 작업을 수행할 수 없습니다. 추가적인 보안 수준으로 사용되는 인증용 클라이언트 인증서는 Microsoft Windows XP의 경우 Desktop ActiveSync 4.5 이상 버전을 통해, Windows Vista의 경우 Windows Mobile Device Center를 통해 장치를 도메인 가입 컴퓨터에 연결한 경우에만 설치할 수 있습니다.

토큰 기반 인증 시스템

토큰 기반 인증 시스템은 2단계 인증 시스템입니다. 2단계 인증은 암호와 같이 사용자가 알고 있는 정보의 일부와 대개 사용자가 휴대할 수 있는 신용 카드 또는 전자 열쇠 등의 형태인 외부 장치를 기반으로 합니다. 각 장치에는 고유한 일련 번호가 있습니다. 일부 공급업체에서는 하드웨어 토큰 이외에 모바일 장치에서 실행할 수 있는 소프트웨어 기반 토큰을 제공하기도 합니다.

토큰은 60초마다 변경되는 고유한 숫자(보통 6자리)를 표시하는 방식으로 작동합니다. 사용자에게 발급되는 토큰은 서버 소프트웨어와 동기화됩니다. 인증을 수행하려면 사용자는 사용자 이름, 암호 및 현재 토큰에 표시된 숫자를 입력합니다. 일부 토큰 기반 인증 시스템에서는 사용자가 PIN도 입력해야 합니다.

토큰 기반 인증은 강력한 인증 형식이지만, 서버에 인증 소프트웨어를 설치해야 하고 모든 사용자의 컴퓨터나 모바일 장치에 인증 소프트웨어를 배포해야 한다는 단점이 있습니다. 또한 사용자가 외부 장치를 잃어버릴 가능성도 있습니다. 그러한 경우 잃어버린 외부 장치를 교체해야 하기 때문에 추가 비용이 발생할 수 있습니다. 그러나 원래 사용자의 인증 정보가 없으면 다른 사람은 외부 장치를 사용할 수 없습니다. 다양한 회사에서 토큰 기반 인증 시스템을 제공하고 있습니다. 이러한 시스템의 구성 방법 등 시스템에 대한 자세한 내용은 해당 시스템의 설명서를 참조하십시오.

Exchange ActiveSync 가상 디렉터리에서 인증서 기반 인증을 구성하는 방법

인증서 기반 인증을 위한 Exchange ActiveSync 가상 디렉터리를 구성하려면 다음 절차 중 하나를 사용합니다.

Exchange 관리 콘솔을 사용하여 Exchange ActiveSync의 인증서 기반 인증을 구성하려면 다음을 수행합니다.

  1. 서버 구성을 확장하고 클라이언트 액세스를 클릭합니다.

  2. 결과 창에서 Exchange ActiveSync 탭을 클릭합니다.

  3. Microsoft-Server-ActiveSync 가상 디렉터리를 선택합니다.

  4. 작업 창의 Microsoft-Server-ActiveSync 아래에서 속성을 클릭합니다.

  5. 인증 탭을 클릭합니다.

  6. 기본 인증(암호를 일반 텍스트로 보냄) 옆에 있는 확인란의 선택을 취소합니다.

  7. 클라이언트 인증서 필요를 클릭합니다. 클라이언트 인증서 인증을 허용하기는 하지만 필수로 지정하지는 않으려면 클라이언트 인증서 수락을 클릭하면 됩니다.

  8. 적용을 클릭하여 변경 내용을 저장하거나 확인을 클릭하여 변경 내용을 저장하고 Microsoft-Server-ActiveSync 속성 대화 상자를 닫습니다.

Exchange 관리 셸을 사용하여 Exchange ActiveSync의 인증서 기반 인증을 구성하려면 다음을 수행합니다.

  • 다음 명령을 실행합니다.

    Set-ActiveSyncVirtualDirectory -Identity :"ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled:$false -ClientCertAuth:"Required"

구문과 매개 변수에 대한 자세한 내용은 Set-ActiveSyncVirtualDirectory를 참조하십시오.

Windows 모바일 장치에서 인증서 기반 인증을 구성하는 방법

Windows Mobile이 탑재된 장치에서 다음 절차를 수행하려면 장치 및 데스크톱 또는 휴대용 컴퓨터 간에 ActiveSync 연결이 설정되어 있는지 확인합니다. 또한 데스크톱 또는 휴대용 컴퓨터를 도메인에 가입시켜야 합니다. Windows XP 컴퓨터의 경우 이 연결을 설정하는 데 데스크톱 ActiveSync를 사용합니다. Windows Vista 컴퓨터의 경우에는 Windows Mobile Device Center를 사용합니다.

데스크톱 인증서 등록 도구를 사용하려면 회사 네트워크에 로그온한 컴퓨터에 장치를 탑재해야 합니다. 다음은 데스크톱 ActiveSync 또는 Windows Mobile Device Center를 사용하여 회사 서버에서 인증서를 등록하는 절차입니다.

ActiveSync를 사용하여 회사 서버에서 인증서를 등록하려면 다음을 수행합니다.

  1. 장치가 컴퓨터에 연결되어 있으면 ActiveSync 또는 Windows Mobile Device Center에서 도구, 고급 도구, **Get Device Certificates
(장치 인증서 가져오기)**를 차례로 클릭합니다.

  2. 보기 드롭다운 상자에서 Active Directory의 인증서 유형을 선택한 다음 등록을 클릭합니다.

  3. **Get Device Certificates
(장치 인증서 가져오기)**에서 를 클릭하여 계속합니다.

  4. Windows Mobile 6.0 장치에서 설치 과정을 확인하라는 메시지가 나타납니다. 장치에서 계속을 클릭합니다.

  5. 장치에 두 번째 메시지가 나타날 수 있습니다. 이 경우에는 설치를 선택합니다.

  6. 등록 과정의 마지막 단계에서 등록 성공 대화 상자가 표시되면 컴퓨터에서 확인을 클릭한 다음 닫기를 클릭합니다.

결론

Exchange ActiveSync에 대해 다양한 보안 기능을 구현할 수 있으며, 인증서 기반 인증도 이러한 기능 중 하나입니다. Exchange ActiveSync는 SSL을 통한 기본 인증이나 인증서 기반 인증을 사용하도록 구성하는 것이 좋습니다. 인증 및 암호화 옵션에 대한 자세한 내용은 다음 항목을 참조하십시오.