내보내기(0) 인쇄
모두 확장

Foundation Network 부록 가이드: 서버 인증서 배포

업데이트 날짜: 2008년 2월

적용 대상: Windows Server 2008

이 가이드는 Microsoft 다운로드 센터(http://go.microsoft.com/fwlink/?LinkId=105231)(페이지는 영문일 수 있음)에서 다운로드할 수 있는 Windows Server® 2008 Foundation Network 가이드의 부록입니다.

Windows Server 2008 Foundation Network 가이드에서는 완벽하게 작동하는 네트워크와 새 포리스트의 새 Active Directory(R) 도메인에 필요한 핵심 구성 요소를 계획하고 배포하기 위한 지침을 제공합니다.

이 가이드에서는 NPS(네트워크 정책 서버), RRAS(라우팅 및 원격 액세스 서비스) 또는 둘 다 실행하는 컴퓨터에 대한 서버 인증서를 배포하기 위한 지침을 제공함으로써 Foundation Network를 구축하는 방법을 설명합니다.

서버 인증서는 네트워크 액세스 인증을 위해 EAP(확장할 수 있는 인증 프로토콜) 및 PEAP(보호된 EAP)를 사용한 인증서 기반 인증 방법을 배포하는 경우 필요합니다.

EAP 및 PEAP 인증서 기반 인증 방법을 위해 AD CS(Active Directory 인증서 서비스)를 사용하여 서버 인증서를 배포하면 다음과 같은 이점이 있습니다.

  • NPS 또는 RRAS 서버의 ID를 개인 키에 바인딩

  • 인증서를 도메인 구성원 NPS 및 RRAS 서버에 자동으로 등록하기 위한 비용 효율적이고 안전한 방법

  • 인증서와 인증 기관을 관리하는 효율적인 방법

  • 인증서 기반 인증으로 보안 유지

  • 다른 용도를 위해 인증서의 사용 확장 가능

이 가이드 정보

이 가이드에서는 AD CS를 사용하여 NPS 서버, RRAS 서버 또는 둘 다에 서버 인증서를 배포하는 방법을 설명합니다.

이 가이드는 Windows Server 2008 Foundation Network 가이드의 지침에 따라 Foundation Network를 배포한 네트워크 및 시스템 관리자와 AD DS(Active Directory 도메인 서비스), DNS(Domain Name Service), DHCP(Dynamic Host Configuration Protocol), TCP/IP, NPS 및 WINS(Windows Internet Name Service)(옵션)를 비롯하여 Foundation Network에 포함된 핵심 기술을 이전에 배포한 사용자를 대상으로 합니다.

이 배포 시나리오에 사용된 각 기술에 대한 디자인 및 배포 가이드를 읽어 보는 것이 좋습니다. 이러한 가이드는 이 배포 시나리오가 사용자 조직의 네트워크에 필요한 서비스 및 구성을 제공하는지 결정하는 데 도움이 될 수 있습니다.

요구 사항

다음은 인증서를 사용하는 데 필요한 요구 사항입니다.

  • 자동 등록을 사용하여 서버 인증서를 배포하려면 AD CS에 Windows Server 2008 Enterprise Edition 또는 Datacenter Edition 운영 체제가 필요합니다. AD CS를 설치하기 전에 먼저 AD DS(Active Directory 도메인 서비스)를 설치해야 합니다. AD CS를 한 대의 서버에 배포할 수도 있지만 많은 배포 환경에서는 여러 대의 서버가 인증 기관으로 구성되어 있습니다.

  • VPN(가상 사설망)에 대해 PEAP 또는 EAP를 배포하려면 VPN 서버로 구성된 RRAS를 배포해야 합니다. NPS를 사용하는 것은 선택적이지만 VPN 서버가 여러 대인 경우에는 NPS에서 제공하는 RADIUS 계정 서비스와 관리 편의성을 위해 NPS를 사용하는 것이 좋습니다.

  • TS 게이트웨이(터미널 서비스 게이트웨이)에 대해 PEAP 또는 EAP를 배포하려면 TS 게이트웨이와 NPS를 배포해야 합니다.

  • 802.1X 보안 유선 또는 무선에 대해 PEAP 또는 EAP를 배포하려면 NPS 및 추가 하드웨어(예: 802.1X 인증 스위치 또는 무선 액세스 지점)를 배포해야 합니다.

  • EAP-TLS(전송 계층 보안이 포함된 EAP) 또는 PEAP-TLS와 같은 서버 인증을 위한 인증서 이외에 사용자 및 컴퓨터 인증을 위한 인증서를 필요로 하는 인증서 기반 인증 방법을 배포하려면 자동 등록 또는 스마트 카드를 사용하여 사용자 및 컴퓨터 인증서를 배포해야 합니다.

이 가이드에서 제공하지 않는 정보

이 가이드에서는 AD CS(Active Directory 인증서 서비스)를 사용하여 PKI(공개 키 인프라)를 디자인하고 배포하는 방법에 대해서는 자세히 설명하지 않습니다. 이 가이드에 설명된 기술을 배포하기 전에 AD CS 설명서와 PKI 디자인 설명서를 읽어 보는 것이 좋습니다. 자세한 내용은 이 문서의 뒷부분에 나오는 추가 리소스 절을 참조하십시오.

이 가이드에서는 또한 서버 인증서를 사용할 수 있는 네트워크 액세스 기술을 배포하는 방법에 대해서도 자세히 설명하지 않습니다. 경우에 따라 이러한 네트워크 액세스 솔루션을 배포하는 지침을 제공하는 추가 Foundation Network 부록 가이드가 제공될 수도 있습니다.

기술 개요

다음은 EAP, PEAP 및 AD CS에 대한 기술 개요입니다.

EAP

EAP(확장할 수 있는 인증 프로토콜)는 임의 길이의 자격 증명 및 정보 교환을 사용하는 임의의 인증 방법을 허용하여 PPP(지점 간 프로토콜)를 확장합니다. EAP는 스마트 카드, 토큰 카드 및 암호화 계산기와 같은 보안 장치를 사용하는 인증 방법에 대한 수요 증가에 부응하여 개발되었습니다. EAP는 PPP 내에서 추가 인증 방법을 지원하기 위한 산업 표준 아키텍처를 제공합니다.

EAP에서는 임의의 인증 메커니즘을 사용하여 네트워크 액세스 연결을 설정하는 클라이언트와 서버의 ID를 확인합니다. 사용할 정확한 인증 체계는 액세스 클라이언트와 인증자(네트워크 액세스 서버 또는 RADIUS 서버) 간에 협상됩니다.

EAP 인증에서 인증이 성공적으로 수행되려면 네트워크 액세스 클라이언트와 인증자(예: NPS 서버)가 모두 같은 EAP 종류를 지원해야 합니다.

Important중요
강력한 EAP 종류(예: 인증서를 기반으로 하는 EAP 종류)는 무차별 암호 대입 공격(brute force attack), 사전 공격(Dictionary Attack) 및 암호 추측 공격에 대해 CHAP 또는 MS-CHAP 버전 1과 같은 암호 기반 인증 프로토콜보다 더 나은 보안을 제공합니다.

Windows Server 2008의 EAP

Windows Server 2008에는 EAP 인프라, 두 가지 EAP 종류 및 EAP 메시지를 NPS 같은 RADIUS 서버에 전달하는 기능(EAP-RADIUS)이 포함되어 있습니다.

EAP를 사용하면 EAP 종류라는 추가 인증 체계를 지원할 수 있습니다. Windows Server 2008에서 지원하는 EAP 종류는 다음과 같습니다.

  • TLS(전송 계층 보안)

  • MS-CHAP v2(Microsoft(R) Challenge Handshake 인증 프로토콜, 버전 2)

또한 RRAS를 실행하는 서버에 다른 EAP 모듈을 연결하여 다른 EAP 방법을 제공할 수도 있습니다.

PEAP

PEAP는 TLS를 사용하여 인증 PEAP 클라이언트(예: 무선 컴퓨터)와 PEAP 인증자(예: NPS 서버 또는 다른 RADIUS(Remote Authentication Dial-In User Service) 서버) 간에 암호화된 채널을 만듭니다.

PEAP는 인증 방법을 지정하지 않지만 PEAP에서 제공하는 TLS 암호화된 채널을 통해 작동할 수 있는 다른 EAP 인증 프로토콜(예: EAP-MSCHAP v2)에 대해 추가 보안을 제공합니다. PEAP는 다음과 같은 종류의 NAS(네트워크 액세스 서버)를 통해 조직 네트워크에 연결하는 액세스 클라이언트에 대한 인증 방법으로 사용됩니다.

  • 802.1X 무선 액세스 지점

  • 802.1X 인증 스위치

  • Windows Server 2008 및 VPN(가상 사설망) 서버로 구성된 RRAS를 실행하는 컴퓨터

  • Windows Server 2008 및 터미널 서비스 게이트웨이를 실행하는 컴퓨터

PEAP의 기능

EAP 프로토콜과 네트워크 보안을 강화하기 위해 PEAP는 다음을 제공합니다.

  • 클라이언트와 서버 간에 발생하는 EAP 방법의 협상을 보호하는 TLS 채널. 이 TLS 채널은 공격자가 클라이언트와 NAS 간에 패킷을 삽입하여 보안 수준이 낮은 EAP 종류를 협상하는 일이 발생하지 않도록 합니다. 암호화된 TLS 채널은 또한 NPS 서버에 대한 서비스 거부 공격을 방지하는 데에도 유용합니다.

  • 메시지 조각화 및 리어셈블리 지원. 이렇게 하면 이 기능을 제공하지 않는 EAP 종류를 사용할 수 있습니다.

  • NPS 또는 다른 RADIUS 서버를 인증하는 기능이 있는 클라이언트. 서버도 또한 클라이언트를 인증하므로 상호 인증이 발생합니다.

  • NPS 서버가 제공한 인증서를 EAP 클라이언트가 인증할 때 권한이 없는 무선 액세스 지점의 배포 방지. 또한 PEAP 인증자와 클라이언트가 만든 TLS 마스터 암호는 액세스 지점과 공유되지 않습니다. 따라서 액세스 지점에서는 PEAP로 보호된 메시지의 암호를 해독할 수 없습니다.

  • 클라이언트의 인증 요청과 NPS 또는 다른 RADIUS 서버의 응답 간 지연을 줄이는 PEAP 빠른 다시 연결. 빠른 다시 연결을 사용하면 또한 무선 클라이언트가 인증을 반복 요청할 필요 없이 동일한 RADIUS 서버의 RADIUS 클라이언트로 구성된 액세스 지점 간을 이동할 수 있습니다. 이렇게 하면 클라이언트와 서버에 대한 리소스 요구 사항이 줄어들고 사용자가 자격 증명을 입력해야 하는 횟수가 최소화됩니다.

Active Directory 인증서 서비스

Windows Server 2008의 AD CS는 공개 키 기술이 적용된 소프트웨어 보안 시스템에 사용되는 X.509 인증서를 만들고 관리하기 위한 사용자 지정 가능한 서비스를 제공합니다. 조직에서는 AD CS를 사용하여 사용자, 장치 또는 서비스의 ID를 해당하는 공개 키에 바인딩하여 보안을 강화할 수 있습니다. AD CS에는 또한 확장 가능한 다양한 환경에서 인증서의 등록 및 해지를 관리할 수 있는 기능이 포함되어 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2015 Microsoft