로컬 인증 기관에서 작성한 인증서 요청

  • 아티클

게시: 2009년 11월

업데이트 날짜: 2010년 2월

적용 대상: Forefront Threat Management Gateway (TMG)

서버 인증서가 내부용인 경우에는 로컬 CA(인증 기관)를 작성할 수 있습니다. 그러면 상용 인증서를 구입하지 않아도 됩니다.

로컬 인증 기관을 설정하려면

  1. 제어판을 엽니다.

  2. 프로그램 추가/제거를 두 번 클릭합니다.

  3. Windows 구성 요소 추가/제거를 클릭합니다.

  4. 응용 프로그램 서버를 두 번 클릭합니다.

  5. **IIS(인터넷 정보 서비스)**를 두 번 클릭합니다.

  6. World Wide Web 서비스를 두 번 클릭합니다.

  7. Active Server Pages를 선택합니다.

  8. 확인을 클릭하여 World Wide Web 서비스 대화 상자를 닫고 확인을 클릭하여 IIS(인터넷 정보 서비스) 대화 상자를 닫은 다음 확인을 다시 클릭하여 응용 프로그램 서버 대화 상자를 닫습니다.

  9. 인증서 서비스를 선택합니다. 컴퓨터 이름 및 도메인 구성원 관련 경고를 검토합니다. 계속하려면 경고 대화 상자에서 를 클릭하고 Windows 구성 요소 페이지에서 다음을 클릭합니다.

  10. CA 종류 페이지에서 다음 중 하나를 선택하고 다음을 클릭합니다.

    • 엔터프라이즈 루트 CA. 엔터프라이즈 루트 CA가 도메인 구성원에 설치되어 있어야 합니다. 엔터프라이즈 루트 CA는 도메인 컨트롤러에서 인식되는 권한 있는 사용자가 요청할 경우 인증서를 자동으로 발급합니다.

    • 독립 실행형 루트 CA. 독립 실행형 루트 CA를 선택하는 경우에는 관리자가 요청된 각 인증서를 발급해야 합니다.

  11. CA 확인 정보 페이지에서 CA에 대한 일반 이름을 입력하고 고유 이름 접미사를 확인하고 유효 기간을 선택한 후 다음을 클릭합니다.

  12. 인증서 데이터베이스 설정 페이지에서 기본 설정을 검토합니다. 데이터베이스 위치를 수정할 수 있습니다. 다음을 클릭합니다.

  13. Windows 구성 요소 마법사 완료 페이지에서 요약 내용을 검토한 다음 마침을 클릭합니다.

참고

이 절차를 수행하면 컴퓨터에서 웹 페이지를 통해 인증서를 가져올 수 있는 서비스도 설치됩니다. 다른 방법을 사용하여 컴퓨터에 대한 인증서를 가져오려면 이 절차에서 설명하는 IIS(인터넷 정보 서비스) 및 Active Server Pages 설치를 수행할 필요가 없습니다.

CA 웹 사이트에 대한 액세스를 허용하려면 CA 웹 사이트를 게시해야 합니다. 웹 사이트에 대한 액세스를 제한하려면 서버 전체를 모든 사용자에게 게시하지 않고 웹 사이트에서 필요한 폴더만 특정 사용자 집합에게 게시할 수 있습니다. 웹 게시에 대한 자세한 내용은 게시 계획을 참조하십시오.

서버 인증서를 설치하려면

  1. Internet Explorer를 엽니다.

  2. 메뉴에서 도구를 선택하고 인터넷 옵션을 선택합니다.

  3. 보안 탭을 선택하고 **보안 설정을 보거나 변경할 영역을 선택하십시오.**에서 신뢰할 수 있는 사이트를 클릭합니다.

  4. 사이트 단추를 클릭하여 신뢰할 수 있는 사이트 대화 상자를 엽니다.

  5. 영역에 웹 사이트 추가에서 인증서 서버 웹 사이트의 이름(http://인증 기관 서버의 IP 주소/certsrvname)을 제공하고 추가를 클릭합니다.

  6. 닫기를 클릭하여 신뢰할 수 있는 사이트 대화 상자를 닫고 확인을 클릭하여 인터넷 옵션을 닫습니다.

  7. 다음을 찾습니다.

    http://인증 기관 서버의 IP 주소/certsrv

  8. 인증서를 요청합니다.

  9. 고급 인증서 요청을 선택합니다.

  10. **이 CA에 요청을 만들어 제출합니다.**를 선택합니다.

  11. 양식을 완료하고 유형 드롭다운 목록에서 서버 인증 인증서를 선택합니다. 연결할 때 클라이언트에 오류 메시지가 표시되지 않게 하려면 다음과 같이 인증서에 대해 제공하는 일반 이름이 게시된 서버 이름과 일치해야 합니다.

    • 서버 게시의 경우, 게시할 서버의 FQDN(정규화된 도메인 이름)을 일반 이름으로 입력합니다.

      참고

      고급 인증서 요청 페이지에서 사용할 수 있는 옵션에 대한 자세한 내용은 Windows Server 2003 인증서 서비스 사용 웹 페이지(https://www.microsoft.com)를 참조하십시오.

    • 웹 게시의 경우, 외부 클라이언트가 웹 사이트에 액세스하기 위해 웹 브라우저에 입력할 호스트 이름(예: news.adatum.com)을 Forefront TMG 컴퓨터의 인증서에 대해 입력합니다.

    • 웹 게시의 경우, Forefront TMG 컴퓨터에 필요한 인증서와 함께 웹 서버에 서버 인증서를 설치하려면 Forefront TMG 컴퓨터에서 웹 게시 규칙을 통해 웹 서버에 HTTP 요청 메시지를 보내는 데 사용하는 호스트 이름을 일반 이름으로 지정해야 합니다. 이 이름은 웹 서버의 IP 주소로 확인 가능해야 하며 웹 서버의 FQDN과 같을 수 있습니다(예: webserver1.adatum.com).

  12. 인증서를 로컬 컴퓨터의 인증서 저장소에 저장을 선택하고 제출을 클릭하여 요청을 제출합니다. 표시되는 경고 대화 상자를 검토하고 를 클릭합니다.

  13. 독립 실행형 루트 CA를 설치한 경우 인증 기관 컴퓨터에서 다음 단계를 수행합니다. 이 단계는 엔터프라이즈 루트 CA에서 자동으로 실행됩니다.

    1. 시작을 클릭하고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 인증 기관을 클릭하여 MMC(Microsoft Management Console) 인증 기관 스냅인을 엽니다.

    2. CA_Name 노드를 확장합니다. 여기서 CA_Name은 인증 기관의 이름입니다.

    3. 대기 중인 요청 노드를 클릭하고 요청을 마우스 오른쪽 단추로 클릭한 다음 모든 작업을 선택하고 발급을 선택합니다.

  14. Forefront TMG 컴퓨터에서 http://인증 기관 서버의 IP 주소/certsrv 웹 페이지로 돌아가서 대기 중인 요청의 상태 보기를 클릭합니다.

  15. 요청을 클릭하고 이 인증서 설치를 선택합니다.

  16. 다음 단계를 수행하여 서버 인증서가 제대로 설치되었는지 확인합니다.

    1. 시작, 실행을 차례로 클릭하고 열기 텍스트 상자에 mmc를 입력한 다음 확인을 클릭합니다.

    2. 콘솔1 창에서 파일 메뉴를 클릭한 다음 스냅인 추가/제거를 클릭합니다.

    3. 스냅인 추가/제거 대화 상자에서 인증서를 선택하고 추가를 클릭합니다.

    4. 인증서 스냅인 페이지에서 컴퓨터 계정을 선택하고 다음을 클릭합니다.

    5. 컴퓨터 선택 페이지에서 로컬 컴퓨터를 선택하고 마침을 클릭합니다.

    6. 스냅인 추가/제거 대화 상자에서 확인을 클릭합니다.

    7. 콘솔 트리에서 인증서(로컬 컴퓨터) 노드, 개인을 차례로 확장하고 인증서를 클릭한 다음 새 서버 인증서를 두 번 클릭합니다. 일반 탭에는 **사용자가 이 인증서와 일치하는 개인 키를 갖고 있습니다.**라는 메모가 표시되어야 합니다. 인증 경로 탭에는 인증서와 CA(인증 기관) 사이의 계층 관계 및 **올바른 인증서입니다.**라는 메모가 표시되어야 합니다.

    8. Console1 창을 닫습니다.

참고

이 절차는 디지털 인증서가 필요한 컴퓨터에서 수행합니다. 웹 게시의 경우 최소한 Forefront TMG 컴퓨터이며 웹 서버 컴퓨터를 포함할 수도 있습니다. 서버 게시의 경우 게시 중인 서버 컴퓨터만 해당됩니다. 엔터프라이즈 루트 CA 대신 독립 실행형 루트 CA를 설치한 경우 인증 기관에서 수행할 작업이 있습니다.

Forefront TMG 컴퓨터에서 CA로부터 가져온 서버 인증서는 Forefront TMG 컴퓨터의 개인 인증서 저장소에 저장되어야 합니다. CA의 루트 인증서는 Forefront TMG 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 저장되어야 합니다.

로컬 CA로부터 설치한 서버 인증서를 클라이언트 컴퓨터에서 신뢰하려면 CA의 루트 인증서가 클라이언트 컴퓨터에 설치되어 있어야 합니다. 루트 인증서가 필요한 모든 클라이언트 컴퓨터에서 이 절차를 따릅니다. 디스크와 같은 미디어에 루트 인증서를 전송한 다음 클라이언트 컴퓨터에 설치할 수도 있습니다.

루트 인증서를 설치하려면

  1. Internet Explorer를 엽니다.

  2. 메뉴에서 도구를 선택하고 인터넷 옵션을 선택합니다.

  3. 보안 탭을 선택하고 사용자 지정 수준을 클릭하여 보안 설정 대화 상자를 엽니다. 사용자 지정 설정 드롭다운 메뉴에서 값을 중간으로 설정하고 확인을 클릭하여 보안 설정 대화 상자를 닫은 다음 확인을 다시 클릭하여 인터넷 옵션 대화 상자를 닫습니다.

    참고

    보안 설정이 높음으로 설정된 경우 인증서를 설치할 수 없습니다.

  4. 다음을 찾습니다.

    http://인증 기관 서버의 IP 주소/certsrv

  5. CA 인증서, 인증서 체인 또는 CRL 다운로드를 클릭합니다. 다음 페이지에서 CA 인증서 다운로드를 클릭합니다. 이 인증서는 Forefront TMG 컴퓨터에 설치해야 하는 루트 CA 인증서입니다. 파일 다운로드 대화 상자에서 열기를 클릭합니다.

  6. 인증서 대화 상자에서 인증서 설치를 클릭하여 인증서 가져오기 마법사를 시작합니다.

  7. 인증서 가져오기 마법사 시작 페이지에서 다음을 클릭합니다. 인증서 저장소 페이지에서 모든 인증서를 다음 저장소에 저장을 선택하고 찾아보기를 클릭합니다. 인증서 저장소 선택 대화 상자에서 실제 저장소 표시를 선택합니다. 신뢰할 수 있는 루트 인증 기관을 확장하고 로컬 컴퓨터를 선택한 다음 확인을 클릭합니다. 인증서 저장소 페이지에서 다음을 클릭합니다.

  8. 인증서 가져오기 마법사 완료 페이지에서 세부 정보를 검토한 다음 마침을 클릭합니다.

  9. 다음 단계를 수행하여 루트 인증서가 제대로 설치되었는지 확인합니다.

    1. MMC(Microsoft Management Console) 인증서(로컬 컴퓨터) 스냅인을 엽니다.

    2. 신뢰할 수 있는 루트 인증 기관 노드를 확장하고 인증서를 클릭하여 루트 인증서가 해당 위치에 있는지 확인합니다.

    참고

    MMC 인증서(로컬 컴퓨터) 스냅인에서 컴퓨터에 인증서를 설치할 수도 있습니다. 하지만 이 경우 동일한 도메인의 인증 기관에만 액세스할 수 있습니다.