7장: 공용 키 구조 구현

  • 아티클

게시 날짜: 2004년 11월 10일 | 업데이트 날짜: 2004년 11월 24일

이 페이지에서

소개
인증서 서비스 계획 워크시트
서버 구축
PKI를 위해 Active Directory 준비
인증서 서비스를 위해 Windows Server 2003 보안 유지
기타 Windows 구성 작업
루트 CA 설치 및 구성
발급 CA 설치 및 구성
구축 후 구성
클라이언트 구성
요약

소개

이 장에서는 Microsoft® Windows Server™ 2003 인증서 서비스를 기반으로 PKI(공용 키 구조)를 구축하는 방법에 대한 자세한 지침을 제공합니다. 여기에는 CA(인증 기관)의 설치와 구성, Active Directory® 디렉터리 서비스와 Microsoft IIS(인터넷 정보 서비스)의 준비 및 클라이언트 인증서 정책의 구성이 포함됩니다. 이 가이드는 완벽한 무선 LAN 보안 솔루션을 구축하기 위해 다음 장에서 사용할 인증서 인프라를 구축하는 데 도움을 주기 위한 것입니다.

이 장의 목표는 4장 "공용 키 구조 디자인"에 설명된 PKI 디자인의 구현 지침을 제공하는 것입니다. 따라서 PKI의 일반적인 개념이나 Microsoft의 인증서 서비스 구현의 특정 내용을 설명하지는 않습니다.

이 장은 PKI 계획 및 운영 장(4장 및 11장)과 함께 제공됩니다. 계획 설명서 장은 이 장에 사용되는 구현 결정의 기초가 되는 원칙을 설명합니다. 운영 설명서 장에서는 PKI의 성공적인 유지 관리를 위해 필요한 작업 및 프로세스에 대해 설명합니다. 이 장을 계속하기 전에 계획 설명서를 읽어보는 것이 좋습니다. 또한 이 장의 지침을 사용해 PKI를 구현하기 전에 운영 설명서에 나와 있는 지원 요구 사항의 의미를 읽고 이해해야 합니다.

장 전제 조건

이 절에는 조직의 PKI 구현 준비 완료 여부를 확인하는 데 도움이 되는 검사 목록이 들어 있습니다. ("준비 완료 여부"는 비즈니스 측면이 아닌 논리적인 의미이며, 이 솔루션의 구현을 위한 비즈니스 동기는 이전 장 계획 설명서에서 다루고 있습니다.)

지식 전제 조건

먼저, PKI와 Microsoft 인증서 서비스의 개념을 숙지하고 있어야 합니다. 또한 다음 영역에서는 Windows 2000 Server 또는 Windows Server 2003에 대한 지식이 있어야 합니다.

  • Microsoft Windows® 운영 체제 설치.

  • Active Directory 개념(Active Directory 구조 및 도구 포함, 사용자, 그룹 및 기타 Active Directory 개체 조작 및 그룹 정책 사용).

  • Windows 시스템 보안, 보안 개념(예: 사용자, 그룹 및 감사) 및 ACL(액세스 제어 목록), 보안 템플릿 사용, 그룹 정책 또는 명령줄 도구를 사용한 보안 템플릿 적용.

  • IIS 관리.

  • Windows Scripting Host를 이해하고 Microsoft Visual Basic® Scripting Edition(VBScript) 언어에 대한 지식이 있으면 나오는 스트립트를 최대한 활용할 수 있지만 반드시 그럴 필요는 없습니다.

또한 이 장을 진행하기 전에 계획 설명서를 읽고 솔루션의 아키텍처 및 디자인을 완벽하게 이해해야 합니다.

조직 전제 조건

다음과 같이 이 솔루션의 구현에 관여해야 하는 조직의 다른 구성원과 미리 의논해야 합니다.

  • 회사 후원자.

  • 보안 및 감사 담당자.

  • Active Directory 엔지니어링, 관리 및 운영 담당자.

  • DNS(Domain Name System), 웹 서버 및 네트워크 엔지니어링 담당자

  • 관리 및 운영 담당자

IT 인프라 전제 조건

이 장은 기존 IT 인프라에 대해 다음과 같은 가정을 합니다.

  • Windows 2000 또는 Windows Server 2003 Active Directory 도메인 인프라가 배포되어 있음. 이 솔루션에서 인증서 서비스의 모든 사용자는 같은 Active Directory 포리스트에 있는 도메인의 구성원이어야 합니다.

    참고: Windows Server 2003 인증서 서비스 및 IAS(인터넷 인증 서비스-Microsoft의 RADIUS 구현)를 Windows 2000 Active Directory와 완전히 함께 사용할 수 있지만, 이러한 구성에서는 이 솔루션을 테스트하지 않았으며 테스트는 Windows 2003 Active Directory에서만 실시했습니다. 하지만 이 지침에는 Windows 2000 Active Directory를 사용하기 위한 지침도 포함되어 있습니다. 이 솔루션은 조금씩 수정된 다중 포리스트에 배포할 수 있지만, 이러한 배포 방식은 이 지침의 범위를 벗어나는 것입니다. 다중 포리스트 배포에 대한 자세한 내용은 이 장 끝에 나오는 "추가 정보" 절의 참고를 참조하십시오. 이 솔루션에는 기존 PKI와의 통합을 위한 지침이 들어 있지 않습니다. 하지만 솔루션으로 인해 기존 PKI와 함께 배포할 수 없는 것은 아닙니다.

  • Windows Server 2003 인증서 서비스를 실행하기에 적절한 서버 하드웨어가 있어야 합니다. 권장되는 구성은 지침의 일부로 제공됩니다.

  • 이 솔루션은 기존 PKI와 통합할 수 없습니다. 하지만 솔루션으로 인해 기존 PKI와 함께 배포할 수 없는 것은 아닙니다.

  • Windows Server 2003 Standard Edition 및 Enterprise Edition 라이센스, 설치 미디어 및 제품 키를 사용할 수 있습니다.

장 개요

다음 그림은 이 장에 설명된 PKI 구축 프로세스를 나타냅니다.

그림 7.1 PKI 구축프로세스의다이어그램

이들 단계는 이 장의 구성에 반영되어 있으며 설명은 다음 목록에 나와 있습니다. 각각의 단계는 설치 및 구성 작업으로 이루어져 있습니다. 또한 확인 절차가 마련되어 있어 다음 단계를 진행하기 전에 정상 작동 여부를 확인할 수 있습니다.

  • 인증서서비스계획워크시트. 인증서 서비스의 설치 및 구성을 위해 이 장에 사용된 구성 정보를 나열합니다. 이 워크시트에는 구현하기 전에 제공해야 하는 정보가 포함됩니다.

  • 서버구축. 하드웨어의 선택과 구성, Windows Server 2003의 설치 및 IIS와 같은 옵션 구성 요소의 설치에 대해 설명합니다.

  • PKI를위해 Active Directory 준비. 필수 준비 단계와 함께 PKI를 배포할 Active Directory 포리스트 및 도메인에 대한 전제 조건을 설명합니다. 관리 보안 그룹과 사용자 생성, 관리 작업 위임을 위한 올바른 권한 설정에 대해서도 설명합니다.

  • 인증서서비스를위해 Windows Server 2003 보안유지. 보안 템플릿을 적용하여 운영 체제 수준의 보안을 구현하는 내용을 소개합니다. 보안 템플릿은 다음 위치의 Windows Server 2003 Security Guide(영문)에서 제공됩니다. 이 설명서를 구하는 방법은 이 장 끝에 나오는 "추가 정보" 절을 참조하십시오.

  • 기타 Windows 구성작업. 서버의 기본 설치를 완료하기 위해 일반적으로 수행해야 하는 몇 가지 작업에 대해 설명합니다.

  • 루트 CA 설치및구성. 서버의 관리 역할 정의를 비롯한 준비 단계, 소프트웨어 설치 및 인증서 서비스의 구성을 설명합니다. 마지막 단계는 오프라인 루트 CA의 인증서와 CRL(인증서 해지 목록)을 Active Directory와 웹 서버에 게시하는 것입니다.

  • 발급 CA 설치및구성. 루트 CA에서 CA 인증서를 얻은 것도 포함된 것을 제외하면 루트 CA 지침과 유사합니다. 최종 확인 단계에서는 발급 CA에서 인증서를 등록할 수 있는지 확인합니다.

  • 구축후구성. 발급 CA가 발급하는 기본 인증서 종류 구성, 다중 도메인 포리스트에 대한 권한 설정 및 CA를 프로덕션 환경에 사용할 준비를 하기 전에 백업 완료에 대해 설명합니다.

  • 클라이언트구성. 도메인에 있는 모든 사용자와 컴퓨터를 위해 자동 등록을 설정하고 루트 인증서 신뢰 정책을 구성하는 방법을 설명합니다.

페이지 위쪽

인증서 서비스 계획 워크시트

이 절의 표는 솔루션에서 사용되는 모든 PKI 구성 매개 변수를 나열합니다. 이것을 계획 결정에 대한 검사 목록으로 사용해야 합니다.

이 표의 매개 변수 중 일부는 이 장에 설명된 절차의 일부로 직접 입력합니다. 또 일부 매개 변수는 절차들 중 한 절차의 일부로 실행되는 스크립트에 의해 설정되거나, 구성 또는 운영 작업을 완료하기 위해 스크립트에서 매개 변수가 참조됩니다. 이러한 경우에는 스크립트 이름이 표에 포함되어 있습니다.

참고: 이 장에 사용되는 스크립트는 함께 제공된 부록 A 및 ToolsReadme.txt 파일에 좀 더 자세히 설명되어 있습니다.

사용자 정의 구성 항목

다음 테이블은 가상의 Woodgrove 은행에서 가져온 조직별 매개 변수를 나열합니다. 설치를 시작하기 전에 다음 항목에 대한 조직의 관련 설정을 수집하거나 결정해야 합니다. 이 장 전체에서 이 표에 나오는 가상 값이 샘플 명령에 사용됩니다. 이 값들을 각 조직에 적합한 값으로 바꿔야 합니다. 기울임꼴로 표시된 모든 항목은 해당 조직에서 사용하는 값으로 바꾸어야 합니다.

7.1: 사용자정의구성항목

구성 항목 설정 스크립트 참조
Active Directory 포리스트 루트 도메인의 DNS 이름 woodgrovebank.com  
포리스트 루트의 DN(고유 이름) DC=woodgrovebank,DC=com Pkiparams.vbs
도메인의 NetBIOS(네트워크 기본 입/출력 시스템) 이름 WOODGROVEBANK  
루트 CA 작업 그룹의 NetBIOS 이름 WGB-Root  
루트 CA의 서버 이름 HQ-CA-01  
발급 CA의 서버 이름 HQ-CA-02  
루트 CA의 X.500 CN(공통 이름) WoodGrove 은행 루트 CA  
발급 CA의 X.500 CN WoodGrove 은행 발급 CA 1  
CA 인증서와 해지 정보를 게시하는 데 사용하는 웹 서버의 정규화된 호스트 이름 www.woodgrovebank.com Pkiparams.vbs
#### 솔루션에 규정된 구성 항목 솔루션 디자인과는 특별히 다른 설정을 사용해야 할 필요가 없다면 이 표에 지정된 설정을 설치에 대해서도 변경할 필요가 없습니다. 이렇게 하면 등록할 수 없어야 하는 인증서를 사용자나 그룹이 부주의하게 등록하지 못합니다. 구성 절차 및 제공된 스크립트에서 이러한 값을 변경하기 전에 설정과 그 설정이 가질 수 있는 종속성을 변경하는 것의 의미를 완전히 이해해야 합니다. **표** **7.2:** **솔루션가입구성항목**

구성 항목 설정 스크립트 참조
관리 역할 보안 그룹
공용 키 서비스 구성 컨테이너 관리자. Enterprise PKI Admins ca_setup.wsf
CRL(인증서 해지 목록)과 CA 인증서를 엔터프라이즈 구성 컨테이너에 게시할 수 있는 관리 그룹. Enterprise PKI Publishers ca_setup.wsf
CA를 구성하고 유지 관리하며, 다른 모든 CA 역할을 할당하고 CA 인증서를 갱신할 수 있는 관리 그룹. CA Admins ca_setup.wsf
인증서 등록과 해지 요청을 승인하는 관리 그룹. 이것이 CA Officer 역할입니다. Certificate Managers ca_setup.wsf
CA 감사 및 보안 로그를 관리하는 관리 그룹. CA Auditors ca_setup.wsf
CA 백업을 관리하는 관리 그룹. CA Backup Operators ca_setup.wsf
IIS 구성
CA 인증서와 CRL 정보를 게시하는 데 사용되는 IIS(인터넷 정보 서비스) 가상 디렉터리의 이름. pki Pkiparams.vbs
IIS 가상 디렉터리에 매핑하는 발급 CA의 실제 경로. C:\CAWWWPub Pkiparams.vbs
공통 CA 매개 변수
인증서 서비스 요청 파일을 저장할 드라이브와 경로. C:\CAConfig Pkiparams.vbs
인증서 서비스 데이터베이스 로그를 저장할 드라이브와 경로. %windir%\System32\CertLog  
루트 CA 구성
발급 CA 키의 길이 (이 표 아래에 있는 참고 참조). 4096  
루트 CA 인증서의 유효 기간. 16 Pkiparams.vbs
이전 값에 대한 단위. 연도 Pkiparams.vbs
루트 CA가 발급한 인증서의 최대 유효 기간. 8 Pkiparams.vbs
이전 값에 대한 단위. 연도 Pkiparams.vbs
루트 CA에 대한 CRL 게시 간격. 6 Pkiparams.vbs
이전 값에 대한 단위. Pkiparams.vbs
CRL 중복 기간(CRL이 게시되는 것과 이전의 CRL이 만료되는 것 사이의 시간). 10 Pkiparams.vbs
이전 값에 대한 단위. Pkiparams.vbs
루트 CA — 0에 대한 델타–CRL 게시 기간 = 델타–CRL 해제. 0 Pkiparams.vbs
이전 값에 대한 단위. 시간  
발급 CA 매개 변수
인증서 서비스 데이터베이스를 저장할 드라이브와 경로. D:\CertLog  
발급 CA 키의 길이. 2048  
발급 CA 인증서의 유효 기간. 8 Pkiparams.vbs
이전 값에 대한 단위. 연도 Pkiparams.vbs
발급 CA가 발급한 인증서의 최대 유효 기간. 4 Pkiparams.vbs
이전 값에 대한 단위. 연도 Pkiparams.vbs
발급 CA에 대한 CRL 게시 간격. 7 Pkiparams.vbs
위 값에 대한 단위. Pkiparams.vbs
CRL 중복 기간(CRL이 게시되는 것과 이전의 CRL이 만료되는 것 사이의 시간). 4 Pkiparams.vbs
위 값에 대한 단위. Pkiparams.vbs
발급 CA — 0에 대한 델타–CRL 게시 기간 = 델타–CRL 해제. 1 Pkiparams.vbs
이전 값에 대한 단위. Pkiparams.vbs
델타-CRL 중복 기간(새 델타 CRL이 게시되는 것과 이전의 CRL이 만료되는 것 사이의 시간). 1 Pkiparams.vbs
이전 값에 대한 단위. Pkiparams.vbs
기타
설치 스크립트 경로. C:\MSSScripts  
**중요:** 키 길이를 4,096비트로 구성하면 특정 크기를 벗어나는 키를 처리할 수 없는 일부 장치(예: 일부 라우터) 또는 다른 공급업체의 기존 소프트웨어에 인증서를 발급하거나 사용할 경우 호환성 문제가 발생할 수 있습니다. PKI를 배포하기 전에 이 크기의 루트 CA 인증서 키를 가진 인증서를 사용하여 응용 프로그램을 테스트해야 합니다. 키 길이가 문제가 되면 루트 CA 키의 크기를 2,048비트로 줄입니다. (이 크기는 루트 CA 설치 중에 CAPolicy.inf 파일에 지정해야 합니다. 자세한 내용은 "루트 CA 설치 및 구성" 절을 참조하십시오.) [](#mainsection)[페이지 위쪽](#mainsection) ### 서버 구축 이 절에서는 서버 하드웨어를 준비하고 운영 체제를 설치하는 기본 작업을 설명합니다. 하나는 루트 CA용, 다른 하나는 발급 CA용으로 두 개의 서버가 필요합니다. **중요:** CA 구축을 시작하기 전에 4장 "공용 키 구조 디자인"에서 "CA의 보안 관리"를 읽어야 합니다. 이렇게 하면 서버 구축에 사용되는 보안 환경에 영향을 줄 수 있습니다. #### 서버 하드웨어 선택 및 구성 다음 절에서는 두 CA 역할의 기본 서버 사양을 설명합니다. 4장 "공용 키 구조 디자인"에서는 하드웨어 선택을 위한 키 기준 몇 가지를 자세히 설명합니다. ##### 루트 CA 서버 하드웨어 다음 표는 루트 CA를 위해 권장되는 하드웨어 사양으로 일반적인 Windows Server 2003 하드웨어 권장 사항을 기반으로 하고 있습니다. 그러나 4장에서 설명하는 기준에 맞는 하드웨어가 있지만 성능을 이유로 사용되고 있지 않은 경우에는 새 하드웨어를 구입할 필요가 없습니다. **표** **7.3:** **루트** **CA** **서버에대해권장되는하드웨어사양**

항목 요구 사항
CPU 단일 CPU 733MHz 이상
메모리 256MB
네트워크 인터페이스 없음(또는 해제되어 있음)
디스크 저장소 IDE(integrated device electronics) 또는 SCSI(small computer system interface) RAID(redundant array of independent disks) 컨트롤러 RAID 1 볼륨(C 드라이브)로 구성된 2 x 18GB(SCSI) 또는 2 x 20GB(IDE) 이동식 로컬 미디어 저장소(CD-RW 또는 백업용 테이프) 데이터 전송용 1.44MB 디스크 드라이브
발급 CA 서버 하드웨어

발급 CA를 위한 성능 요구 사항이 존재하기는 하지만 발급 CA는 다른 유형의 서버에 비해 수행하는 작업이 매우 적기 때문에 요구 사항의 수준이 비교적 높지 않습니다. 루트 CA의 하드웨어를 선택하는 것과 동일한 품질 및 안정성 기준이 여기에도 적용됩니다. 다음 표에서처럼 네트워킹 및 저장소의 루트 CA 사양에는 몇 가지 사소한 차이점이 있습니다.

7.4: 발급 CA 서버에대해권장되는하드웨어사양

항목 요구 사항
CPU 단일 CPU 733MHz 이상
메모리 256MB
네트워크 인터페이스 복원력을 위한 단일 NIC(네트워크 인터페이스 카드) 2쌍
디스크 저장소 IDE 또는 SCSI RAID 컨트롤러 RAID 1 볼륨(C 및 D 드라이브)로 구성된 2 x 18GB(SCSI) 또는 2 x 20GB(IDE) 네트워크 백업 기능이 없는 경우 이동식 로컬 미디어 저장소(CD-RW 또는 백업용 테이프) 데이터 전송용 1.44MB 디스크 드라이브

중요: 이 표에 나와 있는 서버 사양은 약 5천 명의 사용자 수를 지원할 수 있는 규모입니다. 사용자 수가 이를 초과할 경우 두 번째 드라이브의 디스크 용량을 두 배 이상 늘리고(1천 명당 약 2GB) 설치된 메모리를 두 배로 늘려야 합니다. 디스크 사용에 대한 지침은 11장 "공용 키 구조 관리"에서 "발급하는 CA에 대한 저장소 및 백업 요구 사항 결정"을 참조하십시오.

하드웨어 준비

하드웨어 공급업체에서 권장한 대로 모든 하드웨어 구성을 완료합니다. 이러한 권장 사항에는 최신 BIOS 및 펌웨어 업데이트 적용이 포함될 수 있습니다.

하드웨어와 함께 제공된 디스크 컨트롤러 관리 소프트웨어를 사용하여 앞의 표에서 설명한 대로 RAID 1 볼륨(루트 CA용 디스크 볼륨 하나, 발급 CA용 두 개)을 만듭니다.

루트 CA 서버 준비

이 절의 단계에서는 루트 CA에 사용할 서버에 Windows Server 2003을 설치하는 방법을 설명합니다.

Windows Server 2003 Standard Edition 설치

많은 조직에서는 이미 자동화된 서버 설치 프로세스를 구현하여 사용하고 있습니다. 이 절에서 사용되는 매개 변수를 자동 구축 프로세스에 포함시킬 수 있는 경우 이를 서버 구축에 사용할 수 있습니다.

한 가지 예외는 구축이 네트워크 연결에 종속된 경우이며, 최소한 루트 CA에 대해서는 수동 구축을 수행할 것을 적극 고려해야 합니다. 대개 오프라인 CA의 보안을 보장하는 것은 네트워크에 연결되어 있지 않거나 연결한 적이 없다는 사실에 의존합니다. 공격자가 어떤 식으로든 컴퓨터에 실제 액세스해야 하기 때문에 이것은 외부 공격으로 서버가 손상될 가능성을 크게 줄여줍니다.

Windows Server 2003을설치하려면다음을수행합니다.

  1. CD-ROM 드라이브의 Windows Server 2003 Standard Edition CD로 시스템을 시작합니다. 서버 BIOS 설정에서 CD–ROM이 부팅 가능 장치로 설정되어 있는지 확인합니다.

  2. 기본 볼륨에 파티션을 만들고, NTFS로 포맷하고, 해당 파티션에 Windows를 설치할 옵션을 선택합니다.

  3. 적절한 국가별 설정을 선택합니다.

  4. Windows가 등록될 이름과 회사 이름을 입력합니다.

  5. 로컬 관리자 계정에 대한 강력한 암호를 입력합니다. 암호는 10자 내외로 지정하고 대문자, 소문자, 숫자 및 문장 부호를 섞어서 사용합니다.

  6. 컴퓨터 이름을 입력하라는 메시지가 표시되면 *HQ-CA-01 같이 입력합니다. 이 값을 사용자의 컴퓨터 이름으로 바꿀 수 있습니다.

    중요: 루트 CA가 오프라인이더라도 그 이름은 조직에서 고유해야 합니다.

  7. 메시지가 나타나면 작업 그룹에 가입을 선택하고 작업 그룹 이름(예: WGB-Root)을 입력합니다. 이 값을 자신이 선택한 작업 그룹 이름으로 바꿀 수 있습니다.

  8. 메시지가 나타나면 옵션 구성 요소는 설치하지 않습니다.

    주 설치 프로세스가 끝나면 서버가 다시 시작됩니다. 다음 단계를 계속 진행합니다.

  9. 최신 Windows 서비스 팩(문서 작성 당시 Windows Server 2003은 제조를 위해서만 출시되었으므로 사용할 수 있는 서비스 팩이 없었음) 및 권장하는 보안 업데이트(Microsoft Baseline Security Analyzer 같은 도구를 사용하여 권장하는 업데이트 확인)를 설치합니다. 또한 다른 필수 기능 업데이트(보안과 관련되지 않은) 또는 자체 테스트 결과로 요구되는 업데이트를 설치해야 합니다.

  10. Windows의 이 복사본을 정품 등록합니다. 서버를 항상 네트워크에 연결할 필요가 없도록 오프라인으로 수행해야 합니다.

네트워크 설정

루트 CA는 네트워크에 연결되지 않습니다. 실수로 네트워크에 연결되어 루트 CA에 액세스하는 것을 방지하기 위해 제어판의 네트워크연결에서 시스템의 네트워크 인터페이스를 해제해야 합니다.

설치 확인

운영 체제 설치가 올바르게 완료되었으며 구성된 매개 변수가 예상 매개 변수와 일치하는지 확인해야 합니다.

현재시스템구성을보려면다음을수행합니다.

  1. 명령 프롬프트에서 systeminfo 프로그램을 실행합니다.

  2. systeminfo 출력의 다음 요소를 확인합니다. 간단히 하기 위해 출력에서 일부 세부 사항은 생략하고 " "(줄임표)로 표시했습니다.

    Host Name:    HQ-CA-01

    OS Name:    Microsoft® Windows® Server 2003, Standard Edition

    ...

    OS Configuration:    Standalone Server

    Registered Owner:    YourOwnerName

    Registered Organization:    YourOwnerOrganization

    ...

    Windows Directory:    C:\WINDOWS

    System Directory:    C:\WINDOWS\System32

    Boot Device:    \Device\HarddiskVolume1

    System Locale:    YourSystemLocale

    Input Locale:    YourInputLocale

    Time Zone:    YourTimeZone

    ...

    Domain:    WGB-Root

    Logon Server:    \\HQ-CA-01

    Hotfix(s):    X Hotfix(s) Installed.

                             [01]: Qxxxxxx

    ...

                             [nn]: Qnnnnnn

    NetWork Card(s):    N/A

  3. 이러한 설정이 예상 설정과 일치하지 않을 경우 제어판을 통해 서버를 다시 구성하거나 설치를 다시 실행해야 합니다.

발급 CA 서버 준비

이 절의 단계에서는 발급 CA에 사용할 서버에 Windows를 설치하는 방법을 설명합니다.

Windows Server 2003 Enterprise Edition 설치

다음을 예외로 하고 루트 CA 서버 구축 프로세스를 따릅니다.

루트 CA와 달리 발급 CA 서버는 필요에 따라 네트워크 기반 구축을 사용해 구축할 수 있습니다. 그러나 CA가 보안 위협에 노출되지 않도록 적절한 예방 조치를 취해야 합니다. 예를 들어, 인터넷이나 주 회사 네트워크로 라우팅할 수 있는 경로가 없는 격리된 네트워크에 설치해야 합니다. 최신 보안 업데이트를 설치하기 전에 시스템이 네트워크를 통한 공격에 취약할 수 있음에 유의합니다.

Windows Server 2003 Enterprise Edition을설치하려면다음을수행합니다.

  1. Windows Server 2003의 Standard Edition 대신 Enterprise Edition을 사용하는 것을 제외하고 1-5단계를 수행해 루트 CA 서버에 Windows 운영 체제를 설치합니다.

  2. 컴퓨터 이름을 입력하라는 메시지가 표시되면 *HQ-CA-02 같이 입력합니다. 이 값을 사용자의 컴퓨터 이름으로 바꿀 수 있습니다.

  3. 도메인 가입 여부를 묻는 메시지가 나타나면 가입하도록 선택합니다. WOODGROVEBANK와 같이 서버가 가입될 Active Directory 도메인의 이름을 입력합니다. 이 값을 CA를 설치하는 도메인 이름으로 바꿉니다. 컴퓨터를 이 도메인에 가입시킬 수 있도록 허가된 사용자의 자격 증명을 입력하라는 메시지가 표시되면 입력합니다.

    참고: 도메인 포리스트가 여러 개인 경우 인증서 서버는 일반적으로 포리스트 루트 도메인에 설치됩니다. 반드시 위와 같을 필요는 없지만 이 솔루션에서는 이렇게 가정됩니다.

  4. 선택적 구성 요소를 설치하지 마십시오.

    주 설치 프로세스가 끝나면 서버가 다시 시작됩니다. 다음 단계를 계속 진행합니다.

  5. 루트 CA에 대해 최신 서비스 팩과 필수 핫픽스를 설치합니다.

  6. 두 번째 하드 드라이브 볼륨에 파티션을 만들고 이 파티션에 드라이브 문자 D를 지정한 후 NTFS로 포맷합니다.

  7. D 드라이브에 D:\CertLog라는 폴더를 만듭니다.

  8. Windows의 이 복사본을 정품 등록합니다. 서버가 인터넷에 노출되지 않도록 오프라인으로 수행해야 합니다.

네트워크 설정

복원성 향상을 위해 두 개의 실제 네트워크 인터페이스 카드를 한 조로 하여 이것을 구현할 수 있지만 발급 CA는 단일 네트워크 인터페이스를 갖고 있습니다. 네트워크 인터페이스는 네트워크에 맞게 고정 IP(인터넷 프로토콜) 주소 및 기타 IP 구성 매개 변수(기본 게이트웨이, DNS 설정 등)로 구성해야 합니다.

보안을 위해 발급 CA와 인터넷 간의 인바운드 또는 아웃바운드 연결도 차단해야 합니다. 아웃바운드 전용 액세스 권한을 부여해도 바이러스와 기타 악의적인 소프트웨어가 훨씬 위험할 수 있습니다. 예를 들어, 인터넷에서 추가 코드를 다운로드하거나 심한 경우 CA 개인 키 자료를 훔쳐 조직 외부로 전송할 수 있습니다.

설치 확인

운영 체제 설치가 올바르게 완료되었으며 구성된 매개 변수가 예상 매개 변수와 일치하는지 확인해야 합니다.

현재시스템구성을보려면다음을수행합니다.

  1. 명령 프롬프트에서 systeminfo 프로그램을 실행합니다.

  2. systeminfo 출력의 다음 요소를 확인합니다. 출력의 기타 세부 사항은 간결하게 나타내기 위해 생략했습니다.

    Host Name:    HQ-CA-02

    OS Name:    Microsoft® Windows® Server 2003, Enterprise Edition

    ...

    OS Configuration:    Member Server

    Registered Owner:    YourOwnerName

    Registered Organization:    YourOwnerOrganization

    ...

    Windows Directory:    C:\WINDOWS

    System Directory:    C:\WINDOWS\System32

    Boot Device:    \Device\HarddiskVolume1

    System Locale:    YourSystemLocale

    Input Locale:    YourInputLocale

    Time Zone:    YourTimeZone

    ...

    Domain:    woodgrovebank.com

    Logon Server:    \\DomainControllerName

    Hotfix(s):    X Hotfix(s) Installed.

                             [01]: Qxxxxxx

    ...

                             [nn]: Qnnnnnn

    NetWork Card(s):    1 NIC(s) Installed.

    [01]:    ModelAndVendorofNetworkCard

        Connection Name: Local Area Connection

        DHCP Enabled:    No

        IP address(es)

        [01]: 10.1.1.11

  3. 이러한 설정이 예상과 다르면 제어판을 통해 서버를 다시 구성하거나 설치를 다시 실행해야 합니다.

구성 스크립트를 서버에 설치

이 솔루션에서는 솔루션의 구성 및 작동의 다양한 측면을 간단히 수행할 수 있도록 다양한 지원 스크립트와 구성 파일이 제공합니다. 각각의 CA 서버에 이러한 스크립트나 파일을 설치해야 합니다. 스크립트 중 일부는 운영 설명서 장에 설명된 작업을 수행하는 데 필요하므로 CA 설치를 완료한 후에 삭제해서는 안 됩니다.

각서버에설치스크립트를설치하려면다음을수행합니다.

  1. C:\MSSScripts라고 하는 폴더를 만듭니다.

  2. 배포 미디어에서 이 폴더로 스크립트를 복사합니다.

인터넷 정보 서비스 설치 및 구성

이 절에서는 발급 CA에 IIS(인터넷 정보 서비스)를 설치하고 구성하는 방법을 설명합니다. IIS는 Windows 이외의 클라이언트를 위한 CA 인증서와 CRL 다운로드 지점을 제공하는 데 사용됩니다. 루트 CA에는 IIS를 설치하지 않는 것이 좋습니다. IIS를 발급 CA에 설치할 수도 있지만 CA 서버 이외의 다른 서버에서 CA 인증서 및 CRL에 대한 웹 다운로드 지점을 호스트하는 것이 더욱 안전합니다. CRL 또는 CA 체인 정보를 검색해야 하지만 CA에 대한 액세스가 불가피하게 허용되지 않은 인증 사용자(내부 및 외부)가 다수 있을 수 있습니다. 다운로드 지점이 CA 자체 서버에서 호스트되는 경우에는 이처럼 액세스를 제한할 수 없습니다.

중요: 이 솔루션을 간단히 설명하기 위해 웹 서버, CA 인증서 및 CRL 다운로드 지점을 호스팅하는 데 발급 CA 서버를 사용할 수 있습니다. 그러나 사용자 CA의 보안성을 향상시키려면 자신의 환경에 있는 별도의 웹 서버를 사용하는 것이 좋습니다. 여기에 설명된 단계를 사용하면 IIS를 발급 CA나 개별 서버에 설치 및 구성할 수 있습니다.

IIS는 인증서 서비스 웹 등록 페이지를 호스트할 수도 있지만 이 솔루션에서는 사용되지 않습니다. CA 이외의 다른 서버에 웹 등록 페이지를 설치하는 경우 Active Directory의 서버 컴퓨터 개체에 이 속성을 설정하여 이 서버를 "위임용으로 트러스트"로 표시해야 합니다.

발급 CA에 인터넷 정보 서비스 설치

IIS는 제어판의 구성요소추가/제거를 통해 액세스하는 Windows 추가 구성 요소 관리자를 사용하여 설치합니다. 다음 표는 설치할 구성 요소를 나열합니다. 추가 구성 요소 관리자 마법사를 통해 확인할 수 있는 것처럼 아래 항목은 상위 항목의 하위 구성 요소입니다. 예를 들어 네트워크 COM+ 액세스사용응용프로그램서버의 하위 구성 요소입니다. 선택하지 않은 구성 요소는 표에 표시되지 않습니다.

7.5: 설치할추가구성요소

구성 요소 설치 상태
응용 프로그램 서버 선택
      네트워크 COM+ 액세스 사용 선택
      인터넷 정보 서비스 선택
            공용 파일 선택
            인터넷 정보 서비스 관리자 선택
            World Wide Web 서비스 선택
**IIS를설치하려면다음을수행합니다.** 1. 명령 프롬프트에서 다음을 실행합니다. sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_AddIIS.txt 이 명령은 추가 구성 요소 관리자에게 무인 설치 파일 C:\\MSSScripts\\OC\_AddIIS.txt에 지정된 구성 요소 구성을 사용하도록 지시합니다. ``` \[Components\] complusnetwork = On iis\_common = On iis\_asp = On iis\_inetmgr = On iis\_www = On ``` **참고:** ASP(Active Server Pages)는 이 구성에서 설정됩니다(iis\_asp = on). 이 옵션은 인증서 서비스 웹 등록 페이지 솔루션 확장을 지원하는 데 필요하지만 핵심 솔루션에는 필요하지 않습니다. 웹 등록 페이지가 필요하지 않을 경우 ASP를 해제(sysocmgr.exe를 실행하기 전에 iis\_asp = on 줄 삭제)하는 것을 고려해야 합니다. 필요할 경우 이 설정은 나중에 사용할 수 있습니다. 2. 추가 구성 요소 관리자를 다음과 같이 다시 실행하고 설치된 구성 요소가 앞의 표에 나열된 구성 요소와 일치하는지 확인합니다. sysocmgr /i:sysoc.inf **응용프로그램서버**의 다른 하위 구성 요소는 필요하지 않으므로 선택할 필요가 없습니다. ##### AIA(Authority Information Access) 및 CDP(CRL Distribution Point)를 발급 CA에 게시하기 위해 IIS 구성 IIS에 가상 디렉터리를 만들어 CA 인증서(AIA) 및 CRL 게시 지점을 위한 HTTP(Hypertext Transfer Protocol) 위치로 사용해야 합니다(각각 AIA 및 CDP로 나타냄). **IIS에가상디렉터리를만들려면다음을수행합니다.** 1. 로컬 관리자 권한을 사용하여 IIS 서버(발급 CA)에 로그온합니다. 2. CA 인증서 및 CRL을 포함할 폴더 C:\\CAWWWPub를 만듭니다. 3. Windows 탐색기를 사용하여 폴더에 보안을 설정합니다. 다음 표는 적용할 사용 권한을 보여줍니다. 처음 4개는 이미 있어야 합니다. **표** **7.6:** **가상디렉터리사용권한**
사용자/그룹 권한 허용/거부
Administrators 모든 권한 허용
시스템 모든 권한 허용
Creator Owners 모든 권한(하위 폴더 및 파일만 해당) 허용
Users Read 폴더 내용 보기 허용
IIS_WPG Read 폴더 내용 보기 허용
인터넷 게스트 계정 쓰기 거부
4. 다음과 같이 IIS(인터넷 정보 서비스) 관리 콘솔에서 기본 웹 사이트에 새로운 가상 디렉터리를 만듭니다. - 가상 디렉터리 *pki* 이름 지정 - 경로로 *C:\\CAWWWPub*를 지정합니다. 5. 가상 디렉터리 액세스 사용 권한에서 **스크립트실행(예: ASP)** 옵션 선택을 취소합니다. 6. 가상 디렉터리에 대해 익명 인증이 설정되었는지 확인합니다. ##### HTTP 게시 지점을 위한 DNS 별칭 선택 CDP와 AIA를 호스팅하는 IIS 서버(www.woodgrovebank.com)를 확인하는 일반 DNS 별칭(CNAME)을 만들어야 합니다. 이 DNS 별칭은 다음 장에서 CA에 대한 CDP 및 AIA 경로를 구성할 때 사용해야 합니다. 이 별칭을 사용하면 CA 인증서를 재발급할 필요 없이 향후 CA 게시 지점을 다른 서버나 네트워크 위치로 손쉽게 옮길 수 있습니다. ##### IIS 설치 확인 계속하기 전에 IIS의 기본 작업을 확인해야 합니다. 다음 테스트 중 하나라도 실패하면 이 절에 있는 이전 단계의 IIS 설치와 구성을 다시 확인해야 합니다. **IIS** **가상디렉터리의올바른작동을확인하려면다음을수행합니다.** 1. 로컬 Administrators의 구성원으로 IIS 서버(발급 CA)에 로그온한 다음 메모장 같은 텍스트 편집기를 사용하여 파일을 만듭니다. 인식할 수 있는 약간의 텍스트를 입력합니다. 텍스트 내용은 중요하지 않으며 HTML 태그도 필요하지 않습니다. 예를 들면 다음과 같습니다. Hello world 2. 앞 단계에서 파일을 CDP 및 AIA 정보를 게시하기 위해 만든 C:\\CAWWWPub폴더에 **test.htm**이라는 이름으로 파일을 저장합니다. 같은 파일을 같은 폴더에 **test.asp**로 저장합니다. 3. 브라우저를 열고 다음 URL(Uniform Resource Locator)을 입력하여 페이지를 검색해 봅니다. https://*www.woodgrovebank.com*/pki/test.htm **참고:** DNS에 이 별칭을 아직 설정하지 않은 경우 IIS의 IP 주소에 대해 임시로 로컬 호스트 파일(%systemroot%\\system32\\drivers\\etc\\hosts)에 입력할 수 있습니다. 또는 별칭 자리에 IIS 서버의 실제 호스트 이름을 사용할 수도 있습니다. 그러나 나중 단계에서 DNS 별칭이 올바로 작동하는지 확인해야 합니다. 4. 브라우저에 "Hello world"(또는 1단계에서 입력한 내용)라는 텍스트가 표시되어야 합니다. **실행권한이사용해제되어있는지확인하려면다음을수행합니다.** 1. 브라우저를 열고 다음 URL을 입력하여 페이지를 검색해 봅니다. https://*www.woodgrovebank.com*/pki/test.asp 2. 브라우저에 다음 오류 메시지(또는 이와 유사한 메시지)가 나타나야 합니다. **페이지를표시할수없습니다.** You have attempted to execute a CGI, ISAPI , or other executable program from a directory that does not allow programs to be executed. 또한 다음 오류 코드가 표시되어야 합니다. HTTP 오류 403.1 - 사용 권한 없음: Execute access is denied. IIS(인터넷 정보 서비스) 사이트에 대해 익명 액세스가 설정되었는지 확인해야 합니다. Microsoft Internet Explorer는 웹 사이트에 대한 사용자 인증을 자동으로 시도하기 때문에 인증된 액세스 대신 익명 액세스가 사용되었는지 여부를 확인하기가 어려운 경우가 있습니다. 이를 위한 한 가지 방법은 익명 로그온을 강제로 사용하도록 Internet Explorer 영역 보안 설정을 변경하고 앞의 테스트를 반복하는 것입니다. 아니면 telnet.exe를 사용하여 강제로 인증되지 않은 액세스를 허용하는 다음 절차를 수행할 수 있습니다. 이 절차는 IIS 서버 자체에서 웹 사이트를 테스트한다고 가정하며 프록시 서버에서는 작동하지 않습니다. **익명액세스가설정되었는지확인하려면다음을수행합니다.** 1. 명령 프롬프트에서 텔넷 프로그램을 실행합니다. 2. telnet 프롬프트에서 다음 명령을 입력하여 입력된 문자가 로컬 디스플레이에 표시되도록 합니다. set localecho 3. 다음과 같이 명령을 입력하여 앞에서 정의한 DNS 별칭을 사용하여 IIS에 연결합니다. open *www.woodgrovebank.com* 80 4. 다음 텍스트를 입력(대소문자를 구분하여 표시된 그대로 입력)하여 test.htm 페이지를 검색합니다. GET /pki/test.htm **참고:** 커서가 화면 맨 위로 돌아오면 입력한 텍스트가 화면에 있는 텍스트를 덮어쓰고 있다는 것을 의미합니다. 따라서 표시되는 화면을 약간 알아보기 힘듭니다. 이것은 무시해도 됩니다. 잘못 입력한 경우 Return 키를 누른 다음 **open** 명령(3단계)을 다시 입력하여 다시 연결하고 **GET** 명령을 다시 시도합니다. 5. 다음과 같은 출력이 표시됩니다. Hello world Connection to host lost. Press any key to continue... 6. **quit**를 입력하여 telnet을 종료합니다. 이 절의 세 가지 테스트가 모두 올바르게 완료되면 웹 서버 폴더에서 test.htm 및 test.asp 파일을 삭제합니다. #### 추가 운영 체제 구성 요소 설치 및 구성 이 절에서는 서버에 필요한 다른 구성 요소를 설치하고 구성하는 방법을 설명합니다. 루트 CA와 발급 CA 서버에 대해 이 절차를 수행해야 합니다. ##### 루트 인증서 업데이트 서비스 제거 루트 인증서 업데이트 서비스를 제거해야 합니다. 이 서비스는 기본적으로 설치되는 옵션 구성 요소입니다. CA의 루트 신뢰가 자동으로 업데이트되도록 하는 것은 바람직하지 않으며, 인터넷에 액세스할 수 없는 경우 서비스가 작동하지 않으며 이벤트 로그에 오류가 기록됩니다. 오프라인 CA는 액세스할 수 없는 것은 확실하지만 앞서 언급했듯이 발급 CA와 인터넷 간의 인바운드나 아웃바운드 연결도 차단해야 합니다. **루트인증서업데이트서비스를제거하려면다음을수행합니다.** - 명령 프롬프트에서 다음을 실행합니다. sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_RemoveRootUpdate.txt 이 명령은 다음과 같이 추가 구성 요소 관리자에게 C:\\MSSScripts\\OC\_ RemoveRootUpdate.txt 파일에 지정된 구성 요소 구성을 사용하도록 구성합니다. ``` \[Components\] rootautoupdate = Off ``` #### 서비스 팩 및 보안 업데이트 확인 IIS 같은 추가 구성 요소가 설치되었을 수 있기 때문에 이 지점에 설치된 서비스 팩과 업데이트 목록을 다시 확인해야 합니다. Microsoft Baseline Security Analyzer(MBSA) 같은 도구를 사용하여 확인을 수행하고, 필요한 업데이트를 구한 다음 적절한 테스트 후에 서버에 설치합니다. MBSA 사용 지침은 이 장 끝의 "추가 정보" 절에서 제공하는 링크를 참조하십시오. **참고:** MBSA를 오프라인으로 실행할 수 있도록 최신 Microsoft 보안 업데이트 목록을 개별적으로 다운로드해야 합니다. 자세한 절차는 MBSA 링크의 MBSA 설명서에 나와 있습니다. #### 추가 소프트웨어 설치 이 절에서는 CA에 필요한 추가 소프트웨어 설치에 대해 설명합니다. ##### CAPICOM CAPICOM 2.0(현재 버전은 2.0.0.3)은 이 솔루션과 함께 제공되는 일부 설치 및 관리 스크립트를 위해 루트 CA와 발급 CA에 필요합니다. 최신 버전의 CAPICOM을 구하는 위치는 이 장 끝에 나오는 "추가 정보" 절을 참조하십시오. 자동 압축 해제 실행 파일의 지시에 따라 CAPICOM DLL(동적 연결 라이브러리)을 설치 및 등록합니다. ##### Windows Server 2003 지원 도구 반드시 필요하지는 않지만 발급 CA 서버에 Windows 2000 지원 도구를 설치하는 것이 좋습니다. 여러 도구가 특정 CA 작업에 유용하며 문제 해결에 도움이 되는 도구도 있습니다. Windows 설치 CD(Support\\Tools의 Suptools.msi)에서 지원 도구를 설치할 수 있습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### PKI를 위해 Active Directory 준비 이 절에서는 Windows Server 2003 인증서 서비스의 설치를 위해 Active Directory를 준비하는 방법에 대해 설명합니다. #### Active Directory 체계 준비 이 솔루션의 Active Directory 도메인 인프라는 몇 가지 기본적인 요구 사항을 준수해야 합니다. 이 요구 사항은 Windows 2000 Active Directory 환경에 솔루션이 설치되는지 여부 또는 Windows Server 2003 Active Directory로 업그레이드(또는 기본적으로 설치)되었는지에 따라 다릅니다. ##### 모든 버전의 Active Directory에 대한 요구 사항 이 솔루션은 최소한 인증 기관 서버가 설치된 도메인의 경우 Windows 2000 기본 모드 이상의 최소 도메인 기능 수준을 요구합니다. 이 요구 사항은 솔루션이 Windows 2000 기본 모드에서 첫 번째로 사용할 수 있는 Active Directory 유니버셜 그룹을 사용하기 때문에 필요합니다. 도메인이 이 요구 사항을 충족하지 못하면 제품 설명서의 지침에 따라 이를 변경해야 합니다(이 장 끝에 나오는 "추가 정보" 절 참조). **참고:** Active Directory의 기본 도메인 기능 수준은 기본 Windows 2003 Active Directory 도메인 컨트롤러를 설치한 경우에도 항상 혼합 모드입니다. 계속하기 전에 이 수준에서 수준을 올려야 합니다. Microsoft Windows NT® 버전 4.0 도메인 컨트롤러를 지원해야 하기 때문에 도메인 수준을 끌어올릴 수 없으면 유니버설 그룹 대신 도메인 글로벌 그룹을 수동으로 만들어야 합니다. 솔루션은 Active Directory 포리스트가 기본 Windows 2000 포리스트 기능 수준(최소한)을 갖고 있다고 가정합니다. 이것을 변경할 필요가 없습니다. 이 개념에 대한 자세한 내용은 이 장 끝에 나오는 참조를 확인하십시오. ##### Windows 2000 도메인에 설치 **중요:** Microsoft는 Windows 2000 도메인 컨트롤러를 사용하는 도메인에 Windows Server 2003 인증서 서비스를 설치 및 사용할 수 있도록 지원하지만 ?´ 솔루션??€ 이러한 구성의 조합에 대해 완벽하게 테스트하지 않았습니다. Windows 2000 Active Directory 포리스트에 솔루션을 설치하는 경우 올바르게 작동하려면 Windows 2003 인증서 서비스 설치용 디렉터리 체계를 업데이트해야 합니다. 또한 모든 Windows 2000 도메인 컨트롤러에 서비스 팩 3 이상이 적용되어 있는지 확인해야 합니다. 체계 업데이트 도구가 올바르게 작동하고 도메인 컨트롤러가 LDAP(Lightweight Directory Access Protocol) 서명을 지원하도록 하려면 서비스 팩이 있어야 합니다. LDAP 서명은 인증서 자동 등록을 사용하는 Windows Server 2003 CA 및 Windows XP 클라이언트에서 요구하는 보안 향상입니다. Windows 2003 인증서 서비스의 많은 기능(예: 사용자 자동 등록 및 편집 가능한 템플릿)이 Active Directory 체계의 Windows Server 2003 버전을 요구합니다. 그러나 이 요구 사항이 모든 도메인 컨트롤러에 Windows Server 2003을 실행해야 한다는 것을 의미하는 것은 아닙니다. 다만 Windows Server 2003 인증서 서비스는 Windows 2000 Active Directory 체계에 없는 특정 체계 확장을 요구합니다. Windows Server 2003 배포 미디어의 i386 폴더에 있는 ADPrep.exe 도구를 사용하여 디렉터리 체계를 업데이트할 수 있습니다. Adprep를 사용하려면 서비스 팩 3(SP3)을 Windows 2000 도메인 컨트롤러에 적용해야 합니다. Adprep는 여기서는 SP3이 필요하기 때문에 관계가 없기는 하지만 서비스 팩 1과 일부 post-SP1 업데이트가 있어야 작동합니다. 모든 도메인 컨트롤러가 올바른 패치 수준에 있는지 확인하지 않고 이 도구를 사용하려고 시도하지 마십시오. **경고:** 이 도구를 사용하면 디렉터리 체계가 영구적으로 변경됩니다. 절차는 안전하지만 시작하기 전에 관련 설명서를 자세히 검토합니다. 포리스트 체계 마스터 도메인 컨트롤러에서 다음 명령을 실행합니다. ADPrep /ForestPrep 이 작업을 수행하려면 Schema Admins의 구성원이어야 하거나, 변경을 위한 올바른 권한을 가진 관리자에게 대신 요청해야 합니다. ADPrep 도구에 대한 자세한 내용은 이 모듈 끝의 참조를 확인하십시오. ##### Active Directory 준비 확인 다음 단계를 수행하여 도메인 기능 수준과 체계 버전을 확인할 수 있습니다. **도메인기능수준을확인하려면다음을수행합니다.** 1. Active Directory 사용자 및 컴퓨터를 엽니다. 2. 도메인 개체의 속성을 봅니다. 3. **일반** 탭에서 **도메인기능수준**이 다음 중 하나로 나열되어야 합니다. - Windows 2000 기본 - Windows Server 2003 **올바른체계버전을확인하려면다음을수행합니다.** 1. 명령 프롬프트에서 다음을 입력합니다(사용자 포리스트 루트 도메인의 DN으로 바꿉니다). dsquery \* "cn=schema,cn=configuration, *DC=woodgrovebank,DC=com*" -scope base -attr objectversion (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) **참고:** Windows 2003 Server에서 이 명령을 실행해야 합니다. Dsquery.exe는 기본적으로 Windows XP 또는 Windows 2000에서는 사용할 수 없습니다. 2. 출력은 아래에 표시된 것처럼 체계 버전을 30(또는 그 이상)으로 표시해야 합니다.   objectversion   30 #### Active Directory 그룹 및 사용자 이 절에서는 CA가 사용하는 Active Directory 보안 그룹 및 사용자 계정을 만드는 방법을 설명합니다. ##### PKI 및 CA 관리 그룹 만들기 관리 역할과 기능은 도메인 사용자 계정과 보안 그룹을 사용하여 정의됩니다. **참고:** 이 솔루션은 개별 관리 역할에 해당하는 여러 보안 그룹을 정의합니다. 이 접근 방식을 사용하면 CA 관리에 책임을 위임하는 방법을 효과적으로 제어할 수 있습니다. *그러나* 관리 모델에 해당하지 않는 경우에는 이러한 모든 역할을 사용해야 한다는 것을 느끼지 못합니다. 극단적으로 서비스의 모든 측면을 관리하는 PKI 관리자가 한 명만 있는 경우 이 계정을 CA의 모든 역할 그룹에 추가할 수 있습니다. 실제로는 대부분의 조직이 몇 가지 역할 구분을 사용하는 것이 일반적이지만 Windows 인증서 서비스의 역할 구분 기능을 모두 사용하는 조직은 거의 없습니다. **도메인에** **CA** **관리그룹을만들려면다음을수행합니다.** 1. 사용자 컨테이너에 사용자와 그룹 개체를 만들 수 있는 권한이 있는 계정을 가진 도메인 구성원 컴퓨터에 로그온합니다. 2. 다음 명령을 실행하여 도메인 CA 관리 그룹을 만듭니다. Cscript //job:CertDomainGroups C:\\MSSScripts\\ca\_setup.wsf 이 스크립트는 다음 표에 나열되는 보안 그룹을 만듭니다. 그룹은 도메인 사용자 컨테이너에 유니버설 그룹으로 만든 다음 보다 적절한 OU(조직 구성 단위)로 옮겨야 합니다. (적절한 OU 구조에 대한 설명은 다음 절에서 제공합니다.) **주의:** 이 스크립트는 Active Directory 포리스트 내에 많은 영향을 주는 보안 그룹을 만듭니다. 이 그룹의 구성원을 확인할 때는 매우 신중해야 합니다. 예를 들면 다음과 같습니다. **Enterprise PKI Admins**. 매우 강력한 그룹입니다. 루트 및 엔터프라이즈 CA의 설치 및 교체, 루트 트러스트 변경 및 상호 인증서 설치를 비롯해 Active Directory 포리스트 전체에서 PKI를 완전하게 제어할 수 있습니다. Enterprise Admins 그룹과 마찬가지로 신중하게 처리합니다. **Enterprise PKI Publishers**. 악의가 없는 것처럼 보이지만 이 그룹 역시 강력한 기능을 갖고 있습니다. 이 그룹은 전체 포리스트의 신뢰할 수 있는 루트 CA 및 교차 인증서를 설치 및 제거할 수 있습니다. Enterprise Admins 그룹만큼 강력하지는 않지만 마찬가지로 신중하게 다뤄야 합니다. **표** **7.7:** **그룹이름및용도**

그룹 이름 목적
Enterprise PKI Admins 공용 키 서비스 구성 컨테이너 관리자.
Enterprise PKI Publishers CRL과 CA 인증서를 엔터프라이즈 구성 컨테이너에 게시할 수 있습니다.
CA Admins 다른 역할의 구성원을 결정하는 것을 비롯하여 CA에 대한 모든 관리 권한을 가집니다.
Certificate Managers 인증서 발급과 해지를 관리합니다.
CA Auditors CA에 대한 감사 데이터를 관리합니다.
CA Backup Operators CA 키와 데이터를 백업하고 복원할 수 있는 권한을 가집니다.
**참고:** 각 엔터프라이즈 CA에 대해 CA 관리자, 인증서 관리자, 감사자 및 백업 운영자가 필요한 경우 이곳에서 설명하는 것처럼 단일 엔터프라이즈 수준의 그룹 대신 각 CA에 대해 별도의 도메인 그룹을 만들어야 합니다. *CAName* CA Admins 또는 이와 유사한 이름을 지정합니다. 이러한 도메인 그룹의 대부분은 오프라인 CA에 만든 로컬 그룹과 동일합니다. CA 서버의 로컬 Administrators 그룹은 CA의 관리에서도 중요한 역할을 수행합니다. 이 그룹은 Windows 서버에 기본적으로 존재합니다. 다중 도메인 포리스트의 경우 인증서 서버와 같은 도메인에 이러한 그룹을 만들어야 합니다. 이것은 이 지침의 나머지 부분에서 가정되는 접근 방식입니다. (이 그룹은 유니버설 그룹이므로 이를 사용해 포리스트 도메인에 설치된 CA를 관리할 수 있습니다.) ##### PKI 및 CA 관리 테스트 사용자 만들기 테스트와 설명을 위해 이 절의 스크립트는 이전에 만든 관리 그룹에서 정의하는 각 역할에 해당하는 일반 사용자 계정을 만듭니다. 그러나, 사용할 실제 계정이 이 지점에 이미 있거나, 계정이 정의되어 있고 만들 수 있는 경우 이 단계를 무시하고 대신 이러한 계정을 사용해야 합니다. **테스트** **CA** **관리사용자계정을만들려면다음을수행합니다.** 1. 사용자 컨테이너에 사용자와 그룹 개체를 만들 수 있는 권한이 있는 계정을 가진 도메인 구성원 컴퓨터에 로그온합니다. 2. 다음 스크립트를 실행하여 CA를 관리할 사람에 대한 테스트 도메인 사용자 계정을 만듭니다. Cscript //job:CertDomainTestAccts C:\\MSSScripts\\ca\_setup.wsf 스크립트는 암호를 비워 두지 않고 모든 계정에 임의의 암호를 설정합니다. 스크립트 출력에서 이러한 암호를 적어 두거나, 자동 할당된 암호를 자신이 선택한 암호로 다시 설정합니다. **주의:** 관리자 간에 암호를 공유하는 이와 같은 일반 계정을 사용하면 감사가 거의 불가능합니다. 테스트 환경 이외에는 항상 고유한 사용자를 추적할 수 있는 계정을 사용해야 합니다. 스크립트는 다음 표에서 설명하는 도메인 계정을 만듭니다. 스크립트는 사용자 컨테이너에 사용자를 만들고 보다 적절한 OU로 이동해야 합니다. (이에 대한 자세한 설명은 다음 절에서 제공합니다.) **표** **7.8:** **계정이름및용도**

사용자 계정 계정 용도
EntPKIAdmin 공용 키 서비스 구성 컨테이너 관리자
EntPKIPub CRL과 CA 인증서를 엔터프라이즈 구성 컨테이너에 게시할 수 있습니다.
CAAdmin 다른 역할의 구성원을 결정하는 것을 비롯하여 CA에 대한 모든 관리 권한을 가집니다.
CertManager 인증서 발급과 해지를 관리합니다.
CAAuditor CA에 대한 감사 데이터를 관리합니다.
CABackup CA 키와 데이터를 백업하고 복원할 수 있는 권한을 가집니다.
**참고:** 테스트 계정은 각 CA 역할이 개별 사용자(사용자 계정)에 해당하는 가장 복잡한 관리 역할 구성을 보여 줍니다. 그러나 각각의 역할을 서로 다른 사람이 수행하는 경우가 아니면, 역할마다 별도의 계정을 사용해서 얻을 수 있는 이점이 거의 없습니다. 사용자 관리 구조를 보다 정확하게 반영한다면 여러 역할 그룹 또는 모든 역할 그룹에 단일 사용자 계정을 사용하는 것이 좋습니다. 자세한 내용은 다음 절 "엔터프라이즈 CA를 위한 단순한 관리 모델 만들기"를 참조하십시오. ##### CA 관리 그룹 채우기 조직의 적절한 관리 직원의 계정으로 CA 관리 그룹을 채워야 합니다. 이러한 그룹을 인증서 서비스 구조의 관리 역할에 매핑하는 방법에 대한 자세한 내용은 4장 "공용 키 구조 디자인"에서 "관리 역할"을 참조하십시오. For a fuller discussion of Windows Server 2003 인증서 서비스 관리 역할에 대한 자세한 내용은 온라인 도움말의 "역할 기반 관리" 또는 이 장 끝에 나오는 참조를 확인하십시오. **참고:** 테스트 도메인 계정을 만든 경우에도 이러한 계정을 해당 보안 그룹의 구성원으로 직접 추가해야 합니다. 보안 예방 조치로 스크립트는 기본적으로 이 단계를 수행하지 않습니다. 이 설명서의 나머지 부분에 있는 설치 절차를 수행하려면 Enterprise PKI Admins, Enterprise PKI Publishers 및 CA Admins의 구성원인 계정을 사용하여 일부 설치 동작을 수행해야 합니다. 이 접근 방식을 사용하면 반드시 필요한 경우 이외에는 Enterprise Admins 또는 Domain Admins 권한을 요구하지 않게 됩니다. **참고:** Windows Server 2003 인증서 서비스에서 엄격한 역할 구분을 시행할 수 있습니다(Enterprise Edition 전용). 즉, 둘 이상의 역할(직접 또는 그룹 구성원을 통해)이 할당된 계정은 CA에서 모든 관리 역할이 차단되는 것을 의미합니다. 이 옵션은 기본적으로 또는 이 솔루션에서 제품에 설정되지 않으므로 조직에서 필요한 경우 여러 관리 역할에 동일한 사용자 계정을 할당할 수 있습니다. ##### 엔터프라이즈 CA를 위한 단순한 관리 모델 만들기 테스트 계정과 관리 그룹은 각 CA 역할이 개별 사용자(사용자 계정)에 해당하는 가장 복잡한 관리 역할 구성을 보여 줍니다. 그러나 사용자 관리 구조를 보다 정확하게 반영한다면 여러 역할 그룹 또는 모든 역할 그룹에 단일 사용자 계정을 사용하는 것이 좋습니다. 많은 조직에서는 CA Administrator, Auditor 및 Backup Operator의 세 가지 역할만 사용합니다. 이 역할은 설명을 위해 앞에서 만든 테스트 계정의 하위 집합을 사용하여 다음 표에서 설명합니다. **표** **7.9:** **단순한관리모델그룹할당**

단순한 관리 역할 사용자 계정 사용자 계정 그룹 구성원
CAAdmin Enterprise PKI Admins CA Admins Certificate Managers Administrators(CA의 로컬 관리자)
CAAuditor CA Auditors Administrators(CA의 로컬 관리자)
CABackup CA Backup Operators
이 배열을 사용하여 CA Admin 계정은 엔터프라이즈 CA에서 인증서 승인과 해지를 비롯한 모든 관리 작업을 수행할 수 있으며, Active Directory에서 모든 엔터프라이즈 PKI 구성 정보를 관리적으로 제어할 수 있습니다(모든 파일에 대한 사용 권한은 설명서 뒷부분에서 설정). ##### CA 및 인증서 템플릿 관리를 위해 제안하는 도메인 OU 구조 PKI의 관리 및 운영과 관련하여 많은 그룹과 사용자 계정이 있습니다. 보다 용이하게 관리할 수 있도록 이러한 그룹과 사용자 계정을 OU로 구성해야 합니다. 다음 표는 제안하는 OU 구조를 보여 주며 각 OU의 용도를 설명합니다. 들여쓴 항목은 인증서 서비스 OU의 하위 OU입니다. 인증서 서비스 OU 및 모든 하위 컨테이너에 그룹과 사용자를 만들고 삭제하는 Enterprise PKI Admins 그룹 권한을 부여해야 합니다. **표** **7.10: OU** **구조의예**

OU 목적
인증서 서비스 상위 OU.
\—인증서 서비스 관리 CA와 엔터프라이즈 PKI 구성을 관리하는관리 그룹을 포함합니다.
\—인증서 템플릿 관리 개별 인증서 템플릿 관리를 위한 그룹이 포함되어 있습니다.
\—인증서 템플릿 등록 동일한 이름의 템플릿에 대해 등록 또는 자동 등록 권한을 부여 받은 그룹을 포함합니다. 템플릿 자체에는 영향을 주지 않으면서 융통성 있는 등록 방식을 사용할 수 있도록 이러한 그룹의 제어를 적절한 직원에게 위임할 수 있습니다.
\—인증서 서비스 테스트 사용자 임시 테스트 계정이 포함되어 있습니다.
이러한 OU의 사용자 및 여기에 포함된 그룹에 대한 자세한 내용은 11장 "공용 키 구조 관리"의 관련 절을 참조하십시오. **인증서서비스** **OU** **관리계층을만들려면다음을수행합니다.** 1. 사용 권한을 가진 계정으로 로그온하여 OU를 만들고 해당 OU 내에서 사용 권한을 위임합니다. 새 OU의 작성자는 항상 자신의 권한을 부여하여 이러한 OU를 제어할 수 있도록 위임할 수 있습니다. 2. 앞의 표에서 도메인의 적절한 위치를 나타내는 OU 구조를 만듭니다. (이것은 포리스트 루트 도메인이지만 필수적이지는 않다고 가정합니다.) 3. 인증서 서비스 OU 및 모든 하위 컨테이너에 그룹을 만들고 삭제하는 권한을 Enterprise PKI Admins 그룹에 부여합니다. **참고:** 이 OU 구조는 예로만 제공됩니다. 이 구조를 채택하도록 강요하지는 않습니다. #### Active Directory 공용 키 서비스 보안 이 절에서는 공용 키 서비스 컨테이너에 대한 제어를 PKI 관리 보안 그룹에 위임하는 방법을 설명합니다. ##### 공용 키 서비스 컨테이너에 권한 부여 포리스트 수준의 PKI 구성 정보는 Active Directory 구성 컨테이너에 유지됩니다. 이 컨테이너와 모든 하위 컨테이너 및 개체에 대한 변경 권한은 기본적으로 Enterprise Administrators 보안 그룹으로 제한됩니다. 공용 키 서비스 컨테이너의 보안을 변경해야 하는 이유는 다음과 같습니다. - Enterprise PKI Admins가 Enterprise Admins 보안 그룹의 구성원이 될 필요 없이 엔터프라이즈 CA를 설치하고 인증서 템플릿을 구성할 수 있도록 하려는 경우. - Enterprise PKI Publishers가 Enterprise Admins의 구성원이 될 필요 없이 인증서 해지 목록과 CA 인증서를 게시할 수 있도록 하려는 경우. 이 그룹의 구성원이 아닌 경우 Active Directory Enterprise Admins 그룹의 구성원이 사용자를 위해 먼저 절차를 수행하도록 요청해야 합니다. **주의:** 이 절차를 수행하면 포리스트 전체의 사용자 및 컴퓨터에 영향을 미치는 Active Directory의 매우 민감한 부분을 위임하게 됩니다. 공용 키 서비스 컨테이너에 대한 제어 권한을 부여할 사용자는 매우 신중하게 선택해야 합니다. 이 컨테이너에 대한 제어 권한이 있는 계정은 무엇보다 신뢰할 수 있는 CA와 엔터프라이즈 CA를 추가 및 제거하고 포리스트에 있는 모든 사용자에 대해 유효한 자격 증명을 만들 수 있습니다. **Enterprise PKI Admins에사용권한을부여하려면다음을수행합니다.** 1. Enterprise Admins 보안 그룹의 구성원으로 로그온합니다. 2. Active Directory 사이트 및 서비스에서 MMC(Microsoft Management Console) 스냅인의 **보기** 메뉴에서 **서비스** 노드를 표시합니다. 공용키 서비스 하위 컨테이너로 이동하여 속성을 엽니다. 3. **보안** 탭에서 Enterprise PKI Admins 보안 그룹을 추가하고 이 그룹에 **모든권한**을 부여합니다. 4. **고급** 보기에서 이 그룹의 권한을 편집하여 **이개체와모든자식개체**에 **모든권한**을 적용했는지 확인합니다. 5. 서비스 컨테이너를 선택하고 속성을 엽니다. 6. **보안** 탭에서 Enterprise PKI Admins 보안 그룹을 추가하고 이 그룹에 **모든권한**을 부여합니다. 7. **고급** 보기에서 이 그룹의 권한을 편집하여 **이개체만**에 **모든권한**을 적용했는지 확인합니다. **Enterprise Publishers에사용권한을부여하려면다음을수행합니다.** 1. Enterprise PKI Admins (또는 Enterprise Admins) 보안 그룹의 구성원으로 로그온합니다. 2. Active Directory 사이트 및 서비스 MMC 스냅인에서 **서비스** 노드를 표시하고 공용 키 서비스\\AIA 컨테이너의 속성을 엽니다. 3. **보안** 탭에서 Enterprise PKI Publishers 보안 그룹을 추가하고 이 그룹에 다음 권한을 부여합니다. - Read - 쓰기 - 모든 자식 개체 만들기 - 모든 자식 개체 삭제 4. **고급** 보기에서 이 그룹의 권한을 편집하여 **이개체와모든자식개체**에 사용 권한을 적용했는지 확인합니다. 5. 다음 컨테이너에 대해 2-4단계를 반복합니다. - 공용 키 서비스\\CDP - 공용 키 서비스\\인증 기관 **참고:** 이전 절차에서 Enterprise PKI Admins에 사용 권한을 부여한 후에 이 그룹의 구성원은 Enterprise PKI Publishers에 사용 권한을 부여할 수 있습니다. ##### Cert Publishers 그룹에 권한 부여 Cert Publishers 보안 그룹에는 도메인에 있는 모든 엔터프라이즈 CA의 컴퓨터 계정이 들어 있습니다. 이 그룹은 사용자와 컴퓨터 개체 및 이전 절차에서 설명한 CDP 컨테이너의 개체에 사용 권한을 적용하는 데 사용됩니다. CA가 설치되면 컴퓨터 계정을 이 그룹에 추가해야 합니다. 기본적으로 Domain Admins, Enterprise Admins 또는 기본 제공 도메인 Administrators 그룹은 Cert Publishers의 구성원을 수정할 권한이 있습니다. Enterprise PKI Admins의 구성원이 엔터프라이즈 CA를 설치할 수 있도록 하려면 이 보안 그룹의 사용 권한을 변경해야 합니다. **Cert Publishers의구성원수정권한을부여하려면다음을수행합니다.** 1. 발급 CA 를 설치할 도메인의 Domain Admins의 구성원으로 로그온합니다. 2. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 3. MMC의 **보기** 메뉴에서 **고급기능**이 설정되었는지 확인합니다. 4. 기본적으로 사용자 컨테이너에서 Cert Publishers그룹을 찾아 그룹의 속성을 봅니다. 5. **보안** 탭에서 그룹 **Enterprise PKI Admins**를 **추가**하고 **고급** 단추를 누릅니다. 6. 목록에서 그룹 **Enterprise PKI Admins**를 선택하고 **편집** 단추를 누릅니다. 7. **속성** 탭을 선택하고 **적용대상**:상자에서 **이개체만**이 선택되었는지 확인합니다. 8. 아래로 스크롤하고 **허용**열에서 **Write Members** 상자를 누릅니다. 9. 모든 대화 상자에서 각각 **확인**을 클릭하여 닫고 변경 사항을 저장합니다. 10. 인증서 서비스 구성 요소를 설치하기 전에 발급 CA 서버를 다시 시작해야 합니다. 컴퓨터를 다시 시작하면 서버가 액세스 토큰에서 새 그룹 구성원을 선택할 수 있습니다. ##### Enterprise PKI Admins에 복원 권한 부여 엔터프라이즈 CA를 설치하려면 CA를 설치하고 있는 도메인에서 파일과 디렉터리를 복원할 수 있는 권한이 있어야 합니다. 인증서 서비스 설치 프로세스에서 인증서 템플릿을 도메인에 설치하려면 이 사용자 권한이 필요합니다. 이 권한은 특히 템플릿의 보안 설명자 및 기타 디렉터리 개체를 병합하여 도메인 PKI 개체에 올바른 권한을 부여하는 데 필요합니다. 기본 제공 도메인 그룹 Administrators, Server Operators 및 Backup Operators에는 기본적으로 이 권한이 있습니다. Enterprise PKI Admins 그룹을 사용해 CA 설치를 수행하게 되므로 이 그룹에 파일 및 디렉터리 복원 사용자 권한을 부여해야 합니다. **Enterprise PKI Admins에복원권한을부여하려면다음을수행합니다.** 1. 발급 CA 를 설치할 도메인의 Domain Admins의 구성원으로 로그온합니다. 2. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 3. 도메인 컨트롤러 OU를 선택하고 해당 OU의 속성을 엽니다. 4. 그룹 정책 탭에서 **기본도메인컨트롤러정책** GPO를 선택하고 **편집**을 클릭합니다. 5. 컴퓨터 구성\\Windows 설정\\보안 설정\\로컬 정책\\사용자 권한 할당으로 이동하고 항목 **파일및디렉터리복원**을 두 번 클릭합니다. 6. 그룹 Enterprise PKI Admins를 표시된 목록에 추가합니다. 7. 대화 상자와 GPO 편집 MMC를 닫습니다. **중요:** 도메인 컨트롤러에 **파일및디렉터리복원** 사용자 권한을 설정하는 다른 GPO가 있는 경우 **기본도메인컨트롤러정책** 대신 가장 높은 우선 순위를 가진 GPO에서 위의 절차를 수행해야 합니다. 사용자 권한 설정은 누적되지 않으며 이 권한 설정이 마지막으로 적용된 GPO(즉, 가장 높은 우선 순위를 가진 GPO)만 유효합니다. #### 확인 Active Directory 사용자 및 컴퓨터 MMC를 사용하여 사용자와 그룹을 탐색하면 그룹, 사용자 및 OU가 만들어진 것을 확인할 수 있습니다. 사용자는 해당 그룹의 구성원(테스트 사용자 또는 실제 PKI 관리 사용자 계정)이어야 합니다. 다음 단계를 수행하여 공용 키 서비스 컨테이너에 대한 권한이 올바르게 적용되었는지 확인할 수 있습니다. 이 절차를 수행하는 시스템에 Windows Server 2003 지원 도구의 복사본이 설치되어 있어야 합니다. 이 절차를 CA에서 수행할 필요는 없습니다. **참고:** 다음 절차에서 서로 다른 사용자 계정으로 로그인하는 대신 Windows 탐색기에서 Runas 또는 **Run As** 상황에 맞는 메뉴를 사용하여 필요한 사용자 계정의 컨텍스트에 ADSIEdit MMC를 실행합니다. **공용키서비스권한을확인하려면다음을수행합니다.** 1. 도메인 구성원 서버(예: 발급 CA 서버)에 Enterprise PKI Admins의 구성원으로 로그온합니다. 2. mmc.exe를 실행하고 ADSI Edit 스냅인을 로드합니다. 3. ADSI Edit 폴더를 마우스 오른쪽 단추로 클릭하고 **Connect to**를 선택한 다음 **Select a Well Known Naming Context** 드롭다운 목록에서 **Configuration**을 선택합니다. 4. 공용 키 서비스 컨테이너로 이동하고 이 컨테이너를 마우스 오른쪽 단추로 클릭합니다. **New**를 선택한 다음 **Object**를 선택합니다. 5. 목록에서 **Container**를 선택하고 이름(예: **Test**)을 지정합니다. 컨테이너 개체가 공용 키 서비스 컨테이너에 만들어져야 합니다. 6. 방금 만든 컨테이너 개체를 삭제합니다. 7. 서비스 컨테이너 및 해당 하위 컨테이너를 제외하고는 구성 컨테이너에 컨테이너 개체를 만들 수 없어야 합니다. 8. Enterprise PKI Publishers의 구성원으로 로그온합니다. 9. ADSIEdit을 로드하고 **구성** 명명 컨텍스트(NIC)에 연결합니다. 10. 공용 키 서비스 컨테이너에 컨테이너 개체를 만들어 봅니다. 만들어지지 않아야 합니다. 11. AIA, CDP 및 인증 기관 하위 컨테이너에 테스트 개체(컨테이너 개체)를 만듭니다. 12. 만들어진 것을 확인한 후에 이 테스트 개체는 제거합니다. **주의:** 직접 만든 테스트 개체만 삭제하도록 주의하십시오. 특히 이제 Enterprise PKI Admins 구성원에는 전체 공용 키 서비스컨테이너를 삭제할 수 있는 권한이 있습니다. **참고:** Windows Server 2003 지원 도구를 설치하지 않은 경우 ADSIEdit을 사용할 수 없습니다. 기본 제공 유틸리티인 dsadd.exe 및 dsrm.exe를 사용하여 명령줄에서 이러한 확인 단계를 수행할 수 있습니다. 그러나, 이러한 유틸리티를 사용할 때는 올바른 구문과 디렉터리 개체 경로를 매우 신중하게 사용해야 합니다. 프로덕션 Active Directory 포리스트에서 사용하기 전에 테스트 시스템에서 신중하게 테스트하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 인증서 서비스를 위해 Windows Server 2003 보안 유지 이 절에서는 인증서 서비스를 설치하기 전에 Windows Server에 보안 정책과 기타 보안 조치를 적용하는 방법을 설명합니다. 4장 "공용 키 구조 디자인"에 있는 "실제 보안" 절도 읽어 보아야 합니다. #### 루트 CA 서버에 보안 구현 다음 절에서는 로컬 그룹과 사용자 계정의 구성 및 CA 서버에 보안 정책을 적용하는 방법에 대해 설명합니다. ##### 루트 CA에 로컬 사용자 계정 및 보안 그룹 만들기 루트 CA는 도메인의 일부가 아니기 때문에 관리 역할과 기능은 사용자 계정과 보안 그룹을 사용하여 정의됩니다. **루트** **CA** **서버에로컬사용자계정과그룹을만들려면다음을수행합니다.** 1. 루트 CA에서 다음 스크립트를 실행하여 로컬 CA 관리 그룹을 만듭니다. Cscript //job:CertLocalGroups C:\\MSSScripts\\ca\_setup.wsf 스크립트는 다음 표에서 설명하는 로컬 그룹을 만듭니다. **표** **7.11:** **그룹이름및용도**
그룹 이름 목적
CA Admins 다른 역할의 구성원을 결정하는 것을 비롯하여 CA에 대한 모든 관리 권한을 가집니다.
Certificate Managers 인증서 발급과 해지를 관리합니다.
CA Auditors CA에 대한 감사 데이터를 관리합니다.
CA Backup Operators CA 키와 데이터를 백업하고 복원할 수 있는 권한을 가집니다.
2. CA를 관리할 사람에 대한 로컬 사용자 계정을 만듭니다. 테스트와 설명을 위해 다음 스크립트는 앞의 그룹에서 정의한 각 역할에 해당하는 일반 로컬 계정을 만듭니다. 그러나 이 시점에서 실제 계정을 만들 수 있는 경우 이 단계를 건너 뛰어야 합니다. 대신 다음 계정을 만듭니다. Cscript //job:CertLocalTestAccts C:\\MSSScripts\\ca\_setup.wsf 스크립트는 CAPICOM을 사용하여 암호를 비워 두지 않고 모든 계정에 의사 임의 암호를 생성합니다. 스크립트 출력에서 이러한 암호를 적어 두거나, 암호를 자신이 선택하는 암호로 다시 설정합니다. **참고:** 관리자 간에 암호를 공유하는 일반 계정을 사용하면 감사 내역이 의미가 없게 됩니다. 높은 보안을 사용하는 프로덕션 환경에서는 항상 고유한 사용자를 추적할 수 있는 계정을 사용해야 합니다. 스크립트는 다음 표에 나열된 로컬 그룹을 만듭니다. **표** **7.12:** **계정이름및용도**
계정 이름 목적
CAAdmin 다른 역할의 구성원을 결정하는 것을 비롯하여 CA에 대한 모든 관리 권한을 가집니다.
CertManager 인증서 발급과 해지를 관리합니다.
CAAuditor CA에 대한 감사 데이터를 관리합니다.
CABackup CA 키와 데이터를 백업하고 복원할 수 있는 권한을 가집니다.
**참고:** 테스트 계정은 각 CA 역할이 개별 사용자(사용자 계정)에 해당하는 가장 복잡한 관리 역할 구성을 보여 줍니다. 그러나 각각의 역할을 서로 다른 사람이 수행하는 경우가 아니면, 역할마다 별도의 계정을 사용해서 얻을 수 있는 이점이 거의 없습니다. 사용자 관리 구조를 보다 정확하게 반영한다면 여러 역할 그룹 또는 모든 역할 그룹에 단일 계정을 사용하는 것이 좋습니다. 3. 이러한 사용자 계정을 해당 관리 보안 그룹에 추가합니다. 테스트 계정에 대한 다음 표를 사용하거나 조직에 정의된 IT 역할 및 보안 정책에 따라 자체 계정을 사용합니다. **표** **7.13:** **계정이름및그룹구성원**
계정 이름 그룹 구성원
CAAdmin CA Admins
CertManager Certificate Managers
CAAuditor –CA Auditors –Administrators
CABackup CA Backup Operators
**참고:** CA Admins 그룹의 구성원은 로컬 관리자 그룹의 구성원이 될 수도 있습니다. 특정 작업에서는 로컬 관리 권한을 요구할 수 있으며 이러한 권한을 CA Admins 역할과 함께 사용할 수 있습니다. ###### 루트 CA를 위한 단순한 관리 모델 만들기 대부분의 조직은 앞의 절차에서 보여 준 것과 같이 복잡한 관리 구조를 요구하지 않습니다. 일부 조직은 역할 구분을 필요로 하지 않을 수 있으며, 많은 조직에서는 CA administrator, Auditor 및 Backup Operator의 세 가지 역할만 사용합니다. 이 역할은 앞에서 만든 테스트 계정의 하위 집합을 사용하여 다음 표에서 설명합니다. **표** **7.14:** **단순한관리모델그룹할당**

단순한 관리 역할 그룹 구성원
CAAdmin CA Admins Certificate Managers Administrators
CA Auditor CA Auditors Administrators
CABackup CA Backup Operators
###### 그룹 및 계정 확인 컴퓨터 관리 MMC의 사용자 및 그룹 노드를 보고 그룹, 사용자 및 그룹 구성원이 만들어졌는지 확인합니다. ##### 루트 CA 서버에 시스템 보안 설정 적용 *Windows Server 2003 Security Guide*의 지침에 정의된 엔터프라이즈 클라이언트 인증서 서비스 역할을 사용하여 CA 서버의 보안을 유지합니다(이 장 끝의 "추가 정보" 절 참조). 루트 CA는 도메인의 구성원이 아니며 도메인 그룹 정책을 사용할 수 없으므로 보안 템플릿 및 절차를 수동으로 적용해야 합니다. *Windows Server 2003 Security Guide*에서 다음 보안 템플릿을 구하여 루트 CA 서버의 C:\\MSSScripts 폴더에 복사합니다. - Enterprise Client–Domain.inf - Enterprise Client–Member Server Baseline.inf - Enterprise Client–Certificate Services.inf 보안 템플릿을 사용자 지정하고 다음 절차에 따라 서버에 적용합니다. **보안템플릿을사용자지정하려면다음을수행합니다.** 1. Administrators의 구성원으로 로그온하고 Enterprise Client - Certificate Services.inf를 보안 템플릿 MMC로 로드합니다. 2. 로컬 정책\\보안 옵션에서 다음 항목을 조직의 보안 표준에 따라 변경합니다. - 계정: Administrator 계정 이름 바꾸기: *NewAdminName* - 계정: Guest 계정 이름 바꾸기: *NewGuestName* - 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트: *LegalNoticeText* - 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목: *LegalNoticeTitle* **참고:** 조직의 현재 정책을 기초로 하여 이러한 항목의 값을 결정해야 합니다. 이러한 값을 구성하지 않을 것을 권장하는 경우 구성할 필요는 없습니다. 3. 로컬 정책\\사용자 권한 할당에서 로컬 그룹 CA Auditors를 **감사및보안로그관리** 사용자 권한에 추가합니다. 4. 로컬 정책\\사용자 권한 할당에서 로컬 그룹 CA Backup Operators를 다음 사용자 권한에 추가합니다. - 파일 및 디렉터리 백업 - 파일 및 디렉터리복원 5. 로컬 정책\\사용자 권한 할당에서 다음 로컬 그룹을 **로컬로그온허용** 권한에 추가합니다. - Administrators - Backup Operators - CA Admins - Certificate Managers - CA Auditors - CA Backup Operators 6. 시스템 서비스 폴더에서 다음 서비스의 속성을 열고 **템플릿에이정책설정정의**를 클릭합니다. **확인**을 클릭하여 기본 사용 권한을 그대로 적용합니다. **서비스시작모드설정** 값을 **자동**으로 설정합니다. - 이동식 저장소 - Volume Shadow Copy - MS Software Shadow Copy Provider **참고:** 이러한 서비스는 구성원 서버 기준 보안 템플릿에서는 해제되어 있지만 NTBackup.exe를 실행하는 데 필요합니다. 7. 템플릿을 선택한 상태에서 **파일** 메뉴에서 **저장**을 클릭하여 템플릿 변경 내용을 저장한 다음 MMC를 닫습니다. 8. 지정된 순서로 다음 명령을 실행하여 필요한 보안 템플릿을 적용합니다. Secedit 도구는 일부 경고 생성되었다는 것을 나타낼 수 있습니다. 이것은 무시해도 되지만 오류는 조사해야 합니다. secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client - Domain.inf" /overwrite /log "%temp%\\Enterprise Client - Domain.log" secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client–Member Server Baseline.inf" /log "%temp%\\Enterprise Client–Member Server Baseline.log" secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client - Certificate Services.inf" /log "%temp%\\Enterprise Client - Certificate Services.log" (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) **참고:***Windows Server 2003 Security Guide*에는 이러한 보안 설정에 대한 보다 자세한 정보가 포함되어 있습니다. ###### 보안 설정 확인 보안 설정이 올바르게 적용되었는지 확인하려면 다음 절차를 수행합니다. **루트** **CA** **보안설정을확인하려면다음을수행합니다.** 1. 앞 절에서 생성된 secedit 로그를 보고 주요 오류가 기록되지 않았는지 확인합니다. (많은 경고와 사소한 오류가 표시되는 것은 일반적이지만 보안 템플릿 응용 프로그램이 실패하는 원인이 되는지 확인하십시오.) 2. 서버를 다시 시작한 다음 예상했던 모든 서비스가 시작되었는지와 시스템 이벤트 로그에 오류가 기록되지 않았는지를 확인합니다. 3. 만들어 둔 테스트 계정이나 실제 계정을 사용하여 로그온합니다. 사용권에 대한 고지 사항 텍스트가 나타나야 하며, 로그온할 수 있어야 합니다. #### 발급 CA 서버에 보안 구현 다음 절에서는 CA 서버에 보안 정책을 적용하는 방법을 설명합니다. ##### 발급 CA 서버에 시스템 보안 설정 적용 CA 서버는 *Windows Server 2003 Security Guide*에 정의된 인증서 서비스 역할을 사용하여 보안이 유지됩니다. 발급 CA는 도메인의 구성원이기 때문에 보안 정책 설정은 도메인 기반 그룹 정책을 사용하여 적용됩니다. CA 서버 컴퓨터 개체와 GPO 구조를 갖는 적절한 OU 구조를 만들어 보안 설정을 적용해야 합니다. 세 가지 GPO를 만들어야 합니다. - 엔터프라이즈 클라이언트–구성원 서버 기준 - 엔터프라이즈 클라이언트–인증서 서비스 - 엔터프라이즈 클라이언트–인증서 서비스 IIS(CA에 IIS가 설치된 경우에만 필요) **참고:***Windows Server 2003 Security Guide*에는 도메인 정책(암호 및 계정 잠금 정책)에 권장하는 설정도 포함되어 있습니다. 이러한 설정은 도메인의 모든 컴퓨터에 상속됩니다. 도메인 수준 정책을 수정하지 않고 발급 CA에 대해 권장하는 설정을 사용하려면 CA OU에 연결된 4번째 GPO도 만들어야 합니다( 엔터프라이즈 클라이언트–인증서 서비스 계정 정책). 다음 절차에 따라 도메인 정책 템플릿을 이 GPO로 가져와야 합니다. 이러한 설정은 CA의 로컬 계정에만 영향을 줍니다. 다음 절차는 조직에 맞는 OU 및 GPO를 만드는 방법을 간단히 설명합니다. GPO 및 OU 이름은 단지 예에 불과하며 자체의 도메인 OU 및 GPO 표준에 맞게 절차를 조정해서 사용해야 합니다. **CA** **서버** **OU** **및** **GPO를만들려면다음을수행합니다.** 1. *Windows Server 2003 Security Guide*에서 다음 보안 템플릿을 가져옵니다. - 엔터프라이즈 클라이언트-도메인 - 엔터프라이즈 클라이언트–구성원 서버 기준 - 엔터프라이즈 클라이언트–인증서 서비스 - 엔터프라이즈 클라이언트–IIS 서버(CA에 IIS가 설치된 경우에만 필요) 2. Domain Administrators의 구성원 또는 4단계에 설명된 OU를 만들 수 있는 권한이 있는 사용자로 로그온합니다. 또한 Group Policy Creator Owners의 구성원이어야 합니다. 3. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 4. 다음 OU 구조를 만듭니다. woodgrovebank.com (도메인) Member Servers      CA 5. 도메인 컨트롤러의 속성을 열고 **그룹정책** 탭에서 **새로만들기**를 클릭하여 새 GPO를 만든 후 이름을 **도메인정책**으로 지정합니다. 6. GPO를 편집하고 컴퓨터 구성\\Windows 설정\\보안 설정으로 이동합니다. 보안 설정폴더를 마우스 오른쪽 단추로 클릭한 다음 **가져오기**를 선택합니다. Enterprise Client - Domain.inf 파일을 탐색하고 가져올 템플릿으로 선택합니다. 7. GPO를 닫습니다. 8. 다음 표에 표시된 OU, GPO 및 보안 템플릿 조합에 대해 앞의 세 단계를 반복합니다. **표** **7.15: GPO를보안템플릿과** **OU에매핑**
OU GPO 보안 템플릿
구성원 서버 엔터프라이즈 클라이언트 — 구성원 서버 기준 Enterprise Client - Member Server Baseline.inf
CA 엔터프라이즈 클라이언트 — 인증서 서비스 Enterprise Client — Certificate Services.inf
CA (옵션 — 위의 참고 참조) 엔터프라이즈 클라이언트 — 인증서 서비스 계정 정책 Enterprise Client — Domain.inf
CA (옵션 — CA에 IIS가 있는 경우) 엔터프라이즈 클라이언트 — 인증서 서비스 IIS Enterprise Client — IIS Server.inf
**참고:** 발급 CA에 IIS를 설치하기로 선택한 경우(이 장에 설명된 대로) CA 전용의 별도 IIS GPO를 만들어야 합니다. 인트라넷 IIS 서버를 위해 IIS GPO도 필요할 수 있지만 CA만 독점적으로 사용하는 별도의 GPO를 만들 것을 적극 권장합니다. 이 방법을 사용하면 IIS GPO를 변경해도 CA의 보안에 영향을 미치지 않으며 CA 보안 설정은 CA GPO 관리자가 완전히 제어하게 됩니다. 일단 GPO를 만들고 템플릿을 가져온 후에 GPO에서 설정을 사용자 지정하고 다음 절차에 따라 인증서 서비스 컴퓨터에 적용해야 합니다. **인증서서비스** **GPO를사용자지정하고적용하려면다음을수행합니다.** 1. Active Directory 사용자 및 컴퓨터에서 엔터프라이즈 클라이언트-인증서 서비스 GPO를 편집합니다. 컴퓨터 구성\\Windows 설정\\보안 설정\\로컬 정책\\보안 옵션에서 조직의 보안 표준에 맞게 다음 항목을 변경합니다. - 계정: Administrator 계정 이름 바꾸기: *NewAdminName* - 계정: Guest 계정 이름 바꾸기: *NewGuestName* - 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트: *LegalNoticeText* - 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목: *LegalNoticeTitle* 2. 로컬 정책\\사용자 권한 할당에서 CA Auditors 도메인 그룹을 **감사및보안로그관리** 사용자 권한에 추가합니다. 3. 로컬 정책\\사용자 권한 할당에서 CA Backup Operators를 다음 사용자 권한에 추가합니다. - 파일 및 디렉터리 백업 - 파일 및 디렉터리복원 4. 로컬 정책\\사용자 권한 할당에서 **로컬로그온허용** 권한에 다음의 로컬 및 도메인 그룹을 추가합니다. - (로컬) Administrators - (로컬) Backup Operators - (도메인) Enterprise PKI Admins - (도메인) Enterprise PKI Publishers - (도메인) CA Admins   - (도메인) Certificate Managers - (도메인) CA Auditors - (도메인) CA Backup Operators 5. **파일시스템**에서 폴더 D:\\CertLog를 추가합니다. 다음 표에 권한이 표시되는지 확인합니다. **표** **7.16: CA** **데이터베이스폴더권한**
사용자/그룹 권한 허용/거부
Administrators 모든 권한 허용
시스템 모든 권한 허용
Backup Operators 모든 권한 허용
CREATOR OWNER 모든 권한 허용
6. 같은 폴더의 경우 **보안** 대화 상자에서 **고급** 단추를 클릭한 다음 **감사** 탭에서 Everyone 그룹에 대해 다음 표에 표시된 감사 항목을 추가합니다. 사용자나 그룹 이름을 묻는 메시지가 나타나면 **Everyone**을 입력합니다. Everyone 그룹을 추가하면 **D:\\CertLog** **감사항목**이라는 제목의 대화 상자가 나타나 세부 감사 설정을 입력할 수 있습니다. **적용대상** 필드에 **현재폴더,** **하위폴더및파일**이 선택되었는지 확인합니다. 표에서 예로 표시된 모든 항목을 선택합니다. **표** **7.17: CA** **데이터베이스폴더감사**
권한 성공 실패
모든 권한   필요함
폴더 트래버스/파일 실행   필요함
폴더 목록/데이터 읽기   필요함
특성 읽기   필요함
확장 특성 읽기   필요함
파일 만들기/데이터 쓰기 필요함 필요함
폴더 만들기/데이터 추가 필요함 필요함
특성 쓰기 필요함 필요함
확장 특성 쓰기 필요함 필요함
하위 폴더 및 파일 삭제 필요함 필요함
삭제 필요함 필요함
권한 읽기   필요함
사용 권한 변경 필요함 필요함
소유권 가져오기 필요함 필요함
7. 시스템 서비스 폴더에서 다음 서비스 속성을 열고 **템플릿에이정책설정정의**를 클릭합니다. **확인**을 클릭하여 기본 사용 권한을 그대로 적용합니다. **서비스시작모드설정** 값을 **자동**으로 설정합니다. - 이동식 저장소 - Volume Shadow Copy - MS Software Shadow Copy Provider - 작업 스케줄러 **참고:** 이러한 서비스는 구성원 서버 기준 보안 템플릿에서는 해제되어 있지만 처음 세 개는 NTBackup.exe를 실행하려면 처음 세 서비스가 필요합니다. 일부 작업 스크립트에는 작업 스케줄러 서비스가 필요합니다. 8. 발급 CA 컴퓨터 계정을 인증서 서비스 OU로 이동합니다. 9. 발급 CA(CA를 설치할 서버)에서 다음 명령을 실행하여 컴퓨터에 GPO 설정을 잀?용합니다. gpupdate **참고:***Windows Server 2003 Security Guide*에는 이러한 보안 설정에 대한 보다 자세한 정보가 포함되어 있습니다. ###### 보안 설정 확인 보안 설정이 올바르게 적용되었는지 확인하려면 다음 절차에 나오는 단계를 수행합니다. **루트** **CA** **보안설정을확인하려면다음을수행합니다.** 1. 응용 프로그램 이벤트 로그에서 SceCli 소스에서 가져온 이벤트가 있는지 확인합니다. **gpupdate** 명령을 실행한 다음에 이벤트 ID 1704가 있어야 합니다. 이벤트 텍스트는 다음과 같습니다. 그룹 정책 개체의 보안 정책이 올바르게 적용되었습니다. 2. 서버를 다시 시작한 다음 예상했던 모든 서비스가 시작되었는지와 시스템 이벤트 로그에 오류가 기록되지 않았는지를 확인합니다. 3. 만들어 둔 테스트 계정이나 실제 계정을 사용하여 로그온합니다. 사용권에 대한 고지 사항 텍스트가 나타나야 하며, 로그온할 수 있어야 합니다. ##### 발급 CA에서 터미널 서비스 보안 구성 침입자가 CA를 공격하는 추가 수단을 제공하고 서버를 보호하는 실제 보안 조치의 효과가 크게 감소하기 때문에 발급 CA에서는 터미널 서비스를 해제해야 합니다. 원격 관리를 목적으로 터미널 서비스를 설정해 두어야 할 경우 다음 표에서 설명하는 설정을 구성해야 합니다. **참고:** 루트 CA에서 터미널 서비스의 상태는 네트워크에 연결되어 있지 않기 때문에 관계가 없습니다. 이러한 설정은 인증서 서비스 보안 GPO 또는 온라인 CA에 적용되는 다른 GPO에서 구성해야 합니다. **표** **7.18:** **컴퓨터구성\\관리템플릿\\Windows** **구성요소\\터미널서비스에서구성하는설정**

설정 경로 정책 설정
  콘솔 세션에 로··¸온퓀œ 관리자의 로그오프 거부 사용
  관리자의 권한 사용자 지정을 금지 사용
  터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정 원격 제어를 사용하지 않음
클라이언트\서버 데이터 리디렉션 표준 시간대 리디렉션 허용 사용 안 함
  클립보드 리디렉션을 허용하지 않음 사용
  오디오 리디렉션 허용 사용 안 함
  COM 포트 리디렉션을 허용하지 않음 사용
  클라이언트 프린터의 리디렉션을 허용하지 않음 사용
  LPT 포트 리디렉션을 허용하지 않음 사용
  드라이브의 리디렉션을 허용하지 않음 사용
  클라이언트의 기본 프린터를 세션의 기본 프린터로 설정하지 않음 사용
암호화 및 보안 연결 시 클라이언트에서 항상 암호 확인 사용
  클라이언트 연결 암호화 수준 설정 높음
암호화 및 보안\RPC 보안 보안 서버(보안 필요) 사용
세션 연결이 끊긴 세션에 시간 설정 10분
  재연결을 원래의 클라이언트로부터만 허용 사용
아직 로컬 Administrators 그룹의 구성원이 아닌 경우 CA에 대한 터미널 서비스 액세스를 요구하는 모든 도메인 계정이나 보안 그룹을 로컬 원격 데스크톱 사용자 그룹에 추가해야 합니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 기타 Windows 구성 작업 사용자 조직의 인프라와 표준에 따라 발급 및 루트 CA 모두에 대해 수행해야 하는 다른 구성 작업이 반드시 있습니다. 이러한 작업은 다음과 같습니다. - 백업 활성화(11장에 설명) 또는 백업 에이전트 설치. - SNMP(단순 네트워크 관리 프로토콜) 또는 WMI(Windows Management Instrumentation) 옵션 구성 - MOM(Microsoft Operations Manager) 또는 Microsoft SMS(Systems Management Server) 클라이언트 컴퓨터 같은 관리 에이전트 설치 - 바이러스 백신 소프트웨어 설치 - 침입 감지 에이전트 설치 제품과 함께 제공되는 지시에 따라 이러한 항목이 설치되었는지 확인해야 합니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 루트 CA 설치 및 구성 이 절에서는 루트 CA에 인증서 서비스를 설치하고 구성하는 방법을 설명합니다. #### 루트 CA를 위해 CApolicy.inf 파일 준비 Windows 2003 인증 기관을 설치하기 전에 CApolicy.inf 파일을 만들어야 합니다. 이 파일은 키 길이, 인증서 유효 기간, CRL과 AIA 게시 위치, 인증서 정책 및 만든 경우 CPS(Certificate Practices Statement) 같은 자체 서명한 CA 인증서의 특성을 지정합니다. **참고:** CPS 및 작성을 고려할지 여부에 대한 자세한 내용은 4장 :공용 키 구조 디자인"에서 "Certificate Practices Statement 만들기" 절을 참조하십시오. CPS는 기술 문서가 아니라 법률 문서이므로 사용자 CA에 이 문서를 구성하기 전에 이 문서가 필요한지 확인해야 합니다. CRL 및 AIA 정보는 루트 CA 인증서 자체에는 필요하지 않으므로 Capolicy.inf 파일에서 CRLDistributionPoint 및 AuthorityInformationAccess매개 변수는 **Empty**로 설정됩니다. **CAPolicy.inf** **파일을만들려면다음을수행합니다.** 1. 메모장 같은 텍스트 편집기에서 다음 텍스트를 입력합니다. ``` \[Version\] Signature= "$Windows NT$" \[Certsrv\_Server\] RenewalKeyLength=4096  RenewalValidityPeriod=Years  RenewalValidityPeriodUnits=16 \[CRLDistributionPoint\] Empty=true \[AuthorityInformationAccess\] Empty=true ``` **주의:** 키 길이를 4,096비트로 구성하면 호환성 문제가 발생할 수 있습니다. 특정 장치(예: 일부 라우터) 및 다른 공급업체의 기존 소프트웨어는 인증서는 특정 크기를 벗어나는 키를 처리할 수 없습니다. 2. 이 CA에 대한 CPS를 정의한 경우 CApolicy.inf 파일에 다음 항목을 포함시킵니다. 기울임꼴로 표시된 모든 항목은 해당 조직에서 사용하는 값으로 바꾸어야 합니다. ``` \[CAPolicy\] Policies=WoodGrove Bank Root CA CPS \[WoodGrove Bank Root CA CPS\] OID=your.Orgs.OID URL = "https://www.woodgrovebank.com/YourCPSPage.htm" ``` 3. 파일을 windir%\\Capolicy.inf로 저장하거나 windir%을 Windows가 설치된 폴더의 절대 경로(예: C:\\Windows)로 대체합니다. 이 단계를 완료하려면 로컬 관리자이거나 Windows 폴더에 쓸 수 있는 권한이 있어야 합니다. #### 인증서 서비스 소프트웨어 구성 요소 설치 Windows 구성 요소 마법사를 사용하여 CA 소프트웨어 구성 요소를 설치합니다. 설치를 완료하려면 Windows Server 2003 설치 CD 또는 네트워크 경로가 필요합니다. **인증서서비스를설치하려면다음을수행합니다.** 1. 로컬 Administrators 그룹의 구성원으로 로그온하고 추가 구성 요소 관리자(또는 제어판에서 **프로그램추가/제거**/**Windows** **구성요소**를 통해)를 실행합니다. sysocmgr /i:sysoc.inf. 2. **인증서서비스** 구성 요소를 선택합니다. **예**를 클릭하여 이름 바꾸기 경고 메시지 상자를 닫습니다. 3. CA 종류를 **독립실행형루트** **CA**로 선택하고 **사용자정의설정사용** 확인란을 선택했는지 확인합니다. 4. **공용키및개인키쌍** 대화 상자에서 4096으로 설정해야 하는 키 길이를 제외하고는 기본값 설정을 그대로 둡니다. **CSP** **종류**는 **Microsoft Strong Cryptographic Provider**가 되어야 합니다. 5. 다음 정보를 나타내는 인증 기관을 입력합니다. - CA 공통 이름: *WoodGrove Bank Root CA*  - 고유 이름의 접미사: *DC=woodgrovebank,DC=com* (조직의 Active Directory 포리스트 루트 이름) - 유효 기간***:*** **8년** **참고:** 이전에 이 컴퓨터에 CA를 설치한 경우 이전 설치의 개인 키를 덮어쓸 것인지 묻는 경고 대화 상자가 나타납니다. 계속하기 전에 이 키가 더 이상 필요하지 않은지를 확인해야 합니다. 잘 모르겠으면 설치 절차를 취소하고 기존 키 정보를 백업하십시오. (시스템 백업이나 기존 CA 인증서 및 개인 키 백업을 사용합니다. 이에 관한 절차는 11장 "공용 키 구조 관리"를 참조하십시오.) CSP는 키 쌍을 생성하며 로컬 컴퓨터 키 저장소에 기록됩니다. 6. 인증서 데이터베이스, 데이터베이스 로그 및 구성 폴더는 기본값을 그대로 둡니다. **참고:**  설치 프로그램이 공유 폴더를 만들 수 없다는 경고를 표시할 수 있습니다. 이 문제는 모든 네트워크 인터페이스를 사용할 수 없기 때문에 발생합니다. 이 경고를 무시하고 진행해도 됩니다. 인증서 데이터베이스와 인증서 데이터베이스 로그는 로컬 NTFS 드라이브에 저장해야 합니다. 이제 추가 구성 요소 관리자가 인증서 서비스 구성 요소를 설치합니다. 프로세스이 이 부분에는 Windows Server 2003 설치 미디어(CD)가 필요합니다. 7. **확인**을 클릭하여 IIS에 대한 경고 메시지를 닫고 설치를 계속해 완료합니다. #### 루트 CA 설치 확인 인증서 서비스 설치가 완료되었는지 확인하려면 다음을 수행합니다. **루트** **CA의올바른설치를확인하려면다음을수행합니다.** 1. 인증 기관 관리 콘솔을 엽니다(**모든프로그램**, **관리도구**에서). 인증서 서비스가 시작되었는지 그리고 CA의 속성을 볼 수 있는지 확인합니다. 2. **일반** 탭에서 CA 인증서를 선택하고(또는 인증서가 하나 이상이면 목록에서 **Certificate \#0** 선택) **인증서보기**를 클릭합니다. 3. CA 인증서의 **자세히** 탭을 클릭한 다음 표시되는 값이 다음 표의 값과 일치하는지 확인합니다. **표** **7.19:** **루트** **CA** **인증서속성및확장**
인증서 특성 필요한 설정
발급자 및 주체 필드 두 필드 모두 동일해야 하며 설치 과정에 제공한 전체 CA 공통 이름과 DN 접미사가 표시되어야 합니다.
Not Before - Not After 16년.
공용 키 길이 RSA(4096비트)
키 용도 디지털 서명, 인증서 서명, 오프라인 CRL 서명, CRL 서명(86)
기본 제한(중요) 주체 종류=CA 경로 길이 제한=없음 
기본 제한 주체 종류가 있는지 여부가 중요한데, 이 값은 CA 인증서를 최종-엔터티 인증서와 구별하기 때문입니다. 또한 CDP 또는 AIA 확장 목록이 있어서는 안 됩니다.

원하지 않는 값이 있으면 인증서 서비스 설치를 다시 시작해야 합니다.

**참고:** 인증서 서비스 설치를 다시 실행해야 하는 경우 개인 키가 이미 존재한다는 경고가 표시됩니다. 이 키를 사용하여 인증서를 발급하지 않은 것이 확실하다면 이를 무시하고 새 키를 생성해도 됩니다. CA에서 테스트 인증서 외의 인증서를 이미 발급한 경우에는 이전 키와 인증서를 안전하게 백업한 후에 인증서 서비스를 다시 설치해야 합니다(이 절차는 11장 "공용 키 구조 관리"에 설명되어 있음).
  1. 더 자세히 확인하거나 오류가 발생하는 경우 문제 해결을 위해 %systemroot%\certocm.log에 있는 인증서 서비스 설치 로그를 살펴볼 수도 있습니다.

루트 CA 속성 구성

CA 구성 절차는 해당 환경에 고유한 여러 개의 매개 변수를 적용합니다. 이들 매개 변수의 값은 이 장의 앞에 나오는 "인증서 서비스 계획 워크시트" 절을 참조하십시오. 이 절차에서는 다음 표에 나열된 CA 속성을 구성합니다.

7.20: 구성할 CA 속성

CA 속성 설정 설명
CRL 배포 지점 URL 현재 CRL을 구할 수 있는 HTTP, LDAP 및 FILE 위치를 지정합니다. FILE 위치는 로컬 폴더이며 CA가 발급하는 CRL을 저장하는 데만 사용됩니다. LDAP 및 HTTP 위치만 발급된 인증서에 포함됩니다. HTTP URL은 LDAP 앞에 순차적으로 나열되므로 루트 CA 인증서를 사용하는 클라이언트는 Active Directory에 종속되지 않고 CRL을 구할 수 있습니다.
AIA URL CA 인증서를 구할 수 있는 위치입니다. CDP와 마찬가지로 파일 위치는 CA 인증서를 게시하는 위치로만 사용되며 HTTP URL은 LDAP URL에 비해 우선 순위가 높습니다.
유효 기간 발급된 인증서의 최대 유효 기간(CAPolicy.inf에 설정되거나 부모 CA에 의해 설정되는 CA 인증서 자체의 유효 기간과는 다름).
CRL 기간 CRL 게시 빈도
CRL 중복 시간 새 CRL이 발급되는 시간과 이전 CRL이 만료되는 시간 사이의 중복 시간
델타–CRL 기간 델타-CRL 게시 빈도(루트 CA에서는 델타-CRL이 해제되어 있음)
CA 감사 CA 감사 설정. 모든 감사는 기본적으로 사용됩니다.
**참고:** 이 표에 나타난 속성은 루트 CA 인증서 자체가 아닌 루트 CA에서 발급한 인증서에 영향을 미칩니다. **루트** **CA** **속성을구성하려면다음을수행합니다.** 1. 로컬 Administrators 그룹의 구성원으로 CA 서버에 로그온합니다. 2. 다음 스크립트(C:\\MSSScripts\\pkiparams.vbs)를 사용자 지정하여 Active Directory 포리스트 루트의 올바른 DN과 CDP 및 AIA 게시 웹 서버를 가리키는 HTTP URL을 포함시킵니다. **AD\_ROOT\_DN** 설정 값을 변경하여 Active Directory 포리스트 루트 도메인 DN과 일치시킵니다. **HTTP\_PKI\_VROOT** 설정을 변경하여 HTTP 경로를 이전에 설정한 IIS 가상 디렉터리와 일치시킵니다. **참고:** 이곳에는 pkiparams.vbs 파일의 일부만 표시됩니다. 파일의 다른 항목을 편집하거나 제거했을 때의 의미를 이해하지 못하는 경우 다른 항목을 편집하거나 제거해서는 안 됩니다. ``` '\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\* '    USER SETTABLE CONSTANTS         ' ' These values MUST be set to reflect actual values used ' by the organization. '\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\* ' This is the URL where CRL and CA certs are to be published. CONST CA\_HTTP\_PKI\_VROOT        = " https://www.woodgrovebank.com/pki" ' This needs to be set only if non Active directory clients need to query ' the ldap URL for CRLs. Normally they are OK with HTTP. If you do set this ' (to a specific DC FQDN) ALL clients will use this DC to query. Left blank ' AD clients use their default LDAP server (local DC) to query. CONST CA\_LDAP\_SERVER        = "" ' This needs to be set to the DN of the Active Directory Forest root domain ' This is used to set the Root CA CDP and AIA paths so that clients can ' obtain CRL and CA Certificate information from the Active Directory CONST AD\_ROOT\_DN            = "DC=woodgrovebank,DC=com" ``` 1. 다음 스크립트를 실행합니다. Cscript //job:RootCAConfig C:\\MSSScripts\\ca\_setup.wsf ##### 관리 역할 구성 CA에서 관리 역할(예: 감사자, 인증서 관리자)을 사용하기 위해서는 앞에서 만든 보안 그룹을 이러한 역할에 매핑해야 합니다. **참고:** 이 솔루션에서는 여러 개의 역할을 정의하기 위해 앞에서 만든 그룹을 사용합니다. 이 방법을 사용하면 CA 관리에 대한 업무를 융통성 있게 위임할 수 있습니다. 그러나 이 수준의 위임이 필요하지 않은 경우에는 이 장의 앞에서 설명한 단순한 관리 그룹 모델을 고려해야 합니다. 이러한 단순한 모델을 사용하면 몇 개의 계정만으로도 CA 관리 기능을 수행할 수 있습니다. **루트** **CA에서관리역할을구성하려면다음을수행합니다.** 1. 인증 기관 관리 콘솔에서 **속성**을 클릭하여 CA의 속성을 편집합니다. 2. **보안** 탭을 클릭하고 다음 표에 나열된 로컬 보안 그룹을 추가합니다. 표시된 사용 권한을 각 그룹에 추가합니다. **표** **7.21:** **추가할** **CA** **권한항목**
그룹 이름 권한 허용/거부
CA Admins CA 관리 허용
Certificate Managers 인증서 발급 및 관리 허용
**참고:** 완벽한 역할 구분을 달성하려면 로컬 Administrators 그룹에서 CA 관리 권한도 제거해야 합니다. (루트 CA가 Windows Server의 Standard Edition에 설치되어 있으므로 역할을 분리해 실행할 수 없습니다. 이 옵션은 Enterprise Edition에서만 사용할 수 있습니다.) 3. 이 CA에 대한 다른 CA 보안 역할이 서버에 초기에 적용한 보안 정책을 통해 이미 정의되었습니다. - CA Auditors에 보안 및 감사 로그 관리 사용자 권한이 부여되었습니다. - Backup Operators에는 CA를 백업하고 복원하는 데 필요한 권한이 있습니다. #### 루트 CA 인증서와 CRL을 디스크로 전송 Active Directory 및 IIS 인증서와 CRL 게시 서버에 게시될 수 있도록 루트 CA 인증서와 CRL을 CA에서 복사해야 합니다. **루트** **CA** **인증서와** **CRL을디스크로복사하려면다음을수행합니다.** 1. 루트 CA에 로컬 CA Admins 그룹의 구성원으로 로그온한 다음 전송에 사용할 디스크를 드라이브에 넣습니다. 2. 다음 스크립트를 실행하여 CA 인증서를 디스크에 복사합니다. Cscript //job:GetCACerts C:\\MSSScripts\\CA\_Operations.wsf 3. 다음 스크립트를 실행하여 CA CRL을 디스크에 복사합니다. Cscript //job:GetCRLs C:\\MSSScripts\\CA\_Operations.wsf 4. 이 디스크 레이블을 **Transfer-\[***HQ-CA-01***\]**로 지정하고 날짜를 기록한 다음 나중 절차를 위해 보관합니다. **참고:** 디스크에는 보안에 민감한 정보(예: CA 개인 키 자료)가 포함되어 있지 않으므로 이 절차에 특별한 보안 예방 조치를 취할 필요가 없습니다. #### 루트 CA 정보 게시 발급 CA를 설치하려면 루트 CA의 인증서를 Active Directory 신뢰할 수 있는 루트 저장소에 게시하고 루트 CA의 CRL을 Active Directory CDP 컨테이너에 게시해야 합니다. 이렇게 하면 모든 도메인 구성원(발급 CA 포함)이 루트 CA의 인증서를 자체 루트 저장소로 가져오며 루트 CA가 발급한 인증서의 해지 상태를 확인할 수 있습니다. (발급 CA는 인증서 서비스를 시작하기 전에 자체 인증서의 해지 상태를 확인해야 합니다.) **참고:** 해당 시스템에 Certutil.exe 및 지원 certadm.dll과 certcli.dll 라이브러리가 설치되어 있어야 하지만 도메인 구성원에서 다음 절차를 수행할 수 있습니다. certutil.exe(필수 DLL 포함)는 Windows Server 2003의 일부로 설치됩니다. 예를 들어, 구성되지 않은 발급 CA 서버를 사용하여 이 절차를 수행합니다. **루트** **CA** **인증서및** **CRL을** **Active Directory에게시하려면다음을수행합니다.** 1. 도메인 구성원 컴퓨터에 Enterprise PKI Admins 그룹의 구성원으로 로그온하여 앞에서 사용한 디스크를 넣고 루트 CA 인증서와 CRL(**Transfer-\[***HQ-CA-01***\]**이라는 레이블로 표시)을 저장합니다. 2. 다음 스크립트를 실행하여 CA 인증서를 Active Directory에 게시합니다. Cscript //job:PublishCertstoAD C:\\MSSScripts\\CA\_Operations.wsf 3. 다음 스크립트를 사용하여 CA CRL을 Active Directory에 게시합니다. Cscript //job:PublishCRLstoAD C:\\MSSScripts\\CA\_Operations.wsf ##### 루트 CA 인증서 및 CRL을 웹 서버에 게시 이 작업은 CDP와 AIA URL의 HTTP 버전이 CA 인증서의 인증서 확장에 지정되었기 때문에 필요합니다. 이러한 확장이 있는 경우 CRL과 인증서를 인증서에 구성된 URL에 게시하여 따라야 합니다. **참고:** 이 절차는 CDP 및 AIA 게시 웹 서버가 발급 CA 또는 다른 서버에 있는지 여부에 관계 없이 동일합니다. 가상 디렉터리가 IIS를 구성하는 앞의 절차에서 설정한 디렉터리(C:\\CAWWWPub)와 일치한다고 가정합니다. 다른 경로를 사용하도록 선택한 경우 C:\\MSSScripts\\PKIParams.vbs 파일에서 WWW\_LOCAL\_PUB\_PATH 값을 업데이트해야 합니다. **루트** **CA** **인증서및** **CRL을웹** **URL에게시하려면다음을수행합니다.** 1. 웹 서버에 로컬 관리자 또는 C:\\CAWWWPub 폴더에 쓰기 권한을 가진 계정을 사용하여 로그온합니다. 2. CA 인증서와 CRL이 포함된 디스크(레이블이 **Transfer-\[***HQ-CA-01***\]**로 표시)가 드라이브에 있는지 확인합니다. 3. CA 인증서를 웹 서버 폴더에 게시하려면 다음 스크립트를 실행합니다. Cscript //job:PublishRootCertstoIIS C:\\MSSScripts\\CA\_Operations.wsf (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) 4. 다음 스크립트를 실행하여 CA CRL을 웹 서버 폴더에 게시합니다. Cscript //job:PublishRootCRLstoIIS C:\\MSSScripts\\CA\_Operations.wsf (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) ##### 루트 CA 정보의 게시 확인 루트 CA 정보가 올바로 게시되었는지 확인해야 합니다. 올바른 도메인 사용자 계정을 사용하여 네트워크에 연결된 도메인 구성원 컴퓨터에 로그온한 상태에서 이 단계를 수행해야 합니다. **참고:** Active Directory 복제가 발생할 때까지 기다려야 할 수 있습니다. certutil -pulse 명령을 사용하여 루트 CA 인증서를 강제로 다운로드한 후 CA 정보 게시를 확인합니다. **루트** **CA** **정보게시를확인하려면다음을수행합니다.** 1. CA 인증서가 신뢰할 수 있는 루트 저장소에 게시되었는지 확인하려면 다음 명령을 실행합니다. certutil -viewstore -enterprise Root 2. 인증서가 표시됩니다. **발급자** 및 **주체** 값이 루트 CA 이름에 대해 구성된 것과 일치하며 **유효기간** 날짜가 오늘 날짜인지 확인합니다. 3. 루트 CA CRL이 디렉터리에 게시되었는지 확인하려면 다음 명령을 실행하여 기울임꼴로 표시된 항목은 자체 설치에서 사용하는 값(CA 공통 이름, CA 짧은 호스트 이름 및 Active Directory 포리스트 루트의 DN)으로 바꿉니다. certutil -store -enterprise "ldap:///cn=WoodGrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=crlDistributionPoint" (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) 4. 출력이 다음과 같아야 합니다. **발급자** 값이 루트 CA에 대해 구성된 이름과 일치하는지 확인합니다. ================ CRL 0 ================ Issuer:    CN=WoodGrove Bank Root CA,DC=woodgrovebank,DC=com CA Version: V1.0 CRL Number: CRL Number=1 CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe CertUtil: -store command completed successfully. 5. CA 인증서가 웹 서버에 게시되었는지 확인하려면 다음 URL을 브라우저에 입력합니다. 기울임꼴로 표시된 항목은 사용자 환경에서 사용하는 값으로 바꿉니다. https://*www.woodgrovebank.com*/pki/*HQ-CA-01\_WoodGrove Bank Root CA*.crt **참고:** 인증서 파일 이름에서 CA 서버의 정규화된 DNS 이름을 사용해야 할 수 있습니다(즉, 위에 표시된 이름 대신 *HQ-CA-01*.*woodgrovebank.com\_WoodGrove Bank Root CA*.crt 사용). 6. 파일을 열거나 저장해야 합니다. 파일을 연 다음 루트 CA 인증서가 표시되는지 확인합니다. 7. 루트 CA CRL이 웹 서버에 게시되었는지 확인하려면 다음 URL을 브라우저에 입력합니다. 기울임꼴로 표시된 항목은 사용자 환경에서 사용하는 값으로 바꿉니다. https://*www.woodgrovebank.com*/pki/*WoodGrove Bank Root CA*.crl 8. 파일을 열거나 저장해야 합니다. 파일을 연 다음 루트 CA CRL이 표시되는지 확인합니다. **참고:** CA 인증서를 갱신했거나 여러 개 발급한 경우에는 이 명령의 출력에서 여러 버전 번호가 표시됩니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 발급 CA 설치 및 구성 이 절에서는 발급 CA 서버에 인증서 서비스를 설치하고 구성하는 방법을 설명합니다. 설치하는 동안 이 CA, 루트 CA, Active Directory 및 웹 서버 간의 복잡한 상호 작용이 있습니다. 이러한 상호 작용은 다음 다이어그램에 표시되어 있습니다. 이 절을 진행하는 동안 이 다이어그램을 참조하는 것이 좋습니다. [![](images/Dd547875.07fig7-2(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547875.07fig7-2_big(ko-kr,technet.10).gif) **그림** **7.2** **발급** **CA를설치하는동안** **CA, Active Directory** **및웹서버간의상호작용** 발급 CA를 설치하는 동안 여러 시스템 간의 주요 상호 작용은 다이어그램에 표시되어 있습니다. 이러한 상호 작용은 다음과 같습니다. 1. 루트 CA 인증서 CRL을 Active Directory에 게시합니다. 2. 루트 CA 인증서와 CRL을 웹 서버에 게시합니다. 3. 디스크에 있는 루트 CA로 가져와야 하는 인증서 요청을 생성하는 인증서 서비스 소프트웨어를 설치합니다. 루트 CA에 이 요청에 대한 인증서를 발급합니다. 4. 발급 CA 인증서를 설치합니다. 5. 발급 CA 인증서와 CRL을 웹 서버에 게시합니다. **참고:** 1단계와 2단계는 앞 절 "루트 CA 정보 게시"에서 설명했습니다. 다이어그램에서 X로 표시된 단계는 "발급 CA 속성 구성" 작업 과정에 발급 CA에서 CRL과 AIA 값을 구성하는 부분으로서 자동 발생합니다. 이 절에서는 다른 단계에 대해 설명합니다. #### 발급 CA를 위해 Capolicy.inf 파일 준비 발급 CA의 경우 CAPolicy.inf가 반드시 필요한 것은 아닙니다. 그러나, CA가 사용하는 키 크기를 변경해야 하는 경우 필요합니다. Capolicy.inf 파일을 나중에 추가하고 CA 인증서를 갱신할 수 있지만 발급 CA를 설치하기 전에 CApolicy.inf 파일을 만들어야 합니다. 이 파일은 키 길이와 CPS(만든 경우) 같이 CA 인증서의 몇 가지 특성을 지정합니다. **CAPolicy.inf** **파일을만들려면다음을수행합니다.** 1. 메모장 같은 텍스트 편집기에서 다음 텍스트를 입력합니다. ``` \[Version\] Signature= "$Windows NT$" \[Certsrv\_Server\] RenewalKeyLength=2048 ``` 2. 이 CA에 대한 CPS를 정의한 경우 CApolicy.inf 파일에 다음 항목을 포함시킵니다. 기울임꼴로 표시된 모든 항목은 해당 조직에서 사용하는 값으로 바꾸어야 합니다. ``` \[CAPolicy\] Policies=WoodGrove Bank Issuing CA 1 CPS \[WoodGrove Bank Issuing CA 1 CPS\] OID=your.Orgs.OID URL = "https://www.woodgrovebank.com/YourCPSPage.htm" ``` **참고:** CPS 및 작성을 고려할지 여부에 대한 자세한 내용은 4장 :공용 키 구조 디자인"에서 "Certificate Practices Statement 만들기" 절을 참조하십시오. CPS는 기술 문서가 아니라 법률 문서이므로 사용자 CA에 이 문서를 구성하기 전에 이 문서가 필요한지 확인해야 합니다. 3. 파일을 windir*%*\\CApolicy.inf로 저장합니다. 또는 windir%을 Windows가 설치된 폴더의 절대 경로(예: C:\\Windows)로 대체합니다. 이 단계를 완료하려면 로컬 관리자이거나 Windows 폴더에 쓸 수 있는 권한이 있어야 합니다. #### 인증서 서비스 소프트웨어 구성 요소 설치 Windows 구성 요소 마법사를 사용하여 CA 소프트웨어 구성 요소를 설치합니다. 설치를 완료하려면 Windows Server 2003 설치 미디어(CD)가 필요합니다. **인증서서비스를설치하려면다음을수행합니다.** 1. 로컬 Enterprise Admins 그룹의 구성원으로 서버에 로그온하고 추가 구성 요소 관리자(또는 제어판에서 **프로그램추가/제거**/**Windows** **구성요소**를 클릭)를 실행합니다. sysocmgr /i:sysoc.inf **참고:** 설치의 첫 번째 부분을 완료하려면 로컬 Administrators 그룹의 구성원이어야 합니다. 또한 다음 절차에서 CA 인증서를 설치하려면 Enterprise PKI Admins(또는 Enterprise Administrators)의 구성원이어야 합니다. 2. 인증서 서비스 구성 요소를 선택합니다(**확인**을 클릭하여 이름 바꾸기 경고 메시지 상자를 닫음). 3. CA 종류를 **엔터프라이즈하위** **CA**로 선택하고 **사용자정의설정사용** 확인란을 선택했는지 확인합니다. 4. **공용키및개인키쌍** 대화 상자에서 **2048** 비트로 설정해야 하는 키 길이를 제외하고는 기본값 설정을 그대로 둡니다. CSP 종류는 **Microsoft Strong Cryptographic Provider**가 되어야 합니다. 5. 다음 정보를 나타내는 인증 기관을 입력합니다. - CA 공통 이름: *WoodGrove Bank Root CA*  - 고유 이름의 접미사: *DC=woodgrovebank,DC=com* (조직의 Active Directory 포리스트 루트 이름) - 유효 기간: 부모 CA에 의해 결정 **참고:** 이전에 이 컴퓨터에 CA를 설치한 경우 이전 설치의 개인 키를 덮어쓸 것인지 묻는 경고 대화 상자가 나타납니다. 계속하기 전에 키를 다시 필요로 하지 않을지 확인해야 합니다. 잘 모르겠으면 설치 절차를 취소하고 기존 키 정보를 백업하십시오. (시스템 백업이나 기존 CA 인증서 및 개인 키 백업을 사용합니다. 이에 관한 절차는 11장 "공용 키 구조 관리"를 참조하십시오.) 6. CSP는 키 쌍을 생성하며 로컬 컴퓨터 키 저장소에 이를 기록합니다. 7. 인증서 데이터베이스, 데이터베이스 로그 및 구성 폴더의 위치를 다음과 같이 입력합니다. - 인증서 데이터베이스: **D:\\CertLog** - 인증서 데이터베이스 로그: **%windir%\\System32\\CertLog** - 공유 폴더: Disabled 항상 CA 데이터베이스를 저장하고 성능과 복원성을 위해 가능하면 실제로 분리된 볼륨에 기록합니다. (어떤 이유로 데이터베이스가 손상된 경우 최종 백업을 로그와 함께 사용하여 CA를 오류가 발생한 지점으로 복원합니다.) 인증서 데이터베이스와 인증서 데이터베이스 로그는 NTFS 포맷된 로컬 드라이브에 있어야 합니다. 8. 인증서 요청 파일을 디스크에 복사합니다. 인증서 요청이 생성되고 공유 폴더 경로에 저장됩니다. *HQ-CA-02.woodgrovebank.com*\_*WoodGrove Bank Issuing CA 1.req* 파일을 디스크에 복사하고 디스크 레이블을 **Transfer-\[***HQ-CA-02***\]**로 지정합니다. 이제 추가 구성 요소 관리자가 인증서 서비스 구성 요소를 설치합니다. 이 설치에는 Windows Server 2003 설치 미디어(CD)가 필요합니다. 9. **확인**을 클릭하여 IIS에 대한 경고 메시지를 닫고 설치를 계속해 완료합니다. 설치 마법사는 계속하기 전에 부모 CA로부터 인증서를 구해야 한다는 알림을 표시합니다. **참고:** **Windows 2000** **이전버전호환액세스그룹**에 CA를 추가할 수 없는 설치의 나중 단계 동안 경고 메시지가 나타납니다. 이것은 인증서 서비스의 Certificate Manager Restriction 기능을 사용해야 하는 경우에만 해당됩니다. 이 기능이 필요할 경우 도메인 관리자에게 CA의 컴퓨터 계정을 이 그룹에 추가해줄 것을 요청해야 합니다. 인증서 서비스는 루트 CA가 인증서 요청을 처리하고 인증서를 반환하고 CA에 설치할 때까지 시작되지 않습니다. #### 인증서 요청을 루트 CA에 제출 그런 다음 요청을 서명하고 발급 CA에 인증서를 발급하기 위해 발급 CA 인증서 요청을 루트 CA로 가져와야 합니다. **인증서요청을루트** **CA에제출하려면다음을수행합니다.** 1. 로컬 Certificate Managers 그룹의 구성원으로 루트 CA에 로그온합니다. 2. 인증 기관 관리 콘솔의 CA **작업**메뉴에서 **새요청제출**을 선택한 다음 **Transfer-\[***HQ-CA-02***\]** 디스크에 있는 발급 CA에서 전송된 요청을 제출합니다. **참고:** 이전 CA 설치가 실패하고 설치를 다시 반복하는 경우 이전 CA 설치의 요청 파일은 이전 키 자료와 관계가 있고 현재 설치 CA와는 관계가 없으므로 재사용하지 마십시오. 3. 루트 CA는 모든 요청을 수동으로 승인할 것을 요구합니다. 인증 기관 MMC의 대기 중인 요청 컨테이너에서 요청을 찾아 **공통이름** 필드에 발급 CA의 이름이 있는지 확인한 다음 요청을 마우스 오른쪽 단추로 클릭하고 **발급**을 클릭하여 요청을 승인합니다. 4. 발급된 인증서 컨테이너에서 새로 발급된 인증서를 찾아서 엽니다. 5. 인증서 정보가 올바른지 확인한 다음 **파일에복사**를 클릭하고 발급 CA로 다시 전송하기 위해 레이블이 **Transfer-\[***HQ-CA-02***\]**인 디스크에 PKCS\#7 파일로 저장하여(체인에서 가능한 모든 인증서를 포함하는 옵션을 선택) 인증서를 파일로 내보냅니다. #### 발급 CA 인증서 설치 이 절의 작업에서는 이전에 Active Directory에 게시한 루트 CA 정보를 발급 CA에 다운로드할 수 있는지 확인합니다. 그런 다음 발급 CA 인증서를 CA에 설치할 수 있습니다. ##### 발급 CA에서 인증서 정보 새로 고침 루트 CA 인증서는 처음에 Active Directory의 신뢰할 수 있는 루트 저장소에 게시되었습니다. 이제 발급 CA가 이 정보를 다운로드하고 인증서를 전용 루트 저장소에 저장했는지 확인해야 합니다. **발급** **CA에서인증서신뢰정보를새로고치려면다음을수행합니다.** 1. 로컬 관리자로 발급 CA에 로그온합니다. 2. 명령 프롬프트에서 다음을 실행합니다. certutil –pulse 이 명령을 사용하면 CA가 신뢰할 수 있는 새로운 루트 정보를 디렉터리에서 다운로드하고 루트 CA 인증서를 전용 로컬의 신뢰할 수 있는 루트 저장소에 저장됩니다. **참고:** CA에 인증서를 설치하는 마지막 단계에서 루트 CA 인증서가 로컬의 신뢰할 수 있는 루트 저장소에 자동으로 저장되기 때문에 이 절차는 반드시 필요한 것은 아닙니다. 그러나 이 단계를 사용하면 앞의 Active Directory에 게시하는 단계가 완료되었는지 확인할 수 있습니다. 모든 도메인 클라이언트는 Active Directory에서 루트 및 발급 CA에 관한 신뢰 정보를 받으므로 이 게시는 올바르게 수행해야 합니다. **Active Directory에서루트** **CA** **신뢰를다운로드했는지확인하려면다음을수행합니다.** 1. mmc.exe를 실행하고 **인증서** 스냅인을 추가합니다. 2. 관리할 인증서 저장소로 **컴퓨터계정**을 선택합니다. 3. 루트 CA 인증서가 신뢰할 수 있는 루트 인증 기관 폴더에 있는지 확인합니다. 인증서는 CA 주체 이름 - CN 요소의 친숙한 형식으로 나열됩니다. ##### 인증서 설치 이제 루트 CA에서 나온 서명된 응답(인증서가 포함된 PKCS\#7 패키지)을 발급 CA에 설치할 수 있습니다. CA 인증서를 Active Directory NTAuth 저장소에 게시하려면(이것은 CA를 엔터프라이즈 CA로 식별) CA에서 EnterprisePKI Admins와 로컬 Administrators 모두의 구성원인 계정을 사용하여 CA 인증서를 설치해야 합니다. 전자 그룹에는 인증서를 디렉터리에 게시하는 권한이 있고 후자 그룹에는 CA에 CA 인증서를 설치하는 권한이 있습니다. 앞에서 제안한 단순한 관리 모델을 사용하는 경우 CAAdmin 역할은 이러한 두 그룹의 구성원입니다. **발급** **CA** **인증서를설치하려면다음을수행합니다.** 1. Enterprise PKI Admins와 로컬 Administrators 그룹 모두의 구성원인 계정을 사용하여 발급 CA에 로그온합니다. 2. 루트 CA가 발급한 저장된 인증서가 있는 디스크(**Transfer-\[***HQ-CA-02***\]**)를 삽입합니다. 3. 인증 기관 관리 콘솔의 CA **작업** 메뉴에서 **인증서설치**를 선택하고 디스크에서 발급 CA 인증서를 설치합니다. 이제 CA가 시작됩니다. #### 발급 CA 설치 확인 인증서 서비스 설치가 완료되었는지 확인하려면 다음을 수행합니다. **발급** **CA** **설치를확인하려면다음을수행합니다.** 1. 인증 기관 관리 콘솔을 엽니다. 인증서 서비스가 시작되었는지 그리고 CA의 속성을 볼 수 있는지 확인합니다. 2. **일반** 탭에서 CA 인증서를 선택하고(또는 인증서가 하나 이상이면 목록에서 **Certificate \#0** 선택) **인증서보기**를 클릭합니다. 3. CA 인증서의 **자세히** 탭에서 표시되는 값이 다음 표의 값과 일치하는지 확인합니다. **표** **7.22:** **발급** **CA** **인증서속성및확장**
인증서 특성 필요한 설정
발급자 루트 CA 공통 이름(DN 접미사 포함)
주체 발급 CA 공통 이름(DN 접미사 포함)
Not Before - Not After 8년
공용 키 길이 2048비트
키 용도 디지털 서명, 인증서 서명, 오프라인 CRL 서명, CRL 서명(86)
기본 제한(중요) 주체 종류=CA 경로 길이 제한=없음
CRL 배포 지점 2항목 — HTTP 및 LDAP URL
AIA(Authority Information Access) 2항목 — HTTP 및 LDAP URL
기본 제한 주체 종류가 있는지 여부가 중요한데, 이 값은 CA 인증서를 최종-엔터티 인증서와 구별하기 때문입니다. 또한 루트 CA 인증서에 나타나지 않은 다른 확장 **기관키식별자**가 나열됩니다. 이 값은 루트 CA 인증서의 **주체키식별자**와 일치해야 합니다. 기존 값 중 원하지 않는 값이 있으면 인증서 서비스 설치를 다시 시작해야 합니다. **참고:** 인증서 서비스 설치를 다시 실행해야 하는 경우 개인 키가 이미 존재한다는 경고가 표시됩니다. 이 키를 사용하여 인증서를 발급하지 않은 것이 확실하다면 이를 무시하고 새 키를 생성해도 됩니다. CA에서 테스트 인증서 외의 인증서를 이미 발급한 경우에는 이전 키와 인증서를 안전하게 백업한 후에 인증서 서비스를 다시 설치해야 합니다(이 절차는 11장 "공용 키 구조 관리"에 설명되어 있음). 4. **인증경로** 탭을 보고 발급 CA 인증서가 루트 CA에 적절히 연결되는지 확인합니다. 5. 더 자세히 확인하거나 오류가 발생하는 경우 문제 해결을 위해 %systemroot%\\certocm.log에 있는 인증서 서비스 설치 로그를 살펴볼 수도 있습니다. #### 발급 CA 속성 구성 CA 구성 절차는 해당 환경에 고유한 여러 개의 매개 변수를 적용합니다. 이들 매개 변수의 값은 이 장의 앞에 나오는 "인증서 서비스 계획 워크시트" 절을 참조하십시오. 이 절차에서는 다음 표에서 설명하는 CA 속성을 구성합니다. **표** **7.23:** **구성할** **CA** **속성**

CA 속성 설정 설명
CRL 배포 지점 URL 현재 CRL을 구할 수 있는 HTTP, LDAP 및 FILE 위치를 지정합니다. FILE 위치는 로컬 폴더이며 CA가 발급하는 CRL을 저장하는 데만 사용됩니다. LDAP 및 HTTP 위치만 발급된 인증서에 포함됩니다. LDAP URL은 HTTP 앞에 순차적으로 나열되므로 로컬 도메인 컨트롤러가 기본 CRL 다운로드 대상이 되지만 다음 표를 참조하십시오.
AIA URL CA 인증서를 구할 수 있는 위치입니다. CDP와 마찬가지로 파일 위치는 CA 인증서를 게시하는 위치로만 사용되며 HTTP URL은 LDAP URL에 비해 우선 순위가 높지만 다음 표의 참고를 참조하십시오.
유효 기간 발급된 인증서의 최대 유효 기간(CAPolicy.inf에 설정되거나 부모 CA에 의해 설정되는 CA 인증서 자체의 유효 기간과는 다름).
CRL 기간 CRL 게시 빈도
CRL 중복 시간 새 CRL이 발급되는 시간과 이전 CRL이 만료되는 시간 사이의 중복 시간
델타–CRL 기간 델타 — CRL 게시 빈도
델타–CRL 중복 새 CRL이 발급되는 시간과 이전 CRL이 만료되는 시간 사이의 중복 시간
CA 감사 CA 감사 설정. 모든 감사는 기본적으로 사용됩니다.
**중요:** 도메인 클라이언트 이외의 클라이언트를 지원해야 하는 경우(4장 "공용 키 구조 디자인"에 설명된 대로) CDP 및 AIA 항목의 순서를 변경하여 HTTP 항목이 높은 우선 순위를 가지도록 해야 합니다. 이 순서를 변경하려면 CA 구성 스크립트(ca\_setup.vbs)를 편집하거나 CA MMC를 사용해 CDP 및 AIA 항목을 수동으로 변경해야 합니다. LDAP URL은 도메인 컨트롤러에 대해서만 안정적으로 작동하므로 HTTP URL만 사용하도록 결정해야 합니다. 이렇게 하려면 HTTP AIA 및 CDP 게시 지점을 호스팅하는 웹 서버가 복원력이 있는지 확인해야 합니다. **발급** **CA** **속성을구성하려면다음을수행합니다.** 1. 로컬 Administrators 그룹의 구성원으로 CA 서버에 로그온합니다. 2. 루트 CA를 설치할 때 C:\\MSSScripts\\pkiparams.vbs 스크립트를 해당 조직 설정에 맞게 지정한 다음, 발급 CA에 설치한 C:\\MSSScripts\\pkiparams.vbs의 복사본에 이러한 변경 내용을 복제해야 합니다. 3. 다음 스크립트를 실행합니다. Cscript //job:IssCAConfig C:\\MSSScripts\\ca\_setup.wsf ##### 관리 역할 구성 CA에서 관리 역할(예: 감사자, 인증서 관리자)을 사용하기 위해서는 보안 그룹을 이러한 역할에 매핑해야 합니다. **참고:** 이 솔루션에서는 여러 개의 역할을 정의하기 위해 앞에서 만든 그룹을 사용합니다. 이 방법을 사용하면 CA 관리에 대한 업무를 융통성 있게 위임할 수 있습니다. 그러나 이 수준의 위임이 필요하지 않은 경우에는 이 장의 앞에서 설명한 단순한 관리 그룹 모델을 고려해야 합니다. 이러한 단순한 모델을 사용하면 몇 개의 계정만으로도 CA 관리 기능을 수행할 수 있습니다. **발급** **CA에서관리역할을구성하려면다음을수행합니다.** 1. 인증 기관 관리 콘솔에서 **속성**을 클릭하여 CA의 속성을 편집합니다. 2. **보안** 탭을 클릭하고 다음 표에 나열된 도메인 보안 그룹을 추가합니다. 표시된 사용 권한을 각 그룹에 추가합니다. **표** **7.24:** **추가할** **CA** **권한항목**
그룹 이름 권한 허용/거부
CA Admins CA 관리 허용
Certificate Managers 인증서 발급 및 관리 허용
**참고:** 완벽한 역할 구분을 실행하려면 로컬 Administrators 그룹에서 CA 관리 권한도 제거해야 합니다. 3. 이미 부분적으로 이전에 서버에 적용된 보안 정책을 통해 부분적으로 이미 정의되었지만 일부 추가 구성을 요구하는 CA 보안 역할도 있습니다. - CA Auditors에 보안 및 감사 로그 관리 사용자 권한이 부여되었습니다. 이 그룹을 로컬 Administrators 그룹에 추가합니다. - CA Backup Operators는 CA에 백업 및 복원 권한을 부여했습니다. 이 그룹에 대해서는 추가 구성이 필요하지 않습니다. #### 발급 CA 정보 게시 인증서와 CRL은 발급 CA에서 Active Directory로 자동으로 게시됩니다. 그러나 CA 인증서와 CRL을 HTTP CDP 및 AIA 경로로 게시하는 것은 자동으로 수행되지 않습니다. 이 작업을 수행하려면 예약된 작업을 설정해야 합니다. ##### 발급 CA 인증서 및 CRL을 웹 서버에 게시 발급 CA 인증서 및 CRL을 각각 HTTP AIA 및 CDP 위치에 게시해야 합니다. 웹 서버 폴더에 직접 게시하도록 CA를 구성하는 것을 기술적으로 가능하며 웹 서버가 발급 CA를 호스팅하도록 하면 이것이 매우 쉬워집니다. 그러나 보안과 네트워크 연결을 고려할 경우 이 방법이 항상 효율적인 것은 아닙니다. 다음 방법은 단순한 파일 복사 기술에 불과하지만 대부분의 구성에 맞게 확장할 수 있습니다. **참고:** 인터넷에 연결된 웹 서버는 직접 네트워크에 연결하고 인터넷 방화벽에 의해 차단되는 Windows 네트워크 파일 공유를 사용하므로 이 절차는 웹 서버에 직접 게시하기에는 적절하지 않습니다. 인터넷 서버에 게시하려면 다음 절차를 사용하여 임시 위치에 게시한 다음 콘텐트를 웹 서버에 안전하게 게시하는 표준 방법을 사용합니다. 이 추가 단계는 CRL의 최신성에 영향을 미친다는 점을 고려해야 합니다. CA 인증서는 자주 업데이트되지 않으므로 CA 인증서가 갱신될 때마다 AIA에 수동으로 게시할 수 있습니다. **발급** **CA의인증서를게시하려면다음을수행합니다.** 1. 게시된 웹 서버 폴더에 대한 쓰기 권한을 가진 계정으로 발급하는 CA에 로그온합니다. 2. 웹 서버가 원격 서버에 있으면 웹 서버 폴더를 공유 폴더로 만듭니다. 공유 폴더에 UNC 경로를 기록합니다. 3. 웹 서버가 CA와 동일한 서버에 있으면 해당 폴더의 로컬 경로를 기록합니다. 4. 웹 서버 폴더의 대상 경로(기본값은 로컬 경로 C:\\CAWWWPub)와 일치하도록 C:\\MSSScripts\\PKIParams.vbs에서 WWW\_REMOTE\_PUB\_PATH 매개 변수를 업데이트합니다. 5. 다음 명령을 실행하여 CA 인증서를 웹 서버에 게시합니다. Cscript //job:PublishIssCertsToIIS C:\\MSSScripts\\CA\_Operations.wsf (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) CRL은 CA 인증„œ보다 발급 CA에서 훨씬 규칙적(델타-CRL의 경우 매일 또는 매시간)으로 발급되므로 CRL을 웹 서버에 자동으로 복제하는 방법이 필요합니다. **CRL** **게시를자동화하려면다음을수행합니다.** 1. 로컬 Administrators의 구성원인 계정을 사용하여 발급 CA에 로그온합니다. 2. 이 서버에서 원격 공유 또는 로컬 경로로 웹 서버 폴더에 액세스할 수 있는지 확인합니다. 3. 웹 서버가 원격인 경우 **Modify access**를 허용하여 파일 시스템 폴더에, **Change access**를 허용하여 공유에 각각 발급 CA 쓰기 액세스 권한을 부여합니다. 웹 서버가 포리스트의 구성원이면 도메인 Cert Publishers 그룹을 사용하여 액세스 권한을 부여할 수 있습니다.  이렇게 하면 도메인의 엔터프라이즈 CA가 인증서와 CRL을 이 폴더에 게시하는 데 필요한 권한을 갖게 됩니다. 웹 서버 권한은 변경할 필요가 없습니다(AIA 및 CDP 게시를 위한 IIS 구성에 대한 이전 절 참조). 4. 다음 명령을 실행하여 CRL을 복사하는 예약된 작업을 만듭니다. schtasks /create /tn "Publish CRLs" /tr "cscript.exe //job:PublishIssCRLsToIIS C:\\MSSScripts\\CA\_Operations.wsf" /sc Hourly /ru "System" (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) **참고:** 이 절차를 수행하면 CRL을 CA에서 웹 서버에 게시하는 매시간 예약된 작업이 만들어집니다. 이러한 빈도는 매일 또는 하루에 두 번 이루어지는 델타 CRL 게시 일정에도 충분합니다. CRL 일정이 이것보다 빈번한 경우 예약된 작업을 보다 자주 실행해야 합니다. 좋은 지침은 작업 예약이 델타-CRL 일정의 약 5-10%가 되어야 합니다. ##### 발급 CA 정보의 게시 확인 발급 CA 정보가 게시되었는지 확인해야 합니다. 올바른 도메인 계정을 사용하여 네트워크에 연결된 도메인 구성원 컴퓨터에 로그온한 후 이 단계를 수행해야 합니다. **발급** **CA** **정보게시를확인하려면다음을수행합니다.** 1. CA 인증서가 중간 CA 저장소에 게시되었는§€ 확인하려면 뉀¤음 명령을 실행합니다. certutil -viewstore -enterprise CA 2. 하나는 루트 CA용, 하나는 발급 CA용으로 두 개의 인증서가 표시되어야 합니다. 발급 CA 인증서를 두 번 클릭하고 **주체** 이름이 발급 CA에 대해 구성된 이름과 일치하며 **유효기간(시작)** 날짜가 현재 날짜인지 확인합니다. 3. CA 인증서가 NTAuth CA 저장소에 게시되었는지 확인하려면(모든 엔터프라이즈 CA는 여기에 게시) 다음 명령을 실행합니다. certutil -viewstore -enterprise NTAuth 발급 CA에 대해 같은 인증서가 표시되어야 합니다. 4. 발급 CA CRL이 디렉터리에 게시되었는지 확인하려면 다음 명령을 실행하여 기울임꼴 항목을 자체 설치에서 사용된 값(CA 공통 이름, CA 짧은 호스트 이름 및 Active Directory 포리스트 루트의 DN)으로 대체합니다. certutil -store -enterprise "ldap:///cn=*Woodgrove Bank Issuing CA 1*,cn=*HQ-CA-02*,cn=CDP,CN=Public Key Services, CN=Services,CN=Configuration,DC=*woodgrovebank*,DC=*com*?certificateRevocationList?base?objectClass= cRlDistributionPoint" (이 명령은 두 개 이상의 줄에 표시되지만 입력할 때는 한 줄로 입력하십시오.) 5. 출력이 다음과 같아야 합니다. **발급자** 값이 발급 CA에 대해 구성된 이름과 일치하는지 확인합니다. ================ CRL 0 ================ Issuer: CN= WoodGrove Bank Issuing CA,DC=woodgrovebank,DC=com CA Version: V1.0 CRL Number: CRL Number=1 CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe CertUtil: -store command completed successfully. 6. CA 인증서가 웹 서버에 게시되었는지 확인하려면 다음 URL을 브라우저에 입력합니다. 기울임꼴로 표시된 항목은 사용자 설치에서 사용하는 값으로 바꿉니다. https://*www.woodgrovebank.com*/pki/*HQ-CA-02\_WoodGrove Bank Issuing CA 1*.crt 7. 파일을 열거나 저장해야 합니다. 파일을 연 다음 발급 CA 인증서가 표시되는지 확인합니다. 8. 발급 CA CRL이 웹 서버에 게시되었는지 확인하려면 다음 URL을 브라우저에 입력합니다. 기울임꼴로 표시된 항목은 사용자 설치에서 사용하는 값으로 바꿉니다. https://*www.woodgrovebank.com*/pki/*WoodGrove Bank Issuing CA 1*.crl 9. 파일을 열거나 저장해야 합니다. 파일을 연 다음 루트 CA CRL이 표시되는지 확인합니다. **참고:** CA 인증서를 갱신했거나 여러 개 발급한 경우에는 이 명령의 출력에서 여러 버전 번호가 표시됩니다. #### 인증서 등록 확인 발급 CA에서 인증서를 등록할 수 있는지 확인해야 합니다. **인증서등록을확인하려면다음을수행합니다.** 1. 발급 CA와 같은 도메인에서 컴퓨터에 로그온합니다. 도메인 계정을 사용합니다. 2. 현재 사용자에 대해 인증서 MMC 스냅인을 엽니다. (미리 지정된 스냅인이 없으므로 **스냅인추가/제거**를 사용해 이 스냅인을 추가해야 합니다.) 3. 개인 폴더를 마우스 오른쪽 단추로 클릭하고 **모든작업**하위 메뉴에서 **Request a New Certificate**를 선택합니다. 4. 목록에서 인증서 종류를 선택하라는 메시지가 나타납니다. **사용자** 종류를 선택합니다. **고급옵션** 확인란은 선택하지 마십시오. 5. 인증서에 **Issuing CA Verification** 같이 알아보기 쉽고 친숙한 이름을 지정합니다. 6. **마침**을 클릭하여 인증서를 등록합니다. 7. 개인 폴더의 인증서 하위 폴더로 이동합니다. **Issuing CA Verification** 인증서가 있어야 합니다. (먼저 MMC의 왼쪽 창에서 **인증서-현재사용자** 루트 개체를 마우스 오른쪽 단추로 클릭한 다음 **새로고침**을 클릭하여 저장소를 새로 고쳐야 할 수 있습니다.) 이 확인 테스트에 실패하면 이 장의 단계를 조사하여 확인된 문제를 해결해야 합니다. 문제가 계속되면 11장 "공용 키 구조 관리"에서 "문제 해결" 절을 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 구축 후 구성 조직을 위한 루트 및 발급 CA를 구축했지만 완료할 구성 작업이 아직 몇 가지 남아 있습니다. 이 절에서는 이러한 작업을 설명합니다. #### 인증서 템플릿 구성 많은 작업은 CA가 발급할 수 있는 인증서 종류, 해당 발급을 누가 제어하며 누구에게 또는 어떤 인증서를 발급하는지를 구성하는 것과 관련되어 있습니다. ##### 발급 CA에서 원하지 않는 템플릿 제거 인증서 종류가 필요할 때까지는 CA 구성에서 해당 템플릿을 제거하여 인증서가 실수로 발급될 수 없도록 하는 것이 좋습니다. 하지만 템플릿은 디렉터리에서 항상 사용할 수 있으며 필요한 경우 다시 추가할 수 있습니다. **발급** **CA에서원하지않는템플릿을제거하려면다음을수행합니다.** 1. CA Admins 도메인 그룹의 구성원으로 로그온합니다. 2. 인증 기관 관리 콘솔에서 인증서 템플릿 컨테이너를 선택합니다. 3. 다음 템플릿 종류를 제거합니다. - EFS 복구 에이전트 - 기본 EFS - 웹 서버 - 컴퓨터 - User - 하위 인증 기관 - Administrator **참고:** 이 절차를 수행하면 도메인 컨트롤러, 도메인 컨트롤러 인증 및 디렉터리 전자 메일 복제를 제외하고 발급 CA에서 모든 템플릿을 제거합니다. Windows 2000 도메인 컨트롤러는 도메인 컨트롤러 인증서를 사용해 스마트 카드 로그온과 SMTP(Simple Mail Transfer Protocol) Active Directory 복제를 수행합니다. Windows Server 2003 도메인 컨트롤러는 도메인 컨트롤러 인증 인증서를 사용해 스마트 카드 로그온 및 보안 LDAP를 지원하고, 디렉터리 전자 메일 복제 인증서를 사용해 SMTP Active Directory 복제를 수행합니다. >제거된 모든 템플릿은 나중에 필요한 경우 다시 추가할 수 있습니다. 심사 숙고하여 선택한 경우 발급할 인증서 종류만 허용하는 것이 좋습니다. ##### 인증서 템플릿 만들기 및 관리 엔터프라이즈 인증서 템플릿은 보안 그룹을 통해 보다 효과적으로 관리하여 사용할 수 있습니다. 이 그룹은 각 템플릿의 속성을 수정할 수 있는 사용자와 해당 인증서 종류를 등록할 수 있는 사용자를 제어할 수 있습니다. **참고:** Template Admin 그룹은 템플릿에 대한 제어를 다른 관리자에게 위임할 가능성이 있을 때 유용합니다. PKI 관리 구조가 크거나 복잡하지 않으면 이 기능은 필요하지 않을 수도 있습니다. 이 경우 Enterprise Admins 기본 제공 그룹과 Enterprise PKI Admins(이 솔루션의 일부로 생성)의 구성원만 인증서 템플릿을 관리할 수 있습니다. 인증서 템플릿 관리 그룹을 만들고 유지 관리하는 지침은 11장 "공용 키 구조 관리"에 설명된 운영 절차를 참조하십시오. 이 솔루션을 위한 특정 인증서 템플릿을 만드는 지침은 9장 "무선 LAN 보안 인프라 구현"에서 "무선 인증 인증서 구성 및 배포" 절을 참조하십시오. 인증서 템플릿을 만들고 수정하는 일반적인 지침은 "인증서 템플릿 관리" 제품 설명서 및 기술 문서 *Windows Server 2003에서인증서템플릿구현및관리*를 참조하십시오. (이 장 끝에 나오는 참조를 확인하십시오.) ##### 인증서 등록 관리 템플릿 등록 그룹을 사용하면 주어진 인증서 종류에 대한 자동 등록을 쉽게 관리할 수 있습니다. 사용자는 보안 그룹에서 간단히 추가하거나 제거할 수 있습니다. 또한 인증서 템플릿의 속성을 직접 편집하지 못하도록 관리 직원에게 그룹 구성원에 대한 제어 권한도 부여할 수 있습니다. 인증서 템플릿 등록 그룹을 만들고 유지 관리하는 지침은 11장 "공용 키 구조 관리"를 참조하십시오. #### 다중 도메인 배포를 위한 권한 설정 이 솔루션을 다중 도메인 포리스트에 배포하는 경우 CA 도메인 이외의 도메인에 있는 사용자 및 컴퓨터에 대해 인증서를 발급해야 합니다. 이 경우 CA가 Active Directory 포리스트에 있는 도메인에 인증서를 올바르게 게시할 수 있도록 기본값에서 사용 권한을 변경해야 합니다. CA 및 인증서에서 사용자를 위한 등록 권한을 설정할 때 사용자와 컴퓨터가 인증서를 등록할 수 있도록 하려는 모든 도메인의 사용자와 컴퓨터를 명시적으로 포함해야 합니다. **인증서를다른도메인에있는사용자와컴퓨터에게시할수있도록하려면다음을수행합니다.** 1. 인증서를 게시할 도메인에서 도메인 구성원에 로그온합니다. 사용자는 이 도메인에 대한 도메인 관리자의 구성원 또는 도메인 개체에서 사용 권한을 변경할 충분한 권한을 가진 그룹의 구성원이 되어야 합니다. 2. Active Directory 사용자 및 컴퓨터의 MMC 스냅인을 열고 도메인 노드를 마우스 오른쪽 단추로 클릭합니다. **참고:** 대상 도메인에서 계정에 올바른 사용 권한이 있으면 다른 도메인에서도 이 작업을 수행할 수 있습니다. 대상 도메인은 Active Directory 사용자 및 컴퓨터에서 연결해야 합니다. 3. **제어위임**을 클릭하여 위임 마법사를 시작합니다. 4. 마법사에서 **다음**을 클릭한 다음 발급 CA를 설치한 도메인의 Cert Publishers 그룹을 추가합니다. 그런 후 **Next**를 클릭합니다. 5. **위임할사용자지정작업만들기**를 선택하고 **다음**을 클릭합니다. 6. **폴더**에서 **폴더에있는다음개체만**을 선택합니다. 7. **사용자개체**를 선택하고 **다음**을 클릭합니다. 8. **속성별** 옵션을 선택합니다. 9. **userCertificate** **읽기**및 **userCertificate** **쓰기**옵션을 선택합니다. 10. **다음**을 클릭한 다음 **마침**을 클릭합니다. 11. 3-10단계를 반복하되 7단계에서 **사용자개체** 대신 **컴퓨터개체**를 선택합니다. 이 절차를 수행하면 엔터프라이즈 CA는 이 도메인에 있는 사용자 및 컴퓨터를 위해 인증서를 올바르게 게시하는 권한을 갖게 됩니다. #### CA 키 및 CA 서버 백업 루트 및 발급 CA를 구축했으므로 키와 인증서 데이터베이스를 서버 오류나 데이터 손상으로부터 보호하기 위해 가능한 빨리 백업해야 합니다. 다음 절차를 11장 "공용 키 구조 관리"에 설명된 대로 수행합니다. - "발급 CA 백업 구성" - "루트 CA 백업 구성 및 실행" - "CA 키 및 인증서 백업"(각 CA에 대해 수행해야 함) [](#mainsection)[페이지 위쪽](#mainsection) ### 클라이언트 구성 이 절에서는 몇 가지 중요한 클라이언트 구성 작업에 대해 설명합니다. 대부분의 클라이언트 관련 설정이 모든 인증서 응용 프로그램에 공통적인 작업이 아닌 WLAN 또는 VPN(가상 사설망) 같은 인증서 서비스를 사용하는 응용 프로그램이나 서비스와 관련이 있기 때문에 이것은 몇 개 밖에 되지 않습니다. #### 사용자 및 컴퓨터 인증서 자동 등록 설정 이전 절 "인증서 등록 관리"에서 설명한 방법을 사용하면 보안 그룹 및 템플릿 사용 권한을 사용해 매우 세부적인 수준에서 자동 등록을 제어할 수 있습니다. 하지만 Windows XP의 자동 등록 기능은 기본적으로 해제되어 있습니다. 자동 등록 기능을 사용하려면 그룹 정책에서 올바른 설정을 구성해야 합니다. 보안 그룹을 사용해 자동 등록을 제어하는 경우 도메인에 있는 모든 사용자 및 컴퓨터에 대해 자동 등록 기능을 설정하는 것은 물론, 등록 보안 그룹을 통해 종류별 인증서를 받는 대상을 파악할 수 있습니다. **주의:** 이 절차를 사용하면 도메인에 있는 *모든* 컴퓨터와 사용자에 대해 자동 등록이 설정될 수 있습니다. 이 절차를 시작하기 전에 발급 CA에서 기본 템플릿을 제거하여 기본 컴퓨터와 사용자 인증서가 도메인에 있는 모든 컴퓨터와 사용자에 등록되는 것을 방지하십시오. 이 절차는 11장 "공용 키 구조 관리"에 설명된 대로 보안 그룹을 사용해 자동 등록을 제어하게 되는 것으로 가정하고 있습니다. **도메인에있는모든사용자와컴퓨터에대해자동등록을설정하려면다음을수행합니다.** 1. GPO(그룹 정책 Creator Owners의 구성원)을 만드는 권한이 있고 GPO를 도메인에 연결하는 권한이 있는 계정으로 로그온합니다. 또한 도메인 관리자가 사용자를 위해 GPO를 만들고 연결을 요청한 다음 GPO에 있는 사용자를 위해 읽기와 쓰기 권한을 부여합니다. 2. Active Directory 사용자 및 컴퓨터에서 도메인 개체를 선택하고 마우스 오른쪽 단추로 클릭한 다음 **속성**을 클릭합니다. 3. **그룹정책** 탭에서 **새로만들기**를 클릭한 다음 GPO 이름(예: *Domain PKI Policies*)을 입력합니다. 4. **편집**을 클릭하여 GPO를 편집하고 컴퓨터 구성\\Windows 설정\\보안 설정 아래의 공용 키 정책으로 이동합니다. 5. 세부 정보 창에서 **자동등록설정**을 두 번 클릭합니다. 6. 다음 항목이 선택되었는지 확인합니다. - **인증서를자동으로등록** - **만료된인증서갱신,** **보류중인인증서업데이트,** **해지된인증서제거** - **인증서템플릿을사용하는인증서업데이트** 7. 사용자 구성\\Windows 설정\\보안 설정\\공용 키 정책에서 사용자 자동 등록 설정에 대해 5-6단계를 반복합니다. 8. GPO를 닫습니다. 9. GPO가 기본 도메인 정책 GPO보다 높은 우선 순위가 있는지 확인합니다. **참고:** 다중 도메인 Active Directory 포리스트가 있는 경우 인증서 자동 등록을 설정할 포리스트에 있는 각 도메인에 대해 이 절차를 수행해야 합니다. 도메인에 있는 모든 사용자나 컴퓨터에 대해 자동 등록을 설정하지 않으려면 자동 등록을 설정할 사용자 및/또는 컴퓨터의 하위 집합이 들어 있는 OU에 연결된 GPO를 만들 수 있습니다. 사용자가 로밍 프로필을 사용하지 않고 자동 등록을 보편적으로 적용하는 경우 로그온하는 모든 컴퓨터의 사용자에 대해 인증서가 등록됩니다. 서버에 로그온하는 관리자와 운영자에게 인증서가 자동 등록되지 않도록 할 수 있습니다. 이러한 서버에 적용되는 GPO를 만들어(예를 들어, 서버 OU에 연결) 이 작업을 수행할 수 있습니다. 해당 GPO에서 **인증서를자동으로등록안함**을 선택하여 사용자에 대해 자동 등록을 해제합니다. 같은 GPO에서 **컴퓨터구성\\관리템플릿\\시스템\\그룹정책\\사용자그룹정책루프백처리모드**를 설정하고 **바꾸기** 옵션을 선택하여 GPO 루프백 처리를 설정합니다. 인증서 자동 등록 설정은 이 장 끝에 있는 "추가 정보" 절에 나열된 문서에서도 자세히 설명합니다. Windows XP 이상의 클라이언트만 사용자 및 컴퓨터 인증서 둘 모두의 자동 등록을 지원합니다. Windows 2000 클라이언트는 컴퓨터 인증서의 자동 등록만 지원합니다(그러나 EFS 같은 일부 응용 프로그램에는 사용자 인증서를 위한 자동 등록 메커니즘이 있음). Windows 2000 Active Directory 환경에서 이 솔루션을 배포하는 경우 Windows Server 2003 또는 Windows Server 2003 관리 도구가 설치된 Windows XP Professional을 실행하는 컴퓨터에서 GPO의 자동 등록 설정을 편집해야 합니다(Windows XP는 Windows Server 2003 관리 도구를 지원하려면 특정 서비스 팩과 핫픽스 수준을 요구합니다). #### 루트 인증 기관 도메인 정책 구성 이 절에서는 조직에서 클라이언트가 신뢰하는 상용 루트 CA를 관리하는 방법과 개별 사용자가 신뢰하는 루트 CA의 변경 가능 여부를 제어하는 수준에 대해 설명합니다. ##### 타사 신뢰 관리 기본적으로 Windows 클라이언트는 많은 상용 루트 CA(baked-in-roots라고 함)를 신뢰하도록 구성되어 있습니다. 사용자가 타사 루트 CA를 자동으로 신뢰하지 않도록 하려는 경우 온라인 도움말 절의 "그룹 정책을 사용하여 타사 루트 인증 기관을 사용자가 신뢰하지 않도록 하는 방법"에 절차가 나와 있습니다. 또한 "추가 정보" 절에는 이 항목에 대한 문서의 링크가 들어 있습니다. **참고:** 타사 루트를 해제하면 클라이언트 응용 프로그램에 오류가 발생할 수 있으므로 결과를 적절히 테스트하지 않고 이 작업을 수행해서는 안 됩니다. 예를 들어, 클라이언트가 대부분의 공용 보안 웹 사이트에 연결하면 신뢰 오류가 생성됩니다. 여러 가지 방법으로 모든 타사 신뢰를 제거하면 일부 문제를 완화할 수 있습니다. - 그룹 정책에서 신뢰할 수 있는 루트 CA(인증 기관) 정책 설정에 추가하여 개별 루트를 선택적으로 다시 추가할 수 있습니다. - 루트 인증서를 인증서 신뢰 목록에 추가하고 그룹 정책의 엔터프라이즈 신뢰 설정을 통해 배포할 수 있습니다. 이 방법을 사용하면 루트가 발급하는 인증서를 신뢰할 용도를 제어할 수도 있습니다. 하지만 클라이언트 지원이 제한적이므로 다른 대안이 없는 경우에만 사용하는 것이 좋습니다. - 다른 인증 기관을 교차 인증을 하거나 정규 종속 신뢰 관계를 만들 수 있습니다. 이 방법을 사용하면 조직에서 신뢰하는 것을 허용할 용도와 인증서 매개 변수를 보다 잘 제어할 수 있습니다. 인증서 신뢰 목록이나 정규 종속을 사용하는 것이 조직에 타사의 신뢰할 수 있는 루트를 배포하는 가장 안전한 방법입니다. 이 항목은 4장 "공용 키 구조 디자인"에서 좀 더 자세히 다루고 있습니다. ##### 신뢰할 수 있는 루트에 대한 사용자 제어 관리 그룹 정책을 사용하여 사용자가 새로운 루트 CA를 신뢰하도록 선택하지 못하도록 할 수도 있습니다. 조직에서 타사 인증서의 사용을 제어하기 위해 자체 인증서 신뢰 목록이나 정규 종속 신뢰를 만든 경우 이것은 특히 중요합니다. 온라인 도움말 절의 "그룹 정책을 사용하여 새로운 루트 인증 기관을 사용자가 신뢰하지 않도록 하는 방법" 또는 "추가 정보" 절에 나열된 링크에서 신뢰할 수 있는 루트에 대한 사용자 제어를 관리하기 위해 그룹 정책을 사용하는 절차를 볼 수 있습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 요약 이 장의 절차를 모두 수행했으면 다음 작업을 완료한 것입니다. - 오프라인 루트 CA 설치 및 구성. - 온라인 발급 CA 설치 및 구성. - CRL 및 CA 인증서를 게시하기 위한 웹 서버 설치 및 구성. - CA 및 Active Directory PKI 구성 정보를 관리하기 위해 관리 그룹과 사용자 구성. - PKI를 지원하기 위해 Active Directory 및 그룹 정책 구성. 이제 PKI를 사용하도록 응용 프로그램을 구성할 준비가 되었습니다. 자세한 내용은 이 설명서의 8장 "RADIUS 구조 구현" 및 9장 "무선 LAN 보안 인프라 구현"에 설명되어 있습니다. 또한 이제 11장 "공용 키 구조 관리"의 관련 내용을 읽고 해당 운영 담당자가 이를 숙지했는지 확인해야 합니다. 이 장에는 PKI를 안전하고 안정적인 방식으로 유지하는 방버에 대한 필수 정보가 들어 있습니다. #### 추가 정보 ##### PKI 및 Windows 인증서 서비스에 대한 일반 배경 정보 - Windows 2000 인증서 서비스의 PKI 개념 및 기능에 대한 소개는 https://www.microsoft.comhttps://www.microsoft.com/korea/technet/archive/windows2000serv/ evaluate/featfunc/pkiintro.mspx(영문 사이트)의 [*An Introduction to the Windows 2000 Public-Key Infrastructure*](https://www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/pkiintro.mspx)를 참조하십시오. - Windows Server 2003 및 Windows XP에서 향상된 PKI 기능에 대한 설명은 https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/winxppro/plan/pkienh.mspx의 [*PKI Enhancements in Windows XP Professional and Windows Server 2003*](https://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx)을 참조하십시오. - 주요 개념과 관리 작업을 설명하는 배경 제품 설명서는 온라인 도움말의 "인증서 서비스" 또는 https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/proddocs/entserver/SE\_PKI.mspx에서 Windows Server 2003 제품의 [공용 키 구조 절](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/se_pki.mspx)을 참조하십시오. ##### 특정 항목에 대한 정보 - 다중 포리스트 Active Directory 환경에 PKI를 배포하는 자세한 내용은 https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/proddocs/entserver/sag\_CS\_procs\_xforest\_cert\_pub.mspx의 Windows Server 2003 제품 설명서에서 ["To publish certificates in a foreign Active Directory forest"](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_xforest_cert_pub.mspx)를 참조하십시오. - CAPICOM은 [Microsoft 다운로드 센터](https://www.microsoft.com/download/details.aspx?displaylang=en&familyid=860ee43a-a843-462f-abb5-ff88ea5896f6)(https://www.microsoft.com/download/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6)에서 다운로드할 수 있습니다. 하지만 다운로드 센터 사이트에서 "CAPICOM"을 검색하여 현재 최신 버전을 갖고 있는지 확인해야 할 수 있습니다. - MBSA(Microsoft Baseline Security Analyzer)를 사용하는 방법에 대한 지침은 [Microsoft Baseline Security Analyzer v1.2](https://www.microsoft.com/korea/technet/security/tools/mbsahome.mspx) 페이지(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/security/tools/mbsahome.mspx)를 참조하십시오. - Active Directory 도메인 기능 수준에 대한 정보 및 기능 수준 간의 변경 방법에 대한 지침은 다음 Windows Server 2003 제품 설명서 절을 참조하십시오. - [도메인 및 포리스트 기능 절](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_levels.mspx)(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/ proddocs/entserver/sag\_levels.mspx)에서는 다양한 도메인 및 포리스트 수준에 대해 설명합니다. - ["To raise the domain functional level"](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_changedomlevel.mspx)이라는 제목의 페이지(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/ proddocs/entserver/sag\_changedomlevel.mspx)에서는 도메인 및 포리스트 수준의 변경 방법에 대해 설명합니다. - ADPrep 도구에 대한 자세한 내용은 Microsoft 기술 자료 문서 Q325379 "[How to upgrade Windows 2000 domain controllers to Windows Server 2003](https://support.microsoft.com/?kbid=325379)"(https://support.microsoft.com/?kbid=325379) 및 [ADPrep](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/adprep.mspx) 페이지(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/proddocs/entserver/adprep.mspx)를 참조하십시오. - ADPrep 패치 수준 요구 사항에 대한 자세한 내용은 Microsoft 기술 자료 문서 Q331161 ["Hotfixes to install on Windows 2000 domain controllers before running Adprep /Forestprep"](https://support.microsoft.com/?kbid=331161)(https://support.microsoft.com/?kbid=331161)을 참조하십시오. - 인증서 서비스 관리 역할에 대한 자세한 내용은 Windows Server 2003 제품 설명서의 "[Managing role-based administration](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_manage_role_based_admin_topnode.mspx)"(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/ proddocs/entserver/sag\_CS\_Manage\_Role\_based\_admin\_topnode.mspx)를 참조하십시오. - 이 설명서에서 사용되는 서버 보안 설정 및 서버 역할에 대한 자세한 내용은 [*https://go.microsoft.com/fwlink/?LinkId=14845)*](https://go.microsoft.com/fwlink/?linkid=14845)(영문)의 Windows Server 2003 Security Guide를 참조하십시오. - 인증서 템플릿을 만들고 수정하는 지침은 기술 문서 [*Implementing and Administering Certificate Templates in Windows Server 2003*](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx)(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/echnologies/security/ws03crtm.mspx) 및 제품 설명서의 [엔터프라이즈 인증 기관을 위한 인증서 템플릿 관리](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_temps.mspx) 절(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/ proddocs/entserver/sag\_CS\_procs\_temps.mspx)을 참조하십시오. - 타사 CA에 대한 자동 신뢰를 해제하는 방법에 대한 자세한 내용은 ["그룹 정책을 사용하여 타사 루트 인증 기관을 사용자가 신뢰하지 않도록 하는 방법"](https://www.microsoft.com/resources/documentation/windowsserv/2003/enterprise/proddocs/en-us/sag_pkpprocsconfig3rdpartyrootca.asp)(https://www.microsoft.com/resources/documentation/ WindowsServ/2003/enterprise/proddocs/en-us/sag\_pkpprocsconfig3rdpartyrootca.asp)을 참조하십시오. - 신뢰할 수 있는 루트에 대한 사용자 제어를 관리하는 방법에 대한 자세한 내용은 ["To prevent users from selecting new root certification authorities with a Group Policy"](https://www.microsoft.com/resources/documentation/windowsserv/2003/enterprise/proddocs/en-us/sag_pkpprocsconfigtrustedrootca.asp)(https://www.microsoft.com/resources/documentation/ WindowsServ/2003/enterprise/proddocs/en-us/sag\_pkpprocsconfig3rdpartyrootca.asp)을 참조하십시오. - 인증서 자동 등록에 대한 자세한 내용은 [*Certificate Autoenrollment in Windows XP*](https://www.microsoft.com/windowsxp/pro/techinfo/administration/autoenroll/default.asp)(https://www.microsoft.com/WindowsXP/pro/techinfo/ administration/autoenroll/default.asp) 및 ["Checklist: Configuring certificate autoenrollment"](https://www.microsoft.com/resources/documentation/windowsserv/2003/datacenter/proddocs/en-us/certsrv_checklist_autoenroll.asp)(https://www.microsoft.com/resources/documentation/ WindowsServ/2003/datacenter/proddocs/en-us/certsrv\_checklist\_autoenroll.asp)을 참조하십시오. - 고급 인증서 등록에 대한 자세한 내용은 [Advanced Certificate Enrollment and Management](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx)(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/technologies/security/advcert.mspx)를 참조하십시오. - 웹 등록에 대한 자세한 내용은 [Configuring and Troubleshooting Windows 2000 and Windows Server 2003 Certificate Services Web Enrollment](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.mspx)(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/technologies/security/webenroll.mspx)을 참조하십시오. - Windows PKI를 관리하는 방법에 대한 자세한 내용은 11장 "PKI 관리"의 정보를 비롯해 [*Windows Server 2003 PKI Operations Guide*](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/technologies/security/ws03pkog.mspx)(https://www.microsoft.comhttps://www.microsoft.com/korea/technet/prodtechnol/ windowsserver2003/technologies/security/ws03pkog.mspx)를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection)