부록 B: 솔루션 스크립트 및 지원 파일
게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일
이 페이지에서
소개
솔루션 지침 파일 목록
스크립트 구조
스크립트 및 지원 파일 설명
소개
부록 B는 인증서 서비스를 사용한 무선 LAN 보안 솔루션과 함께 제공되는 스크립트와 다른 지원 파일에 대한 간단한 설명을 제공합니다. 스크립트와 지원 파일은 테스트를 거쳐 올바르게 동작하지만 사용자의 관리 스크립트를 만드는 데 필요한 보조 도구로 제공됩니다. 생산 품질 코드로 사용되지는 않습니다.
사용 약관
이 솔루션과 함께 제공되는 스크립트 및 지원 파일은 Microsoft 표준 사용 약관을 따릅니다. 약관은 https://www.microsoft.com/info/cpyright.htm Microsoft – 사용 약관 정보 페이지에 있습니다.
참고: 이 스크립트와 도구를 프로덕션 환경에 배포하기 전에 테스트 환경에서 철저하게 테스트하십시오.
솔루션 지침 파일 목록
공통 스크립트
constants.vbs
helper.vbs
인증 서비스 스크립트
pkiparams.vbs
ca_monitor.vbs
ca_monitor.wsf
ca_operations.vbs
ca_operations.wsf
ca_setup.vbs
ca_setup.wsf
IAS 및 WLAN 스크립트
ias_tools.vbs
ias_tools.wsf
wl_tools.vbs
wl_tools.wsf
IASClientExport.bat
IASClientImport.bat
IASExport.bat
IASImport.bat
IAS_Data.bat
IAS 및 WLAN 지원 파일
- IASAccessPrep.txt
옵션 자동 구성 요소 파일
OC_AddIAS.txt
OC_AddIIS.txt
OC_RemoveRootUpdate.txt
스크립트 구조
배치 파일은 비교적 이해하기 쉽지만 Microsoft® Visual Basic® Scripting Edition(VBScript) 파일과 함께 동작하는 방식을 이해하려면 설명이 필요합니다. 많은 VBScript의 예와 달리 이 스크립트는 다양한 함수를 가지고 있습니다. 다양한 함수에 액세스하기 위해 스크립트는 Microsoft Windows® Scripting Host(WSH)의 "작업" 함수를 사용합니다. 이 함수는 작업 이름을 스크립트 매개 변수로 지정하여 독립된 여러 프로그램 기능을 사용하도록 합니다.
스크립트는 주로 .wsf 파일과 .vbs 파일로 쌍을 이뤄 실행됩니다. WSF 파일에는 여러 스크립트 동작의 "사용자 인터페이스"가 들어 있습니다. VBS 파일에는 프로그램의 작업을 수행하는 모든 코드가 들어 있습니다.
모든 WSF 스크립트 파일은 다음 예와 같은 구문을 사용합니다. 여기서 JobName은 필요한 작업 이름이고 WScriptFile은 스크립트의 XML 인터페이스 파일 이름입니다.
cscript //job:JobName WScriptFile.wsf
다음 정보는 WSF 파일 중 하나에서 발췌한 내용입니다.
<?xml version="1.0" encoding="utf-8" ?>
<package xmlns="Windows Script Host
<job id="GetCaCerts ">
<comment></comment>
<script language="VBScript" src="constants.vbs" />
<script language="VBScript" src="pkiparams.vbs" />
<script language="VBScript" src="helper.vbs" />
<script language="VBScript" src="ca_operations.vbs" />
<script language="VBScript
<![CDATA[
GetCaCerts
]]>
</script>
</job>
<job id="PublishRootCertstoIIS ">
<comment></comment>
<script language="VBScript" src="constants.vbs" />
<script language="VBScript" src="pkiparams.vbs" />
<script language="VBScript" src="helper.vbs" />
<script language="VBScript" src="ca_operations.vbs" />
<script>
<![CDATA[
PublishCertstoIIS ROOT_CERT_SOURCE, WWW_LOCAL_PUB_PATH
]]>
</script>
</job>
첫 번째 작업은 GetCACerts입니다. 이 작업 정의는 VBS 파일 constants.vbs, pkiparams.vbs, helper.vbs 및 ca_operations.vbs를 로드하도록 지정하고 작업에 필요한 함수 또는 서브루틴이 포함되어 있습니다. 코드 샘플의 마지막 부분은 작업을 시작하기 위해 실행하는 최상위 수준 함수를 지정합니다. (이 예는 작업과 같은 이름을 가지고 있지만 반드시 그럴 필요는 없습니다.) 두 번째 작업 PublishRootCertstoIIS는 호출 받은 함수에 매개 변수를 제공합니다.
VBS 파일은 세 가지 유형으로 실제 작업을 수행합니다.
작업별 스크립트 파일에는 해당 작업 형식과 관련된 함수만 들어 있습니다. (예를 들어 ca_operations.vbs에는 인증 기관(CA) 작업과 관련된 함수가 들어 있습니다.)
일반 함수 스크립트 파일에는 모든 작업별 스크립트가 사용하는 일반적인 함수가 들어 있습니다. Helper.vbs는 이 스크립트 중 유일한 것으로 사용자 계정 만들기 및 오류 확인 기능과 같은 기능이 들어 있습니다.
매개 변수 스크립트 파일에는 작업 스크립트 실행 방법을 정의하는 VBScript 상수가 있습니다. 파일은 한 곳에서 변경하기 쉽도록 스크립트 함수에 포함되지 않고 모여 있습니다. 이 범주에는 글로벌 매개 변수가 들어 있는 constants.vbs 파일 및 PKI(공용 키 구조) 설정 및 동작별 매개 변수가 들어 있는 pkiparams.vbs 파일이 있습니다.
스크립트 및 지원 파일 설명
이 절은 앞에서 소개한 스크립트 및 지원 파일을 각각 설명합니다.
공통 스크립트
두 가지 공통 스크립트 파일이 있습니다.
Constants.vbs
이 스크립트에는 사용자가 설정할 수 있고 다른 VBS 및 WSF 파일이 사용하는 공통 값이 들어 있습니다. (예를 들어 이 스크립트에는 SMTP 및 이벤트 로그 경고가 설정되어 있습니다.)
Helper.vbs
이 스크립트에는 나머지 많은 VBS 스크립트가 사용하는 공통 지원 루틴이 들어 있습니다(예: 사용자 및 그룹 만들기, 경고 루틴 및 기타 유틸리티 기능).
인증서 서비스 스크립트
이 절에서는 인증서 서비스 스크립트를 설명합니다.
pkiparams.vbs
이 스크립트에는 사용자가 변경할 수 있는 PKI 및 CA별 값이 들어 있습니다. 값 중 일부는 변경해야 사용할 수 있고(올바른 환경 설정을 반영하기 위해) 일부는 스크립트 동작을 바꾸는 경우가 아니면 변경할 필요가 없습니다. 설명서(7장 "공용 키 구조 구현" 및 11장 "공용 키 구조 관리")의 기본 장에는 이 프로시저에서 값을 변경해야 하거나 변경할 수 있는 위치에 대한 설명이 나와 있습니다.
PKIParams.vbs는 "CA_" 접두사가 붙은 다른 모든 스크립트에서 참조합니다.
ca_setup.vbs 및 ca_setup.wsf
이 스크립트에는 보안 그룹 및 사용자를 만드는 데 사용되는 CA의 기본 구성을 위한 기능이 들어 있습니다. 루트 및 발급 CA용 설치 루틴이 있습니다. 실제 설정되는 값의 대부분은 pkiparams.vbs 파일에서 제어합니다. 이 파일에 관한 자세한 정보는 7장 "공용 키 구조 구현"을 참조하십시오.
이 스크립트에 들어 있는 작업은 다음과 같습니다.
CertLocalGroups — CA 관리를 위한 로컬 보안 그룹(루트 CA에 사용됨)을 만듭니다. 그룹 만들기 기능은 작업의 일부로 매번 다른 그룹 이름으로 여러 번 호출됩니다.
CertDomainGroups — CA 및 PKI 관리용 도메인 보안 그룹을 만듭니다. 또한 다양한 그룹을 만드는 여러 호출이 들어 있습니다. 그룹 형식(로컬, 글로벌 또는 유니버설)은 작업 정의에서 매개 변수로 지정됩니다.
CertLocalTestAccts — 루트 CA 관리용 테스트 사용자 계정을 만듭니다.
CertDomainTestAccts — 온라인 CA 관리용 테스트 도메인 계정을 만듭니다.
RootCAConfig — certutil을 호출하여 루트 CA 매개 변수를 구성합니다.
IssCAConfig — certutil을 호출하여 발급하는 CA 매개 변수를 구성합니다.
ca_monitor.vbs 및 ca_monitor.wsf
이 스크립트에는 CA 및 PKI 상태를 확인하는 기능이 있습니다. 특히 CA의 응답 여부 및 CA 인증서와 CRL(인증서 해지 목록)의 최신 상태 여부를 확인합니다. 스크립트는 이벤트 로그 항목이나 SMTP(Simple Mail Transfer ProtocolSMTP) 경고를 생성하거나 둘 다 생성하기도 합니다. 스크립트는 MOM(Microsoft Operations Manager) 에이전트(또는 서버에서 실행하는 유사한 관리 에이전트) 또는 온라인 CA의 Windows 작업 스케줄러에서 실행하기 위한 것입니다. 이 스크립트 절차는 11장 "공용 키 구조 관리"에서만 사용합니다.
이 스크립트에 들어 있는 작업은 다음과 같습니다.
IsCAAlive — 인증서 서비스 원격 프로시저 호출(RPC) 인터페이스가 응답하는지 확인합니다.
CheckCRLs — 스크립트가 실행되는 CA의 CRL 및 루트까지 모든 상위 CA의 CRL을 확인합니다. CRL이 만료되었거나 CRL 만료가 가까왔거나 새 CRL을 발급해야 하는 경우 경고를 보냅니다.
CheckCACerts — 스크립트가 실행되는 CA의 CA 인증서 및 루트까지 모든 상위 CA의 인증서를 점검합니다. 인증서가 만료되었거나 인증서 만료가 한 달 남았거나 인증서를 갱신해야 하는 경우(보통 수명의 절반이 지났을 때) 경고를 보냅니다.
SetupSMTPAlerts — 대기 중인 인증서 요청이 CA 대기열에 있을 때 CA를 설정하여 전자 메일 경고를 생성합니다.
ca_operations.vbs 및 ca_operations.wsf
이 스크립트에는 인증서 및 CRL 게시, CA 키 및 데이터베이스 백업과 같이 CA에서 진행 중인 작업에 관한 기능이 들어 있습니다. 이 스크립트는 주로 11장 "공용 키 구조 관리"에서 사용되지만 7장 "공용 키 구조 구현"의 일부 절차에도 사용됩니다.
이 스크립트에 들어 있는 작업은 다음과 같습니다.
GetCaCerts — 루트 CA에서 CA 인증서를 검색하여 플로피 디스크에 저장합니다.
GetCRLs — 루트 CA에서 CRL을 검색하여 플로피 디스크에 저장합니다.
PublishCertstoAD — 루트 CA 인증서(GetCaCerts로 검색)를 Microsoft Active Directory® 디렉터리 서비스에 게시합니다.
PublishCRLstoAD — 루트 CA CRL(GetCRLs로 검색)을 Active Directory에 게시합니다.
PublishRootCertstoIIS — 루트 CA 인증서(GetCaCerts로 검색)를 IIS(인터넷 정보 서비스) 웹 서버에 게시합니다.
PublishRootCRLstoIIS — 루트 CA CRL(GetCRLs로 검색)을 IIS 웹 서버에 게시합니다.
PublishIssCertstoIIS — 이 작업은 발급하는 CA 인증서(GetCaCerts로 검색)를 IIS 웹 서버에 게시합니다.
PublishIssCRLstoIIS — 발급하는 CA CRL(GetCRLs로 검색)을 IIS 웹 서버에 게시합니다.
BackupCaKeys — CA 인증서 및 키를 플로피 디스크에 백업합니다.
BackupCaDatabase — NTBackup.exe를 실행하여 CA의 시스템 상태 백업(CA 데이터베이스 및 로그 포함)을 수행합니다.
IAS 및 WLAN 스크립트
이 절은 IAS 및 WLAN 스크립트를 설명합니다.
ias_tools.vbs 및 ias_tools.wsf
이 스크립트에는 Microsoft IAS(Internet Authentication Service) 사용자 설정을 돕는 작업이 들어 있습니다. 이 스크립트는 8장 "RADIUS 인프라 구현" 및 9장 "무선 LAN 보안 인프라 구현"에서 사용됩니다.
이 스크립트에 들어 있는 작업은 다음과 같습니다.
CreateIasGroups — 솔루션이 IAS를 관리하는 데 필요한 도메인 보안 그룹을 만듭니다.
UpdateUsersRAP — 사용자 전화 접속 로그인 속성을 편집하여 원격 액세스를 사용하도록 설정합니다. (이는 솔루션에서는 사용하지 않았지만 사용하길 원하는 경우에 포함됩니다.) 이 스크립트를 사용하면 사용자 컨테이너에 있는 사용자 개체만 업데이트됩니다. 다른 곳의 개체를 업데이트하려면 스크립트를 템플릿으로 사용하여 용도에 맞게 수정하십시오.
wl_tools.vbs 및 wl_tools.wsf
이 스크립트는 WLAN(wireless local area network) 사용자를 관리하는 데 사용하는 보안 그룹을 만들고 RADIUS/무선 AP 암호를 생성하는 루틴이 들어 있습니다. 이 스크립트는 9장 "무선 LAN 보안 인프라 구현"에 사용됩니다.
이 스크립트에 들어 있는 작업은 다음과 같습니다.
CreateWirelessGroups — 사용자 및 컴퓨터 권한 부여, 인증서 등록 및 무선 정책 적용을 관리하는 데 사용하는 보안 그룹을 만듭니다.
GenPWD — 무선 액세스 지점(AP) 및 IAS 서버의 암호화된 임의의 암호를 생성합니다. 작업은 CAPICOM을 사용하여 임의 문자열을 생성합니다.
IAS 관리 스크립트
이 절은 IAS 관리 스크립트를 설명합니다.
IASClientExport.bat 및 IASClientImport.bat — 이 배치 파일을 사용하여 IAS 서버 RADIUS 클라이언트 정보를 안전하게 보관하기 위해 플로피 디스크에 내보냅니다. 가져오기 스크립트는 IAS 서버 RADIUS 클라이언트 정보를 플로피 디스크에서 가져와 IAS 서버에 다시 로드합니다. 이 스크립트는 12장 "RADIUS 및 무선 LAN 보안 인프라 관리"에서 사용합니다.
IASExport.bat 및 IASImport.bat — IASExport 스크립트는 공통 IAS 구성 상태(RADIUS 클라이언트 정보 제외)를 D:\IASConfig에 저장된 구성 텍스트 파일에 내보냅니다. 이 스크립트는 작업 스케줄러를 통해 야간 작업으로 실행되고 주 IAS RADIUS 서버 설정을 내보내는 데 사용됩니다.
IASImport 배치 파일은 D:\IASConfig에 저장되어 있는 구성 텍스트 파일에서 이전에 내보낸 IAS 구성 상태를 가져옵니다. 이 파일은 구축 설명서 8장 "RADIUS 인프라 구현"에 상세하게 나와 있는 재해 복구 및 2차/3차 IAS 서버를 구축하는 데 사용합니다. 이 배치 파일은 12장 "RADIUS 및 무선 LAN 보안 인프라 관리"에도 사용됩니다.
IAS_Data.bat — 이 배치 파일은 IAS 폴더를 만들고 권한을 설정하고 공유합니다. 이 파일은 폴더에 권한을 적용하는 데 사용하는 그룹과 동일한 도메인에서 실행하도록 구성됩니다. 그렇지 않은 경우 스크립트를 편집하여 명시적인 도메인 이름을 사용하십시오. 이 파일은 8장 "RADIUS 인프라 구현”에서 사용합니다.
IAS 보조 파일
이 절은 IAS 보조 파일을 설명합니다.
- IASAccessPrep.txt — 이 텍스트 파일에는 IAS 보안 감사자가 Microsoft Access로 가져오는 RADIUS 요청 로그 데이터의 헤더 줄과 데이터 형식이 들어 있습니다. 이 파일 사용에 과한 지침은 12장 "RADIUS 및 무선 LAN 보안 인프라 관리"를 참조하십시오.
옵션 구성 요소 설치 파일
OC_AddIIS.txt 및 OC_RemoveRootUpdate.txt — 이 텍스트 파일은 Windows 추가 구성 요소 관리자(OC 관리자)에서 사용하여 설치 및 제거할 구성 요소를 지정합니다. 이 파일로 IIS 자동 설치 및 Root Update Service 제거를 할 수 있습니다. 이 텍스트 파일은 7장 "PKI 구현"에 사용됩니다.
OC_AddIAS.txt — 이 텍스트 파일을 OC 관리자에서 사용하여 IAS 자동 설치를 허용하기 위해 설치할 구성 요소를 지정합니다. 이 텍스트 파일은 8장 "RADIUS 인프라 구현”에서 사용합니다.