11장: 공용 키 구조 관리

게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일

이 페이지에서

소개
필수 유지 관리 작업
인증서 서비스 관리 역할
운영 사분면 작업
지원 사분면 작업
최적화 사분면 작업
변경 사분면 작업
문제 해결
구성 표
추가 정보

소개

이 장에서는 무선 LAN 보안 솔루션의 일부로 구현되는 PKI(공용 키 구조)를 관리하는 데 필요한 작업 절차에 대해 설명합니다. 이 장은 무선 LAN 보안 운영 설명서의 첫 번째 장(10장)에 설명된 MOF(Microsoft Operations Framework) 범주와 개념을 기반으로 구성되어 있습니다.

이 장의 목표는 완전한 PKI 관리 시스템을 구현할 수 있도록 하는 것입니다. 이 장에서 다루는 항목은 시스템 모니터링 및 유지 관리를 시작하는 데 필요한 모든 설치 작업 및 시스템이 올바르게 동작하는 데 필요한 정기적인 운영 작업입니다. 지원 작업을 처리하고 환경 변화를 관리하며 시스템 성능을 최적화하는 데 필요한 절차도 논의합니다.

이 장은 크게 두 부분으로 구성되어 있습니다. 첫 번째 부분은 "필수 유지 관리 작업" 및 "관리 역할 지정"의 두 절로 이루어져 있는데 간결하므로 전부 읽는 것이 좋습니다. 이 절은 올바른 관리가 이루어지는 시스템 환경을 설정하기 위한 필수 정보를 제공합니다. 장의 나머지는 주로 참고 자료입니다. 참고 자료 부분에서 시스템을 배포할 때 해야 하는 작업을 다루지만 이는 "필수 유지 관리 작업" 절에 분명하게 나와 있습니다.

참고 자료 절의 모든 세부 사항을 소화할 필요는 없지만 나중에 필요한 항목을 빨리 찾을 수 있도록 내용을 익혀 놓는 것이 좋습니다.

장 전제 조건

10장 "운영 설명서 소개"에서 논의된 MOF에 사용된 개념에 익숙해지는 것이 좋습니다. MOF를 상세하게 알 필요는 없습니다.

특히 PKI 및 Microsoft® Certificate Services 개념을 숙지해야 합니다. 다음 영역에서 Microsoft Windows® 2000 Server(이상)를 잘 이해해야 합니다.

• 이벤트 뷰어, 컴퓨터 관리 및 NTBackup과 같은 도구의 사용을 포함한 Microsoft Windows Server™ 2003의 기본 운영 및 유지 관리.

• Active Directory 구조 및 도구, 사용자, 그룹 및 기타 Active Directory 개체 관리 및 그룹 정책 사용을 포함한 Active Directory® 디렉터리 서비스.

• Windows 시스템 보안: 사용자, 그룹, 감사, 액세스 제어 목록 등의 보안 개념, 보안 템플릿 사용, 그룹 정책 또는 명령줄 도구를 사용한 보안 템플릿 적용.

• IIS(인터넷 정보 서비스) 관리.

• Windows Scripting Host를 이해하고 Microsoft Visual Basic® Scripting Editing(VBScript) 언어를 알면 제공되는 스크립트를 최대한 활용하는 데 도움이 되지만 필수적이지는 않습니다.

이 장을 진행하기 전에 계획 설명서 및 구축 설명서(4장 및 6장)를 읽고 솔루션 아키텍처와 디자인을 철저하게 이해해야 합니다.

장 개요

다음 목록은 이 장 주요 절을 하나씩 설명합니다.

• 필수 유지 관리 작업. 관리 시스템을 설치하는 데 필요한 작업 목록 및 시스템을 유지 관리하기 위해 정기적으로 수행해야 하는 작업 목록의 두 가지가 있습니다.

• 관리 역할. 솔루션에 사용된 관리 역할, 각 역할의 기능 및 역할이 솔루션에 정의된 MOF 역할 클러스터 및 관리 보안 그룹에 매핑되는 방식을 설명합니다.

• 운영 사분면 작업. 정상적인 PKI 유지 관리에 관련된 모든 작업을 포함합니다. 모니터링, 백업 및 디렉터리/보안 작업 등을 다룹니다.

• 지원 사분면 작업. 시스템 문제 복구에 관한 모든 절차가 있습니다. 이 절차에는 인증서 및 인증 기관(CA) 해지, 백업에서 복원 및 실패한 CA 처리 작업 등이 있습니다.

• 최적화 사분면 작업. 성능 관리 계획 절차를 다룹니다.

• 변경 사분면 작업. CA 구성 변경 및 변경 내용을 제어된 방법으로 생산 단계에 배포하는 공통 작업을 다룹니다. PKI에 관한 필수 구성 정보를 수집하고 관리하는 데 필요한 절차도 있습니다.

• 문제 해결. PKI에서 흔히 발생하는 문제 해결에 필요한 절차가 들어 있습니다. 또한 유용한 문제 해결 도구와 여러 구성 요소 로깅에 필요한 절차를 설명합니다.

• 구성 표. 구축 설명서에 사용된 구성 매개 변수의 일부분입니다. 이 값은 절차를 설명하면서 예제로 사용됩니다.

• 추가 정보. 설명에서 언급되는 다양한 추가 정보 출처 목록입니다.

페이지 위쪽

필수 유지 관리 작업

이 절에서는 PKI를 성공적으로 운영하기 위해 수행해야 할 주요 작업을 보여 줍니다. 1회성 설치 작업 및 지속적인 운영 작업을 두 가지 표에 소개합니다. 표에 나오는 작업 이름에 대해서는 문서의 뒷부분에 자세히 설명되어 있습니다. 작업은 MOF 사분면별로 그룹화되어 있으며, 각 작업이 속하는 MOF SMF(서비스 관리 기능)가 각 작업 옆에 표시되어 있어서 필요한 작업을 쉽게 찾을 수 있습니다.

이 절에는 이 장의 절차에 사용되는 도구와 기술 목록도 있습니다.

초기 설정 작업

이 표에는 PKI 작업을 생산 단계에 적용하기 위해 수행해야 하는 작업이 있습니다. 운영 기준 및 관행에 따라 이 모든 작업을 수행할 필요는 없지만 각 작업의 세부 사항을 검토하고 필요 여부를 결정해야 합니다. 일부 작업은 다시 실행해야 합니다. 예를 들어 새로운 CA를 설치하면 백업 및 모니터링 작업을 구성해야 합니다.

표 11.1. 초기 설정 작업

작업 이름	역할 클러스터	SMF
운영 사분면
인증서 서비스 관리를 위한 도메인 OU(조직 구성 단위) 구조 준비	인프라	디렉터리 서비스 관리
웹 서버에 발급하는 CA CRL 게시	보안	보안 관리
발급하는 CA 데이터베이스 백업 구성	인프라	저장소 관리
루트 CA 데이터베이스 백업 구성	인프라	저장소 관리
CA 데이터베이스 백업 테스트	작업	저장소 관리
CA 키 백업 테스트	작업	저장소 관리
모니터링 경고 범주화	인프라	서비스 모니터링 및 제어
인증서 서비스 성능 제한 모니터링	인프라	서비스 모니터링 및 제어
인증서 서비스 상태 및 가용성 모니터링	인프라	서비스 모니터링 및 제어
대기 중인 인증서 요청에 대한 SMTP 경고 설정	인프라	서비스 모니터링 및 제어
발급하는 CA에 대한 작업 예약	인프라	작업 예약
최적화 사분면
발급하는 CA에 대한 최대 로드 결정	인프라	성능 관리
발급하는 CA에 대한 저장소 및 백업 요구 사항 결정	인프라	성능 관리
변경 사분면
운영 체제 업데이트 관리	인프라	변경 관리 릴리스 관리

PKI용 구성 관리 시스템 설정에 대해 설명하는 작업은 없지만 "구성 관리" 절의 절차를 검토하면 도움이 됩니다. 이들 절차는 구성 관리 시스템에 수집하고 유지 관리해야 할 정보의 종류에 대해 설명합니다.

유지 관리 작업

이 표는 사용자 PKI가 올바르게 운영되도록 하기 위해 정기적으로 수행해야 할 작업을 보여 줍니다. 이 표를 참조하여 필요한 리소스와 시스템 관리에 필요한 운영 일정에 대한 계획을 수립할 수 있습니다.

일부 작업은 수행할 필요가 없을 수도 있지만, 작업 정보를 읽어본 후 필요 여부를 결정하는 것이 좋습니다. 또한 몇 가지 작업은 예약된 간격뿐만 아니라 필요한 경우 수시로 수행해야 할 수도 있습니다. 예를 들어 루트 CA 인증서가 갱신되면 루트 CA 백업이 예약되어 있지 않더라도 이를 수행해야 합니다. 이런 경우 관련된 정보가 빈도 열에 나옵니다. 이와 같은 종속 관계에 대해서는 작업 정보에서도 설명합니다.

표 11.2. 유지 관리 작업

작업 이름	빈도	SMF
운영 사분면
대기 중인 요청 확인	매일	보안 관리
루트 CA 인증서 갱신	8시간마다	보안 관리
발급하는 CA 인증서 갱신	4년마다	보안 관리
오프라인 CRL 및 CA 인증서 게시	6개월마다	보안 관리
CA 키 및 인증서 백업	매년 또는 CA 인증서가 갱신될 때마다(둘 중 빠른 쪽)	저장소 관리
CA 데이터베이스 백업 테스트	매월	저장소 관리
CA 키 백업 테스트	6개월마다	저장소 관리
CA에서 보안 감사 데이터 보관	매월(발급하는 CA)	저장소 관리
CA에서 보안 감사 데이터 보관	6개월마다(루트 CA)	저장소 관리

#### 운영 설명서의 필요한 기술 다음 표는 이 장에 나와 있는 절차에 사용된 도구나 기술을 보여 줍니다. **표 11.3. 필요한 기술**

항목 이름	소스
Active Directory 사용자 및 컴퓨터 관리 콘솔(MMC 스냅인)	Microsoft Windows Server 2003
인증 기관 MMC 스냅인	Windows Server 2003
인증서 템플릿 MMC 스냅인	Windows Server 2003
Certutil.exe	Windows Server 2003
Certreq.exe	Windows Server 2003
MSS 스크립트	솔루션
텍스트 편집기	메모장 — Windows Server 2003
Windows 작업 스케줄러 서비스	Windows Server 2003
SchTasks.exe	Windows Server 2003
Windows 백업	Windows Server 2003
Cipher.exe	Windows Server 2003
이벤트 뷰어	Windows Server 2003
성능 모니터	Windows Server 2003
Net.exe	Windows Server 2003
DSquery.exe	Windows Server 2003
Ldifde.exe	Windows Server 2003
DCDiag.exe	Windows Server 2003
Operational Alert 콘솔	MOM(Microsoft Operations Manager)
루트 CA 백업용 이동식 미디어	CD–RW 또는 테이프
발급하는 CA 서버 백업	회사 백업 서비스 또는 로컬 백업 장치
그룹 정책 MMC 스냅인	Microsoft.com에서 웹 다운로드
PKI 상태	Windows Server 2003 Resource Kit

**표 11.4. 권장 기술**

항목 이름	소스
Operational Alert 콘솔	Microsoft Operations Manager 또는 기타 서비스 모니터링 시스템
전자 메일 인프라 – 작업 경고용(MOM의 대안)	Microsoft Exchange Server 및 Microsoft Outlook® 등의 SMTP/POP3/IMAP 서버 및 클라이언트
Eventquery.vbs	Windows Server 2003
성능 계획 도구	Microsoft Operations Manager 또는 기타 성능 계획 도구
보안 업데이트 배포 시스템	Microsoft Systems Management Server 또는 Microsoft Software Update Service

[](#mainsection)[페이지 위쪽](#mainsection) ### 인증서 서비스 관리 역할 수많은 다양한 역할이 PKI 관리에 관여합니다. 다음 두 절에서는 핵심 역할과 이를 지원하는 지원 역할에 대해 설명합니다. #### 핵심 인증서 서비스 역할 핵심 인증서 서비스 역할은 PKI 관리의 핵심입니다. 이러한 역할 대부분은 인증서 서비스에 정의된 공통 기준(CC) 보안 역할에 해당하며, 이러한 경우에는 역할 이름 다음에 괄호로 표시됩니다. **표 11.5. 핵심 인증서 서비스 역할**

역할 이름	범위	설명
Enterprise PKI Administrator	엔터프라이즈	PKI와 관련된 전반적인 업무를 담당합니다. 기업의 인증서 종류, 응용 프로그램 정책, 신뢰 경로 등을 정의합니다.
Enterprise PKI Publisher	엔터프라이즈	신뢰된 루트 인증서, 하위 CA 인증서 및 CRL을 디렉터리에 게시합니다.
CA Administrator (CC "Administrator" 역할)	CA	CA Administrator – CA 구성 및 CA 역할 할당을 담당합니다. Enterprise PKI Admins와 동일한 사람인 경우가 많습니다. 인증서 사용법에 규정되어 있는 경우 다양한 CA 관리자가 다양한 CA를 담당할 수도 있습니다.
관리자 (CC "Administrator" 역할)	CA	CA 서버 운영 체제 관리자 - CA 설치와 같은 서버 차원 구성 업무를 담당합니다. CA Admins 역할과 동일 인물인 경우가 많습니다. 인증서 사용법에 규정되어 있는 경우 다양한 관리자가 다양한 CA를 담당할 수도 있습니다.
CA Auditor (CC "Auditor" 역할)	CA	감사 이벤트, 정책 및 CA의 감사 가능한 이벤트를 관리합니다.
인증서 관리자 (CC "Officer" 역할)	CA	수동 승인이 필요한 인증서 요청을 승인하고 인증서를 해지합니다. 인증서 사용법에 규정되어 있는 경우 다양한 CA의 승인을 담당하는 여러 인증서 관리자가 있는 경우도 있습니다.
등록 기관	인증서 프로필	인증서 관리자 역할을 확장한 것입니다. 인증서 주체의 ID 확인 후 인증서 요청을 승인하고 서명합니다. 직원, IT 프로세스 또는 장치(예: 지문 스캐너 및 데이터베이스)가 될 수 있습니다. 인증서 프로필(템플릿)에 따라 여러 등록 기관을 지정하고 여러 CA를 적용할 수 있습니다.
키 복구 에이전트	CA	CA 데이터베이스에 보관된 개인 키를 해독하는 키를 보관합니다.
CA Backup Operator (CC "Operator" 역할)	CA	CA 서버의 백업과 복구 및 백업 미디어를 안전하게 저장하는 업무를 담당합니다.

#### 지원 인증서 서비스 역할 다음 표의 운영 역할은 공용 키 구조 관리에 핵심적이지는 않지만 핵심 역할 지원 기능을 제공합니다. **표 11.6. 지원 인증서 서비스 역할**

역할 이름	범위	설명
Monitor Operator	엔터프라이즈	이벤트 모니터링 업무를 담당합니다.
Capacity Planner	엔터프라이즈	성능과 로드를 분석하여 앞으로의 성능 요구 사항을 예측하는 업무를 담당합니다.
Active Directory 관리자	엔터프라이즈	Active Directory 인프라에 대한 구성 및 지원 업무를 담당합니다.
Active Directory Operations	엔터프라이즈	보안 그룹 유지 관리 및 계정 만들기 등의 일상적인 디렉터리 유지 관리 업무를 담당합니다.
Change Approvals Board	엔터프라이즈	인프라의 변경 내용을 승인하는 데 필요한 비즈니스 및 기술 담당자입니다.

#### 인증서 서비스 역할을 보안 그룹에 매핑 아래 표는 이 솔루션을 위해 정의된 보안 그룹을 보여 주며 각 그룹의 기능 또는 사용 권한을 간단히 설명합니다. 오프라인 CA의 경우 로컬 보안 그룹만 있습니다. 이 경우 CA에 개별 로컬 계정을 만들어 이 계정으로 로컬 그룹 구성원을 만들어야 합니다. 이 구성이 조직의 보안 및 IT 정책을 지원하는 경우 개별 계정을 여러 혹은 심지어 모든 로컬 역할 그룹의 구성원으로 만듭니다. 온라인 CA의 경우 도메인 보안 그룹이 각 역할에 해당하는 권한을 적용하는 데 사용됩니다. 도메인 계정은 역할 그룹을 채우는 데 사용됩니다. 마찬가지로 이 구성이 조직의 보안 및 IT 정책을 지원하는 경우 단일 계정을 여러 역할 그룹의 구성원으로 만듭니다. **표 11.7. 인증서 서비스 역할을 보안 그룹에 매핑**

역할 이름	도메인 보안 그룹(온라인 CA)	로컬 보안 그룹(오프라인 CA)	권한
Enterprise PKI Administrator	Enterprise PKI Admins	–	Active Directory 공용 키 서비스 컨테이너를 제어합니다. 따라서 템플릿, 트러스트 게시 및 기타 엔터프라이즈(포리스트) 차원의 구성 요소를 제어합니다.
Enterprise PKI Publisher	Enterprise PKI Publisher	–	신뢰할 수 있는 루트 인증서, 하위 CA 인증서 및 CRL을 디렉터리에 게시합니다.
CA Administrator	CA Admins	CA Admins(루트 CA만 해당)	CA에 대한 "CA 관리" 권한을 가집니다. CA에 대한 역할 할당을 제어합니다. CA 속성을 변경할 수 있는 권한도 가집니다. 역할을 분리하는 경우를 제외하고 CA 서버의 로컬 관리자와 결합하기도 합니다.
관리자		관리자	CA 서버의 로컬 관리자입니다.
CA Auditor	CA Auditor	CA Auditor(루트 CA만 해당) Administrator	CA에 대한 "보안 및 감사 로그 관리" 사용자 권한을 가집니다. CA에 대한 로컬 관리자 그룹의 구성원이기도 합니다(감사 로그 액세스에 필요).
인증서 관리자	인증서 관리자	인증서 관리자 (루트 CA만 해당)	CA의 "인증서 발급 및 관리" 권한이 있습니다. 각 CA에 여러 인증서 관리자를 설치할 수 있고 각각은 일부 사용자 또는 기타 최종 엔터티의 인증서를 관리합니다.
등록 기관	–	–	승인에 앞서 인증서 요청에 서명하는 데 필요한 인증서와 키를 보관합니다.
키 복구 에이전트	–	–	인증서 데이터베이스에 보관된 개인 키의 해독에 필요한 인증서와 키를 보관합니다.
CA Backup Operator	CA Backup Operator	CA Backup Operator(루트 CA만 해당)	CA 서버에 대한 "백업 및 복원" 권한을 가집니다.

[](#mainsection)[페이지 위쪽](#mainsection) ### 운영 사분면 작업 이 절에서는 MOF 운영 사분면과 관련된 유지 관리 작업에 대해 보다 자세한 정보를 제공합니다. MOF 운영 사분면에는 미리 결정된 서비스 수준을 달성 및 유지 관리하기 위해 서비스 솔루션에 정기적으로 적용해야 하는 IT 운영 표준, 프로세스 및 절차가 포함됩니다. 운영 사분면의 목표는 일상적인 수동 및 자동 작업 모두를 예측하기 쉽게 실행하는 것입니다. 운영 사분면에는 다음 SMF가 있습니다. - 디렉터리 서비스 관리 - 보안 관리 - 저장소 관리 - 서비스 모니터링 및 제어 - 작업 예약 나머지 SMF에 속하는 작업이 없습니다. - 시스템 관리 - 네트워크 관리 - 인쇄 및 출력 관리 **참고:** 각 작업 설명에는 보안 요구 사항, 빈도 및 기술 요구 사항이라는 요약 정보가 들어 있습니다. #### 디렉터리 서비스 관리 디렉터리 서비스를 통해 사용자와 응용 프로그램은 네트워크에서 사용자, 서버, 응용 프로그램, 도구, 서비스 및 기타 정보와 같은 네트워크 리소스를 찾을 수 있습니다. 디렉터리 서비스 관리는 엔터프라이즈 디렉터리에 대한 일상적인 작업, 유지 관리 및 지원 업무를 처리합니다. 디렉터리 서비스 관리의 목표는 권한이 있는 요청자라면 누구든지 단순하며 잘 구성된 프로세스를 사용하여 네트워크를 통해 정보에 액세스할 수 있도록 하는 데 있습니다. ##### 인증서 서비스 관리를 위한 도메인 OU 구조 준비 이 작업의 목적은 인증서 서비스 보안 그룹과 사용자 계정을 관리하는 데 적합한 OU 구조를 만드는 데 있습니다. ###### 요약 정보 - **보안 요구 사항**: Active Directory의 지정된 부분에 OU를 만들 수 있는 권한을 가진 계정 - **빈도**: 설치 작업 - **기술 요구 사항**: Active Directory 사용자 및 컴퓨터 MMC 스냅인 ###### 작업 정보 이 작업은 사용자가 기존에 사용하던 OU 구조와 현재 관리 정책 및 절차에 주로 의존하기 때문에 정해진 지침을 따를 필요는 없습니다. 다음 표에서는 이 설명서에서 만들고 설명하는 보안 그룹을 구성하는 데 사용할 수 있는 간단한 OU 하위 트리의 예를 보여 줍니다. **표 11.8. OU 구조 내의 보안 그룹의 위치**

OU	그룹	목적
인증서 서비스
인증서 서비스 관리	Enterprise PKI Admins Enterprise PKI Publishers CA Admins CA Auditor 인증서 관리자 CA Backup Operator	CA와 엔터프라이즈 PKI 구성을 관리하는 관리 그룹이 있습니다.
인증서 템플릿 관리	예제: 사용자 템플렛 관리 스마트 카드 로그온 템플릿 관리	동일한 이름의 템플릿에 대한모든 권한을 부여 받은 그룹을 포함합니다. 템플릿 유형별로제어를 위임할 수 있습니다.
인증서 템플릿 등록	예제: 사용자 인증서 등록 사용자 인증서 자동 등록 전자 메일 서명 인증서 등록	동일한 이름의 템플릿에 대해 등록 또는 자동 등록 권한을 부여 받은 그룹을 포함합니다. 그룹에 대한 제어를 적절한 사람에게 위임하여 템플릿 자체는 건드리지 않고 유연하게 등록할 수 있습니다.

##### 인증서 템플릿 관리 그룹 만들기 템플릿 관리 그룹을 사용하면 템플릿과 템플릿 설정에 대한 제어를 여러 관리자에게 간편하게 위임할 수 있습니다. Enterprise Administrator와 Enterprise PKI Admins만 템플릿 수정 권한이 있습니다. IT 조직의 규모가 크지 않다면 세분화하여 위임할 필요가 없을 수도 있습니다. 이 경우 Enterprise Admins(기본 제공 그룹)와 Enterprise PKI Admins(이 솔루션의 일부로 만들어진 그룹)의 구성원만 인증서 템플릿을 관리할 수 있게 됩니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - Active Directory 사용자 및 컴퓨터 MMC 스냅인 - 인증서 템플릿 MMC 스냅인 **주의**: 이 기능을 사용할 때는 세심한 주의를 기울이십시오. 템플릿 유형에 대한 제어를 위임하는 것은 위임하는 사람을 완전히 신뢰한다는 것을 의미합니다. 쓰기 권한을 가진 사용자는 템플릿의 모든 매개 변수를 변경하여 원하는 인증서 형식을 만들 수 있습니다. 따라서 이러한 템플릿은 별도로 만들어 인증서 형식에 대한 제어는 Enterprise PKI Admins 그룹 내에서만 제어하도록 하는 것이 좋습니다. ###### 작업 정보 사용자 환경에서 만들거나 사용하려고 하는 각 인증서 템플릿에 대해 다음 절차를 수행합니다. **인증서 템플릿 관리 그룹을 만들려면 다음을 수행합니다.** 1. Enterprise PKI Admins의 구성원으로 로그온합니다. 2. 인증서 템플릿 관리 OU에서 **Manage** ***CertTemplateName*Template**(여기에서 *CertTemplateName*은 관리할 인증서 템플릿의 이름임)이라는 도메인 글로벌 보안 그룹을 만듭니다. 3. **인증서 템플릿** 스냅인을 MMC로 로드합니다. 4. 필요한 템플릿의 속성을 열고 **보안** 탭을 클릭합니다. 5. Manage *CertTemplateName* Template 그룹을 추가하고 **쓰기** 권한을 부여합니다. ##### 인증서 템플릿 등록 그룹 만들기 템플릿 등록 그룹으로 주어진 인증서 형식에 등록할 수 있는 사용자 또는 자동 등록되는 사용자를 관리하기가 쉽습니다. 사용자 또는 컴퓨터를 보안 그룹에 간단히 추가하거나 제거할 수 있습니다. 또한 이러한 그룹의 구성원에 대한 제어를 인증서 템플릿 속성을 직접 편집할 권한이 없는 관리자에게 부여할 수도 있습니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - Active Directory 사용자 및 컴퓨터 MMC 스냅인 - 인증서 템플릿 MMC 스냅인 ###### 작업 정보 각 인증서 템플릿 종류에 대해 등록 그룹을 만들거나 인증서 승인이 자동적으로 수행되는 모든 인증서 템플릿 종류에 대해서만 등록 그룹을 만듭니다. (특정 인증서 형식에 대해 복잡한 등록 또는 수동 등록 프로세스를 사용하는 경우 템플릿 등록 그룹을 사용하는 것은 도움이 되지 않습니다.) 자동 등록이 인증서 형식에 맞지 않는 경우 인증서를 자동 등록할 수 있는 사용자 및 장치를 관리하는 별도의 그룹을 만들 수 있습니다. **인증서 템플릿 등록 그룹을 만들려면 다음을 수행합니다.** 1. Enterprise PKI Admins의 구성원으로 로그온한 다음 Microsoft Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 2. 인증서 템플릿 등록 OU에서 다음 이름의 도메인 글로벌 보안 그룹을 만듭니다. - **등록*CertTemplateName*인증서** - **Autoenroll** ***CertTemplateName*** **Certificate**(필요한 경우) 3. 인증서 템플릿 스냅인을 MMC로 로드합니다. 4. 템플릿의 속성을 열고 보안을 편집합니다. 5. Enroll *CertTemplateName* Certificate 그룹을 추가한 다음 **읽기**와 **등록** 권한을 부여합니다. 6. Autoenroll *CertTemplateName* Certificate 그룹을 추가한 다음 **읽기**, **등록**, **자동 등록** 권한을 부여합니다. **참고**: 옵션으로 이러한 보안 그룹에 대한 제어 권한을 위임하여 인증서 응용 프로그램 소유자가 이 형식의 인증서에 등록할 수 있는 사람과 그렇지 않은 사람을 지정하도록 합니다. ##### 사용자 또는 컴퓨터에 대해 인증서 종류 등록(또는 자동 등록) 사용 이 작업은 등록 그룹을 사용하여 수동 등록을 허용하거나, 사용자, 컴퓨터 또는 사용자 및/또는 컴퓨터가 들어 있는 보안 그룹에 대한 인증서 형식의 자동 등록을 시작합니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 등록 그룹에 대한 구성원 권한을 수정합니다. - **빈도**: 필요한 경우 - **기술 요구 사항**: Active Directory 사용자 및 컴퓨터 MMC 스냅인 **참고:** 자동 등록은 대상 사용자 또는 컴퓨터의 도메인 정책에서도 활성화해야 합니다. 자세한 내용은 6장 "공용 키 구조 구현"의 그룹 정책에서 자동 등록 구성 절을 참조하십시오. ###### 작업 정보 **사용자 또는 컴퓨터에 대한 등록 또는 자동 등록을 활성화하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터에서 등록할 인증서 종류에 해당하는 Certificate Template Enrollment 보안 그룹(인증서를 자동 등록하려는 경우 AutoEnrollment 그룹)을 찾습니다. 이 그룹에 대해 **구성원 수정** 권한이 있는 사용자로 로그온해야 합니다. 2. 선택한 템플릿 보안 그룹에 사용자, 컴퓨터 또는 보안 그룹을 추가합니다. ##### 사용자 또는 컴퓨터에 대해 인증서 종류 등록(또는 자동 등록) 사용 안 함 일반적으로 사용자 또는 컴퓨터에 인증서를 발급하면 인증서 소유자 기능 일부를 활성화합니다. 나중에 이 기능을 취소해야 합니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 등록 그룹의 구성원 수정 권한 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Active Directory 사용자 및 컴퓨터 MMC 스냅인 - 인증 기관 MMC 스냅인 ###### 작업 정보 **사용자 또는 컴퓨터에 대한 등록 또는 자동 등록을 비활성화하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터에서 비활성화할 인증서 종류에 해당하는 Certificate Template Enrollment(또는 Autoenrollment) 보안 그룹을 찾습니다. 이 그룹에 대해 **구성원수정** 권한이 있는 사용자로 로그온해야 합니다. 2. 템플릿 보안 그룹에서 사용자, 컴퓨터 또는 보안 그룹을 제거합니다. **참고**: 비활성화할 각 인증서 사용자에 대해 사용자의 인증서도 해지해야 합니다. 3. 인증서 관리자의 구성원으로 로그온한 다음 인증 기관 MMC의 CA 데이터베이스에서 사용자의 기존 인증서를 찾습니다. 인증서를 찾으려면 CA의 발급된 인증서 폴더에서 **보기** 메뉴를 클릭하고 **필터** 옵션을 클릭합니다. 4. 인증서를 클릭한 다음 **작업** 메뉴에서 **해지**를 클릭합니다. 5. 해지에 대한 적절한 이유 코드를 선택합니다. 해지 이유가 미리 정의된 이유 코드에 해당하지 않으면 **지정되지 않음**을 선택합니다. **중요**: 이유로 **인증서 대기**를 선택한 경우에만 나중에 인증서를 복구할 수 있습니다. 나머지 해지 이유에 대해서는 인증서가 영구히 비활성화됩니다. 하지만 인증서를 복구할 가능성이 조금이라도 있으면 **인증서 보류**를 사용하지 마십시오. 일시적으로 인증서를 중단시키려는 경우에만 이 코드를 사용하십시오. #### 보안 관리 보안 관리는 안전한 컴퓨팅 환경을 유지 관리하는 업무를 담당합니다. 보안은 조직 인프라의 중요한 부분입니다. 보안 기반이 약한 정보 시스템은 결국 보안 침해가 발생합니다. ##### 대기 중인 요청 확인 인증서 요청은 언제든지 발급하는 CA에 게시될 수 있습니다. 대부분의 인증서는 Active Directory를 RA(등록 기관)로 사용하거나 지정된 RA의 미리 정의된 서명 집합을 사용하여 자동으로 발급됩니다. 인증서 관리자의 수동 승인이 필요한 인증서 종류를 설치한 경우에는 승인을 받거나 거부될 때까지 요청이 대기열에 놓입니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 관리자 - **빈도**: 매일 - **기술 요구 사항**: 인증 기관 MMC 스냅인 ###### 작업 정보 매일 요청 폴더에서 대기 중인 요청을 확인합니다. 인증서를 발급하기 전에 요청을 주의 깊게 확인하여 요청자와 요청의 내용을 확인합니다. 예상했던 주체 이름, 대체 주체 이름, 키 용도, 정책 및 확장이 요청에 포함되어 있는지 확인합니다. 하나라도 의심스러운 것이 있으면 요청을 승인하지 말아야 합니다. 또한 대기 중인 요청이 도착했음을 알리는 것을 포함하여 여러 이벤트에 전자 메일 경고를 보내도록 CA를 설정합니다. "대기 중인 인증서 요청에 대한 SMTP 경고 설정" 절차를 참조하십시오. **대기 중인 요청을 확인하려면 다음을 수행합니다.** 1. 인증서 관리자 구성원으로 발급하는 CA에 로그온합니다. (CA에 인증 기관 MMC로 돌아와 이 작업을 원격으로 수행할 수도 있습니다.) 2. 인증 기관 MMC를 열고 **요청** 폴더를 엽니다. 3. 폴더의 요청에 대한 세부 정보를 보려면 요청을 마우스 오른쪽 단추로 클릭하고 **보기** 하위 메뉴에서 **특성/확장 보기**를 클릭합니다. **참고**: **특성** 탭에는 요청의 일부로 받은 요청 특성±이 표시되고 **확장** 탭에는 인증서에 사용될 인증서 확장이 표시됩니다. 각 확장 항목에는 확장이 제공된 이유가 확장이 요청에 포함되었기 때문인지 아니면 확장이 서버에서 제공한 값이기 때문인지 또는 확장이 CA 정책 모듈에 정의되어 있기 때문인지 여부가 표시됩니다. (마지막의 경우 대개 확장이 인증서 템플릿에 정의되어 있음을 나타냅니다.) 조직의 정책에 따라 요청에 관한 다른 정보를 받을 수도 있습니다. 이 정보는 사람을 통해 직접, 전화, 전자 메일 또는 기타 방법으로 받습니다. 4. 요청이 올바르다는 것을 확신하면 요청을 마우스 오른쪽 단추로 클릭한 다음 **작업** 하위 메뉴에서 **발급**을 클릭하여 승인합니다. 확신할 수 없는 경우에는 위와 동일한 메뉴에서 **거부**를 클릭하여 요청을 거부할 수 있습니다. ##### 루트 CA 인증서 갱신 CA 인증서를 정기적으로 갱신하여 하위 CA와 최종 엔터티가 이 CA를 통해 인증서를 등록할 수 있도록 해야 합니다. 이 CA 및 하위 CA가 발급한 인증서의 만료 날짜는 이 CA 인증서의 만료 날짜보다 이후 날짜가 될 수 없습니다. CA 인증서를 갱신하는 그 밖의 이유는 다음과 같습니다. - CA에서 사용하는 키가 실제로 손상되었거나 손상이 의심되는 경우 해당 키를 변경하기 위해 - 인증서 정책을 CA에 추가하기 위해(정규 종속) - CDP 또는 AIA(기관 정보 액세스) 경로를 변경하기 위해 - CRL(인증서 해지 목록)을 분할하기 위해 갱신할 *때마다* CA 키를 변경하는 것이 좋습니다. 같은 키를 사용하여 갱신하려면 "같은 키를 사용하여 루트 CA 인증서 갱신" 절차를 참조하십시오. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 8년마다 - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 - 인증 기관 MMC 스냅인 - 텍스트 편집기 **주의**: 루트 CA 인증서를 갱신하는 것은 매우 중요한 이벤트입니다. 응용 프로그램 소유자가 새 루트를 응용 프로그램에 구성해야 하는 경우에는 관련 응용 프로그램 소유자에게 새 루트 인증서에 대해 알려 주어야 합니다. ###### 작업 정보 **루트 CA 인증서를 갱신하려면 다음을 수행합니다.** 1. 로컬 Administrators 그룹의 구성원으로 루트 CA에 로그온합니다. 2. 키 크기를 변경하려는 경우 %systemroot% 디렉터리에 저장된 CAPolicy.inf 파일을 편집해야 합니다. RenewalKeyLength의 값을 원하는 비트 크기로 변경합니다. 키 크기는 CA가 사용하는 CSP(Crypto Service Provider)에서 지원하는 값이어야 합니다. 다음 예에서 이 값은 2048입니다. ``` \[Certsrv\_Server\] RenewalKeyLength=2048 ``` **참고**: CA 인증서의 유효 기간이나 인증서 정책을 변경해야 할 경우에는 이 절차를 시작하기 전에 CAPolicy.inf(%systemroot%에 있음) 파일에도 이를 지정해야 합니다. 3. 인증 기관 MMC 스냅인을 엽니다. CA 개체의 **작업** 메뉴에서 **CA 인증서 갱신**을 클릭합니다. 인증서를 갱신하려면 CA를 중단해야 한다는 내용의 인증서 서비스 경고가 나타납니다. 4. **새 키** 옵션을 선택합니다. 인증서 서비스가 다시 시작됩니다. 5. CA 속성에서 인증서를 보고 최신 CA 인증서의 **유효 기간(시작)** 날짜가 현재 날짜인지 확인합니다. 6. CRL을 발급하고 다음 스크립트 명령을 사용하여 CRL과 새 CA 인증서를 디스크에 복사합니다. Cscript //job:getcacerts c:\\MSSScripts\\ca\_operations.wsf Cscript //job:getcrls c:\\MSSScripts\\ca\_operations.wsf 7. 발급하는 CA로 디스크를 가져갑니다. (certutil.exe 및 설치된 솔루션과 함께 제공되는 스크립트가 있는 도메인 구성원은 어떤 것이든 사용할 수 있습니다. 발급하는 CA일 필요는 없습니다.) 8. Enterprise PKI Admins 그룹의 구성원으로 로그온한 후 다음 스크립트를 실행합니다. Cscript //job: PublishCertstoAD c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishCRLstoAD c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishRootCertstoIIS c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishRootCRLstoIIS c:\\MSSScripts\\ca\_operations.wsf **참고:** 모든 하위 CA를 동시에 갱신하는 것이 좋습니다. 하지만 반드시 그럴 필요는 없습니다. ("발급하는 CA 인증서 갱신"을 참조하십시오.) 9. 루트 CA의 인증서와 키를 백업합니다. ("CA 키 및 인증서 백업"을 참조하십시오.) 10. 루트 CA의 인증서 데이터베이스와 시스템 상태를 백업합니다. ("루트 CA 데이터베이스 백업"을 참조하십시오.) ##### 발급하는 CA 인증서 갱신 최종 엔터티(및 하위 CA)가 이 CA에 인증서를 계속 등록하려면 CA 인증서를 정기적으로 갱신해야 합니다. 이 CA에서 발급한 인증서의 만료 날짜는 이 CA 인증서의 만료 날짜보다 나중이 될 수 없습니다. CA 인증서를 갱신하는 그 밖의 이유는 다음과 같습니다. - CA에서 사용하는 키를 변경하기 위해(실제로 손상되었거나 손상이 의심되는 경우). - 인증서 정책을 CA에 추가하기 위해(정규 종속) - CDP나 AIA 경로를 변경하기 위해 - CRL을 분할하기 위해 갱신할 *때마다* CA 키를 변경하는 것이 좋습니다. 같은 키를 사용하여 갱신하려면 "같은 키를 사용하여 발급하는 CA 인증서 갱신" 절차를 참조하십시오. ###### 요약 정보 - **보안 요구 사항**: - 발급하는 CA의 로컬 관리자 - 루트 CA의 인증서 관리자 - Enterprise PKI Admins - **빈도**: 4년마다 - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 - 인증 기관 MMC 스냅인 - 텍스트 편집기 **중요**: CA 인증서를 갱신한 후 Active Directory NTAuth 저장소(CA를 엔터프라이즈 CA로 식별)에 게시하려면 Enterprise PKI Admins의 *구성원이면서 동시에* 로컬 Administrators 그룹의 구성원인 계정을 사용하여 CA 인증서 설치를 수행해야 합니다. Enterprise PKI Admins 그룹은 인증서를 디렉터리에 게시할 수 있는 권한을 가지고 있고, 로컬 Administrators 그룹은 CA 인증서를 CA에 설치할 수 있는 권한을 가지고 있습니다. ###### 작업 정보 **발급하는 CA 인증서를 갱신하려면 다음을 수행합니다.** 1. 발급하는 CA에 로컬 관리자 그룹의 구성원으로 로그온합니다. 2. 키 크기를 변경하려는 경우 %systemroot% 디렉터리에 저장된 CAPolicy.inf 파일을 편집해야 합니다. RenewalKeyLength 값을 필요한 비트 크기로 변경합니다(키 크기는 CA가 사용하는 CSP에서 지원해야 함). ``` \[Certsrv\_Server\] RenewalKeyLength=2048 ``` **중요**: CA 인증서의 유효 기간이나 인증서 정책을 변경해야 할 경우 이 절차를 시작하기 전에 %systemroot%의 CAPolicy.inf 파일에서도 이를 지정해야 합니다. 3. 인증 기관 MMC 스냅인을 열고 CA 개체의 **작업** 메뉴에서 **CA 인증서 갱신**을 클릭합니다. 4. **새 키** 옵션을 선택합니다. 5. 갱신 요청을 보낼 CA를 확인하는 메시지가 나타나면 **취소**를 클릭하여 요청 파일을 디스크에 저장합니다. 인증서 서비스가 다시 시작됩니다. 6. 인증서 요청 파일을 디스크에 복사합니다. 인증서 요청이 생성되고 공유 폴더 경로(C:\\CAConfig)에 저장됩니다. 이 *HQ&\#150;CA&\#150;02.woodgrovebank.com\_Woodgrove Bank Issuing CA 1*.req 파일을 디스크에 저장합니다. (기울임꼴로 표시된 텍스트는 사용자의 CA 정보로 바뀝니다.) 7. 디스크를 루트 CA로 가져가서 로컬 인증서 관리자 그룹의 구성원으로 로그온합니다. 8. 인증 기관 MMC 스냅인의 CA **작업** 메뉴에서 **새 요청 제출**을 클릭한 다음 하위 CA 요청 디스크의 발급하는 CA에서 전송된 요청을 제출합니다. 9. 루트 CA에서는 모든 요청을 수동으로 승인해야 합니다. **대기 중인 요청** 컨테이너에서 요청을 찾고 **일반 이름** 필드에 발급하는 CA의 이름이 들어 있는지 확인한 다음 요청을 승인(발급)합니다. 10. **발급된 인증서** 컨테이너에서 새로 발급된 인증서를 찾아서 엽니다. 11. 인증서 세부 정보가 정확한지 확인한 다음 **파일에 복사**를 클릭하여 인증서를 파일에 내보냅니다. PKCS\#7 파일로 디스크에 저장합니다(발급하는 CA에 다시 전송하기 위해). 12. Enterprise PKI Admins *및* 로컬 관리자 그룹 *모두*의 구성원인 계정을 사용하여 발급하는 CA에 다시 로그온합니다. 디스크를 삽입합니다. 13. 인증 기관 MMC 스냅인의 CA **작업** 메뉴에서 **인증서 설치**를 클릭합니다. 디스크에서 발급하는 CA 인증서를 설치합니다. CA가 다시 시작됩니다. 14. CA 속성에서 인증서를 보고 최신 CA 인증서의 **유효 기간(시작)** 날짜가 현재 날짜인지 확인합니다. 15. 새 CA 인증서를 CDP 웹 게시 위치에 게시합니다. ("웹 서버에 발급하는 CA 인증서 게시" 절차를 참조하십시오.) 16. 발급하는 CA의 인증서와 키를 백업합니다. ("CA 키 및 인증서 백업" 절차를 참조하십시오.) 17. 루트 CA의 인증서 데이터베이스와 시스템 상태를 백업합니다. ("루트 CA 데이터베이스 백업" 절차를 참조하십시오.) 18. 발급하는 CA의 인증서 데이터베이스와 시스템 상태를 백업합니다. ("발급하는 CA 데이터베이스 백업 구성" 절차를 참조하십시오.) 이 백업은 정상적인 일일 백업 중 어떤 식으로든 수행되어야 합니다. ##### 같은 키를 사용하여 루트 CA 인증서 갱신 예약된 CA 인증서가 갱신될 *때마다* 루트 CA의 키를 변경합니다("루트 CA 인증서 갱신" 절차 참조). 그러나 CA 정책을 변경하거나 키 쌍은 그대로 유지하면서 인증서 수명을 연장하는 경우는 CA 키를 갱신하지 않고 CA 인증서만 갱신합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 - 텍스트 편집기 ###### 작업 정보 **CA 키를 변경하지 않고 루트 CA 인증서를 갱신하려면 다음을 수행합니다.** - 새 키를 사용하여 갱신할지 묻는 메시지가 나타날 때 **아니요**를 클릭한 경우를 제외하고 "루트 CA 인증서 갱신" 절차를 따릅니다. CAPolicy.inf 파일의 RenewalKeyLength 값을 변경해도 아무런 영향을 주지 않습니다. 새 키 생성을 묻는 메시지에 **아니요**를 클릭한 경우를 제외하고 절차는 "루트 CA 인증서 갱신"과 동일합니다. **주의**: 루트 CA 인증서를 갱신하는 것은 매우 중요한 이벤트입니다. 응용 프로그램 소유자가 새 루트를 응용 프로그램에 구성해야 하는 경우에는 관련 응용 프로그램 소유자에게 새 루트 인증서에 대해 알려 주어야 합니다. ##### 같은 키를 사용하여 발급하는 CA 인증서 갱신 예약된 CA 인증서 갱신 *때마다* CA의 키를 변경해야 합니다. ("발급하는 CA 인증서 갱신"을 참조하십시오.) 그러나 CA 정책을 변경하거나 키 쌍은 그대로 유지하면서 인증서 수명을 연장하는 경우 CA 키를 갱신하지 않고 CA 인증서만 갱신합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 - 인증 기관 MMC 스냅인 - 텍스트 편집기 ###### 작업 정보 **CA 키를 변경하지 않고 발급하는 CA 인증서를 갱신하려면 다음을 수행합니다.** - 새 키를 사용하여 갱신할지 묻는 메시지가 나타날 때 **아니요**를 클릭한 경우를 제외하고 루트 CA 인증서 갱신 절차를 따릅니다. CAPolicy.inf 파일의 RenewalKeyLength 값을 변경해도 아무런 영향을 주지 않습니다. 새 키 생성을 묻는 메시지에 **아니요**를 클릭한 경우를 제외하고 절차는 "발급하는 CA 인증서 갱신" 절차와 동일합니다. ##### 오프라인 CRL 및 CA 인증서 게시 인증서 사용자가 전체 CA 체인의 해지 상태를 확인할 수 있도록 오프라인 CA의 CRL(인증서 해지 목록)을 온라인 위치에 게시해야 합니다. ###### 요약 정보 - **보안 요구 사항**: - CA의 로컬 Administrators - Enterprise PKI Publishers - **빈도**: 6개월마다 또는 필요한 경우 - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 ###### 작업 정보 **오프라인 루트 CRL을 Active Directory와 웹 URL에 게시하려면 다음을 수행합니다.** 1. 루트 CA에 CA Admins 그룹의 구성원으로 로그온합니다. 2. CRL을 발급하고 다음 스크립트 명령을 사용하여 CRL과 새 CA 인증서를 디스크에 복사합니다. Cscript //job:getcacerts c:\\MSSScripts\\ca\_operations.wsf Cscript //job:getcrls c:\\MSSScripts\\ca\_operations.wsf 3. 발급하는 CA로 디스크를 가져갑니다. (서버는 발급하는 CA일 필요가 없습니다. certutil.exe 및 MSS 스크립트가 설치된 도메인 구성원이기만 하면 됩니다.) 4. Enterprise PKI Publisher 구성원으로 로그온한 후 다음 스크립트를 실행합니다. Cscript //job: PublishCertstoAD c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishCRLstoAD c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishRootCertstoIIS c:\\MSSScripts\\ca\_operations.wsf Cscript //job: PublishRootCRLstoIIS c:\\MSSScripts\\ca\_operations.wsf ##### 온라인 CRL 강제 발급 온라인 엔터프라이즈 CA의 CRL은 자동으로 발급되고 게시되므로 일반적인 경우에는 온라인 CRL을 강제로 발급할 필요가 없습니다. 하지만 중요한 해지(예: CA가 발급한 모든 인증서 해지)가 일어나면 온라인 CRL을 강제로 발급해야 하고 최대한 빠른 시일 내에 새 CRL을 게시해야 합니다. **참고**: 클라이언트로 CRL을 강제로 전달할 수 없습니다. 복사본이 만료될 때까지 캐시된 기존 사본이 그대로 유지되기 때문입니다. 하지만 전파 지연만 아니면 새 CRL이 게시된 순간부터 CRL을 요청한 클라이언트는 새 CRL을 받습니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증 기관 MMC 스냅인 ###### 작업 정보 **오프라인 CA CRL을 발급하여 Active Directory에 게시하려면 다음을 수행합니다.** 1. CA Admins의 구성원으로 CA에 로그온한 다음 인증 기관 MMC 스냅인을 로드합니다. 2. **게시**를 클릭하여 해지된 인증서 폴더의 **작업** 메뉴에서 새 CRL을 발급합니다. 3. **새 CRL**을 선택하여 기준 CRL을 발급하고 **새 델타 CRL에 대해서만델타 CRL**을 발급합니다. ##### 웹 서버에 발급하는 CA 인증서 게시 발급하는 CA 인증서를 HTTP(Hypertext Transfer Protocol) AIA 위치에 게시해야 합니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Publishers - **빈도**: 필요한 경우 - **기술 요구 사항**: - MSS 스크립트 - Certutil.exe ###### 작업 정보 웹 서버 폴더에 직접 게시할 수 있도록 CA를 구성하는 것이 기술적으로는 가능합니다. 그러나 이것은 보안 및 네트워크 연결상의 이유로 인해 언제나 효과가 있는 것은 아닙니다. 다음에 소개할 방법은 간단한 파일 복사 기술을 사용하지만 대부분의 구성에 맞게 확장할 수 있습니다. **참고:** 이 방법은 네트워크에 직접 연결되어 있어야 하고 서버 메시지 블록(SMB) 파일 공유를 사용해야 하는데 이는 보통 방화벽에서 차단당하기 때문에 인터넷 연결 웹 서버에 직접 게시하는 데는 적합하지 않습니다. 인터넷 서버에 게시하려면 다음 방법을 사용하여 임시 위치에 게시한 다음 콘텐츠를 웹 서버에 안전하게 게시하는 표준 방법을 사용합니다. 이 방법의 경우 대기 시간이 늘어나는 것을 고려해야 합니다. CA 인증서는 자주 업데이트되지 않으므로 CA 인증서가 갱신될 때마다 AIA에 수동으로 게시합니다. **발급하는 CA의 인증서를 게시하려면 다음을 수행합니다.** 1. 게시된 웹 서버 폴더에 대한 쓰기 권한을 가진 계정으로 발급하는 CA에 로그온합니다. 2. 웹 서버가 원격 서버에 있으면 웹 서버 폴더를 공유 폴더로 만듭니다. 공유 폴더에 대한 UNC(범용 명명 규칙) 경로를 기록합니다. 3. 웹 서버가 CA와 동일한 서버에 있으면 해당 폴더의 로컬 경로를 기록합니다. 4. C:\\MSSScripts\\PKIParams.vbs의 WWW\_REMOTE\_PUB\_PATH 매개 변수를 웹 서버 폴더의 대상 경로(기본값은 로컬 경로 C:\\CAWWWPub)와 일치하도록 업데이트합니다. 5. 다음 명령을 실행하여 CA 인증서를 웹 서버에 게시합니다. Cscript //job:PublishIssCertsToIIS C:\\MSSScripts\\CA\_Operations.wsf ##### 웹 서버에 발급하는 CA CRL 게시 발급하는 CA CRL을 HTTP CDP(CRL 배포 지점) 위치에 게시해야 합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: - MSS 스크립트 - Certutil.exe - Windows 작업 스케줄러 서비스 - SchTasks.exe ###### 작업 정보 웹 서버 폴더에 직접 게시할 수 있도록 CA를 구성하는 것이 기술적으로는 가능합니다. 그러나 이것은 보안 및 네트워크 연결상의 이유로 인해 언제나 효과가 있는 것은 아닙니다. 다음에 소개할 방법은 간단한 파일 복사 기술을 사용하지만 대부분의 구성에 맞게 확장할 수 있습니다. **참고:** 이 방법은 네트워크에 직접 연결되어 있어야 하고 서버 메시지 블록(SMB) 파일 공유를 사용해야 하는데 이는 보통 방화벽에서 차단당하기 때문에 인터넷 연결 웹 서버에 직접 게시하는 데는 적합하지 않습니다. 인터넷 서버에 게시하려면 다음 방법을 사용하여 임시 위치에 게시한 다음 콘텐츠를 웹 서버에 안전하게 게시하는 표준 방법을 사용합니다. 이 방법을 사용하면 대기 시간이 늘어나 CRL 최신 상태 유지에 영향을 줄 수 있다는 점을 고려해야 합니다. 발급하는 CA는 CRL을 자주 발급합니다(델타 CRL의 경우 매일 또는 매시간). 따라서 웹 서버에 CRL을 자동으로 복제하는 방법이 필요합니다. **CRL 게시를 자동화하려면 다음을 수행합니다.** 1. 로컬 Administrators의 구성원인 계정을 사용하여 발급 CA에 로그온합니다. 2. 이 서버에서 원격 공유 또는 로컬 경로로 웹 서버 폴더에 액세스할 수 있는지 확인합니다. 3. 웹 서버가 원격 서버이면 발급하는 CA 컴퓨터 계정에 파일 시스템 폴더(**수정** 권한)와 게시된 웹 서버 폴더에 해당하는 공유(**변경** 권한)에 대한 쓰기 권한을 부여합니다. 웹 서버가 포리스트의 구성원이면 Cert Publishers 그룹을 사용하여 액세스 권한을 부여할 수 있습니다. 이렇게 하면 엔터프라이즈 CA가 인증서와 CRL을 이 폴더에 게시하는 데 필요한 권한을 갖게 됩니다. 웹 서버 사용 권한은 변경할 필요가 없습니다. (6장의 "AIA 및 CDP 게시를 위한 IIS 구성" 절을 참조하십시오.) 4. 다음 명령을 사용하여 CRL을 복사하는 예약된 작업을 만듭니다. schtasks /create /tn "Publish CRLs" /tr "cscript.exe //job:PublishIssCRLsToIIS \\"C:\\MSSScripts\\CA\_Operations.wsf\\"" /sc Hourly /ru "System" 이 명령은 두 줄 이상으로 표시됩니다. 한 줄로 입력하십시오.) **참고**: 이 절차는 CA에서 CRL을 웹 서버에 게시하는 매시간 예약된 작업을 만듭니다. 이 간격은 매일 또는 하루에 두 번 이루어지는 델타 CRL 게시 일정에도 충분합니다. CRL이 이보다 더 잦은 빈도로 예약된 경우 복사 작업을 더 자주 실행하십시오. 복사 작업 일정은 델타 CRL 일정의 5 – 10퍼센트 정도 되는 것이 좋습니다. #### 저장소 관리 저장소 관리는 데이터 복원과 기록 보관을 위해 온사이트 및 오프사이트 데이터 저장소를 취급합니다. 저장소 관리 팀은 백업 및 아카이브 데이터에 대해 물리적인 보안이 이루어지도록 해야 합니다. 저장소 관리의 목표는 프로덕션 IT 환경에서 데이터와 데이터 리소스를 정의, 추적 및 유지 관리하는 데 있습니다. ##### 발급하는 CA 데이터베이스 백업 구성 이 작업의 목표는 CA 개인 키와 인증서, 인증서 데이터베이스 및 인증서 서비스 구성 정보의 사본을 백업하는 것입니다. 인증서 서비스 구성 정보에는 운영 체제 구성 및 CA와 관련된 기타 상태 정보가 포함됩니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: - Windows 백업 - 조직 백업 시스템 - Windows 작업 스케줄러 서비스 - SchTasks.exe ###### 작업 정보 이 작업은 CA 서버에 대한 야간 시스템 상태 백업을 수행하는 예약된 작업을 구성합니다. 절차는 조직에 서버 백업 시스템이 있다고 가정합니다. 이 백업 절차는 조직의 백업 시스템이 백업할 수 있는 백업 파일을 출력합니다. 조직 백업은 네트워크화 백업이거나 로컬 장치 백업입니다. 또한 이 솔루션에서는 조직의 서버 백업 시스템이 CA 서버의 디스크 백업을 야간에 실행한다고 가정합니다. **참고**: HSM(Hardware Security Module)을 사용하는 경우 이 절차를 통해 암호화된 키 자료를 백업할 수는 있지만(HSM의 작동 방법에 따라 다름), 동일한 HSM과 HSM 선택키가 없으면 복원된 컴퓨터에서 백업을 사용할 수 없습니다. HSM 공급업체의 백업 지침을 따르거나 키 자료와 선택키를 안전하게 보관하십시오. **CA 백업을 구성하려면 다음을 수행합니다.** 1. 임시 백업 파일을 저장할 디렉터리(예: C:\\CABackup)를 만들고 다음 명령을 실행하여 디렉터리에 보안을 설정합니다. cacls c:\\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C 이 명령은 두 줄 이상으로 표시됩니다. 한 줄로 입력하십시오.) 2. 백업 파일을 저장할 다른 폴더를 선택하는 경우 pkiparams.vbs에서 관련 설정을 업데이트해야 합니다. 다음 줄에 표시된 경로를 적절히 변경합니다. ``` CONST SYSSTATE\_BACKUP\_PATH = "C:\\CABackup"   'path used by NTBackup ``` **참고**: 오프라인과 온라인 CA를 백업하는 데 동일한 스크립트 함수가 사용되므로 각 CA에 대해 서로 다른 경로를 사용하려는 경우에는 스크립트의 별도 복사본을 만들어야 합니다. 3. 다음 명령을 실행하여 백업 작업이 야간에 실행되도록 예약합니다. 이 명령은 작업이 오전 2시에 실행되도록 설정합니다. SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe //job:BackupCADatabase \\"C:\\MSSScripts\\ca\_operations.wsf\\"" /ST 02:00 이 명령은 두 줄 이상으로 표시됩니다. 한 줄로 입력하십시오.) **참고:** 스크립트 이름 "C:\\MSSScripts\\ca\_operations.wsf" 양쪽의 인용 부호 앞의 백슬래시(\\")는 이 스크립트의 파일 또는 경로 이름이 공백을 포함할 때만 필요합니다. 백슬래시는 스크립트 이름 및 경로가 여러 개로 분할되지 않고 schtasks 작업 명령줄의 단일 매개변수로 저장되도록 스크립트 이름 주위의 인용 부호를 "이스케이프"하는 데 사용합니다. 경로 이름에 공백이 없으면 생략할 수 있습니다. 4. 임시 백업 폴더(C:\\CABackup)의 내용을 이동식 미디어에 매일 밤 백업하도록 조직 서버의 백업 시스템을 구성합니다. 가능한 경우 실행 중에 백업 스크립트 파일에 의해 만들어진 잠금 파일(임시 백업 폴더에 저장되어 있는 BackupRunning.lck)을 확인하도록 전제 조건 스크립트를 설정합니다. 이 파일이 존재하면 이전 백업이 실패했거나 여전히 실행 중인 것입니다. 조직의 백업 시스템이 CA 백업 스크립트를 실행 전 작업으로 실행하도록 하는 방법도 있습니다. **참고:** 백업 스크립트 BackupCADatabase를 실행할 때마다 잠금 파일이 있는지 확인합니다. 잠금 파일이 있으면 스크립트는 다음 오류 이벤트를 응용 프로그램 로그에 기록합니다. 원본: CA Operations 이벤트 ID: 30 이벤트 유형: 오류 이전 작업의 잠금 파일 C:\\CABackup\\BackupRunning.lck가 있으므로 CA 백업을 시작할 수 없습니다. 이것은 이전 백업이 여전히 실행 중임을 의미할 수 있습니다. 회사 서버 백업 시스템에 미리 정의된 확인 작업을 수행하거나 스크립트를 실행하는 기능이 없으면 시스템 상태 백업이 시작된 후 적절한 때에 수행되도록 서버 백업을 예약합니다. 허용 시간을 추정하려면 인증서 서비스 서비스가 종료된 서버에서 시스템 상태 백업(**verify** 사용)을 실행합니다. (CA를 종료하면 이 테스트 백업의 CA 로그가 잘리는 것을 막을 수 있습니다.) 이 백업은 약 500MB의 시스템 상태 데이터를 백업합니다. 이 프로세스의 시간을 잰 다음 다음 공식을 사용하여 CA 데이터베이스와 시스템 상태 백업에 소요되는 대략의 시간을 계산합니다. Ttotal = TSysState x (500 + (Nusers x NCerts x 20KB x 2)) ÷ 500 이 공식은 사용자당, 컴퓨터당, 매년 인증서 5개를 5년 동안 데이터베이스에 저장한 다음 보관하는 것을 가정한 것입니다. 인증서당 20KB를 허용하면 계산 결과 사용자당 저장 공간은 1MB입니다. 시스템 상태만 백업하는 데 걸리는 시간이 10분이었다면 사용자가 3,000명인 CA는 70분 걸립니다. 이 계산은 대략적인 값일 뿐입니다. 다른 방법으로 계산하면 50,000개 인증서 각각에 1GB를 더 허용합니다. **참고:** 키 보관을 사용하는 경우 인증서의 키 보관 때문에 저장 공간이 더 많이 필요합니다. 이 인증서의 경우 인증서당 10KB를 더 허용합니다(CA에 키 복구 에이전트를 많이 구성해 놓은 경우에도 추가 저장 공간이 필요함). 5. 백업 미디어를 적절히 저장합니다. **경고**: 이 백업 데이터에는 CA 자체의 개인 키 자료가 포함되어 있으므로 데이터의 기밀을 유지하는 것이 매우 중요합니다. CA와 마찬가지로 보안에 각별히 주의하여 데이터를 전송하고 저장해야 합니다. 현장의 모든 컴퓨터 장비가 파괴되거나 사용할 수 없는 경우에 CA를 복구할 수 있도록 백업 데이터를 다른 장소에 보관합니다. ##### 루트 CA 데이터베이스 백업 구성 이 작업의 목표는 백업을 위해 CA 개인 키와 인증서, 인증서 데이터베이스 및 인증서 서비스 구성 정보를 준비하는 것입니다. 인증서 서비스 구성 정보에는 운영 체제 구성 및 CA와 관련된 기타 상태 정보가 포함됩니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: - Windows 백업 - 이동식 미디어(예: CD-RW 또는 테이프) ###### 작업 정보 루트 CA는 대개 소수의 인증서만 발급하므로 데이터 크기가 커지지 않습니다. 데이터는 몇 년에 한 번 정도로 드물게만 변경됩니다. 이 절차는 다른 오프라인 CA(예: 중간 CA를 사용하려는 경우 오프라인 중간 CA)에 대해서도 동일하게 적용됩니다. 루트 CA는 오프라인에 있으므로 백업 파일을 저장할 로컬 백업 장치(예: 테이프 드라이브 또는 쓰기 가능한 CA)가 필요합니다. **주의**: HSM을 사용하는 경우 이 절차를 통해 암호화된 키 자료를 백업할 수는 있지만(HSM의 작동 방법에 따라), 동일한 HSM과 HSM 선택키가 없으면 백업한 키 자료를 복원된 컴퓨터에서 사용할 수 없습니다. HSM 공급업체의 백업 지침을 따르거나 키 자료와 선택키를 안전하게 보관하십시오. **CA 백업을 구성하려면 다음을 수행합니다.** 1. 다음 명령을 실행하여 백업 파일을 저장할 디렉터리(예: C:\\CABackup)를 만든 후 보안을 유지합니다. cacls c:\\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C 이 명령은 두 줄 이상으로 표시됩니다. 한 줄로 입력하십시오.) 2. 백업을 저장할 다른 폴더를 선택하는 경우 pkiparams.vbs에서 관련 설정을 업데이트해야 합니다. 다음 줄에 표시된 경로를 적절히 변경합니다. ``` CONST SYSSTATE\_BACKUP\_PATH = "C:\\CABackup"   'path used by NTBackup ``` ##### 루트 CA 데이터베이스 백업 이 작업의 목적은 CA 개인 키와 인증서, 인증서 데이터베이스 및 인증서 서비스 구성 정보의 백업 복사본을 만드는 데 있습니다. 인증서 서비스 구성 정보에는 운영 체제 구성 및 CA와 관련된 기타 상태 정보가 포함됩니다. ###### 요약 정보 - **보안 요구 사항**: CA Backup Operator - **빈도**: 새 인증서가 발급되거나 인증서가 해지될 때마다 - **기술 요구 사항**: - Windows 백업 - 이동식 미디어(예: CD-RW 또는 테이프) ###### 작업 정보 루트 CA는 대개 소수의 인증서만 발급하므로 데이터 크기가 커지지 않습니다. 데이터는 몇 년에 한 번 정도로 드물게만 변경됩니다. 이 절차는 다른 오프라인 CA(예: 중간 CA를 사용하려는 경우 오프라인 중간 CA)에 대해서도 동일하게 적용됩니다. 루트 CA는 오프라인에 있으므로 로컬 백업 장치(예: 테이프 드라이브 또는 쓰기 가능한 CA)가 필요합니다. **주의**: HSM을 사용하는 경우 이 절차를 통해 암호화된 키 자료를 백업할 수는 있지만(HSM의 작동 방법에 따라), 동일한 HSM과 HSM 선택키가 없으면 백업한 키 자료를 복원된 컴퓨터에서 사용할 수 없습니다. HSM 공급업체의 백업 지침을 따르거나 키 자료와 선택키를 안전하게 보관하십시오. **루트 CA를 백업하려면 다음을 수행합니다.** 1. 다음 명령을 실행하여 CA 데이터를 임시 파일에 백업합니다. cscript //job:BackupCADatabase C:\\MSSScripts\\ca\_operations.wsf 2. 이 명령은 앞에서 선택한 경로(기본 경로는 C:\\CABackup)에 백업 파일 CABackup.bkf를 생성합니다. 이 파일을 이동식 미디어에 복사한 후 안전하게 보관합니다. **경고**: 이 백업 데이터에는 CA 자체의 개인 키 자료가 포함되어 있으므로 데이터의 기밀을 유지하는 것이 매우 중요합니다. CA와 마찬가지로 보안에 각별히 주의하여 데이터를 전송하고 저장해야 합니다. 현장의 모든 컴퓨터 장비가 파괴되거나 사용할 수 없는 경우에 CA를 복구할 수 있도록 백업 데이터를 CA가 아닌 다른 장소에 보관합니다. ##### CA 키 및 인증서 백업 CA 인증서와 키는 인증서 데이터베이스와는 별도로 백업해야 합니다. CA 서버에 오류가 발생하여 필요한 시간 내에 복구할 수 없는 경우에는 CRL(인증서 해지 목록)이나 인증서에 서명하기 위해 CA 개인 키와 인증서가 필요할 수도 있습니다. ###### 요약 정보 - **보안 요구 사항**: CA Backup Operator - **빈도**: 매년 또는 CA 인증서를 갱신할 때마다(둘 중 빠른 쪽) - **기술 요구 사항**: - Certutil.exe - MSS 스크립트 ###### 작업 정보 CA 키와 인증서는 몇 KB의 저장소 공간만 사용하므로 디스크에 저장할 수 있습니다. 이 작업은 조직의 루트 CA와 중간 CA 및 발급하는 CA에 적용됩니다. 키를 CD 또는 DVD 등의 장기 저장 매체에 백업하는 경우 매년 백업할 필요가 없습니다. 플로피 디스크 또는 테이프 등의 자기 미디어를 사용하는 경우 키와 인증서를 CA 인증서 갱신 후뿐 아니라 매년 백업해야 합니다. 자기 미디어에 기록된 신호는 시간이 흐르면서 손상되는데 특히 전기장에 노출되면 빨리 손상됩니다. 자기 미디어가 손상되어 읽을 수 없게 될 때까지는 수년이 걸리지만 세심하게 주의를 기울이는 편이 좋습니다. **주의**: HSM을 사용하는 경우 이 절차가 설명된 대로 작동하지 않습니다. HSM 공급업체의 백업 지침을 따르거나 키 자료와 선택키를 안전하게 보관하십시오. **인증서와 키를 디스크로 내보내려면 다음을 수행합니다.** 1. 다음 명령을 실행합니다. cscript //job:BackupCAKeys c:\\MMSScripts\\ca\_operations.wsf 서로 다른 디스크에 두 개 이상의 백업을 만듭니다. 디스크는 100% 신뢰할 수는 없습니다. 나중에 디스크가 다시 필요하게 될 때 쉽게 알아볼 수 있도록 디스크에 레이블을 붙이고 날짜를 기록합니다. 이 스크립트는 certutil.exe를 사용하여 CA 키와 인증서를 PKCS\#12 파일(P12)로 다음 위치에 내보냅니다. A:\\CAKeyBackup\\*CAComputerName*\\*yymmdd\_hhmm*\\CA Common Name.p12 *CAComputerName*은 CA의 호스트 이름이고 *yymmdd\_hhmm*은 백업 날짜 및 시간입니다. 2. 암호를 입력하라는 메시지가 나타나면 입력합니다. **중요**: 이 암호를 기록한 후 키 백업이 있는 곳과는 다른 장소에 안전하게 보관하십시오. 암호 기록에는 암호와 연관된 백업(디스크 레이블, 날짜 및 CA 이름)이 명확하게 지정되어야 합니다. 이러한 키가 수개월 또는 수년 후에 필요할 수 있으며 그때 사용된 암호를 아무도 기억하지 못할 수도 있습니다. 이 암호의 다른 모든 기록은 삭제해야 합니다. 관리 부서의 직원들이 잘 아는 암호는 사용하지 않도록 합니다. 3. 디스크를 적절히 보관합니다. CA 데이터베이스 백업과 마찬가지로 이 키 백업도 아주 높은 수준의 보안이 필요합니다. 별도의 안전한 위치에 인증서 백업과 키 백업을 적어도 두 세트 이상씩 보관해야 합니다. ##### CA 데이터베이스 백업 테스트 CA 백업을 확인하여 백업 프로세스와 기술이 적절히 수행되도록 합니다. ###### 요약 정보 - **보안 요구 사항**: 테스트 컴퓨터의 로컬 관리자 또는 Backup Operator - **빈도**: - CA 운영을 시작하기 전에 - 매월 - 백업 기술 또는 프로세스가 변경될 때마다 다시 테스트합니다. - **기술 요구 사항**: - Windows 백업 - 조직 백업 시스템 - Certutil.exe - Cipher.exe ###### 작업 정보 시스템 상태 백업은 디스크 레이아웃이 동일한 시스템에 복원해야 합니다. 예를 들어 백업한 시스템과 같은 디렉터리에 Windows가 설치되어 있어야 하며, Windows 파일(예: 페이징 파일), CA 데이터베이스 및 로그를 저장하는 드라이브 레이아웃이 백업을 가져온 원본 CA와 동일해야 합니다. **중요**: 복원된 테스트 서버는 시스템 상태 백업 파일을 백업 미디어에서 복구한 시점부터 시스템 상태 복원이 시작되기 전까지 오프라인으로 유지해야 합니다. 네트워크에서 분리시켜 복원된 CA 키가 불필요하게 노출되는 것을 막고 테스트 서버와 원본 서버 사이에 중복되는 이름 및 IP 주소가 충돌하는 것도 방지합니다. **주의**: HSM을 사용하는 경우 이 절차만으로는 CA를 완전히 복원하는 데 충분하지 않습니다. HSM의 작동 방법에 따라서는 동일한 HSM과 HSM 선택키가 없으면 복원된 컴퓨터를 사용할 수 없는 경우도 있습니다. 이 절차는 일반적인 테스트에 사용하기에는 충분하지만, 정기적으로 HSM 복구를 사용하여 완전한 복원을 수행함으로써 사용자의 절차와 백업 기술이 올바르게 작동하도록 해야 합니다. HSM 공급업체의 백업 및 복원 지침을 따르거나 키 자료와 선택키를 안전하게 보관하십시오. **CA를 복원하려면 다음을 수행합니다.** 1. 백업 미디어의 시스템 상태 백업 파일을 C:\\CABackup 폴더에 복원합니다. 2. Windows 백업 유틸리티를 실행하고 C:\\CABackup에서 복원된 백업 파일을 선택합니다. 컴퓨터에 대한 백업 및 복원 권한을 가진 그룹(예: CA Backup Operator, Backup Operator, Administrator)의 구성원이어야 합니다. 3. **복원**을 클릭합니다. 4. 시스템을 다시 시작합니다. 5. 모든 것이 예상대로 수행되는지 확인합니다. 6. 테스트 마지막에 테스트 서버의 디스크 내용을 안전하게 삭제합니다(최소한 키는 삭제함). 키만 삭제하려면 먼저 CA 키 컨테이너를 삭제한 다음 디스크의 할당되지 않은 부분을 지워야 합니다. 이 작업을 수행하려면 로컬 관리자 그룹의 구성원이어야 합니다. **복원한 CA 키를 안전하게 삭제하려면 다음을 수행합니다.** 1. 다음 명령을 사용하여 테스트 서버의 키 컨테이너를 표시합니다. Certutil –key 2. CA 이름과 일치하는 모든 컨테이너를 기록합니다(인덱스 접미사가 있는 것도 포함). 예: "Woodgrove Bank Issuing CA 1(1)". 3. 다음 명령을 사용하여 키 컨테이너를 테스트 서버에서 삭제합니다. KeyContainerName이 전단계에서 얻은 값으로 바뀝니다. Certutil –delkey *KeyContainerName* 4. 드라이브의 할당되지 않은 공간을 안전하게 지워 키 데이터를 디스크에서 완전히 제거합니다. 다음 명령에서 경로 %allusersprofile%을 지정하면 cipher 명령이 키 자료가 저장된 드라이브에 실행됩니다. Cipher /W:%AllUsersProfile% ##### CA 키 백업 테스트 CA 키 백업을 정기적으로 확인하여 필요할 때 사용할 수 있도록 올바른 상태를 유지합니다. ###### 요약 정보 - **보안 요구 사항**: 테스트 컴퓨터의 로컬 관리자 - **빈도**: - 설치 작업(CA 운영을 시작하기 전에) - 6개월마다 - **기술 요구 사항**: - Certutil.exe - Cipher.exe ###### 작업 정보 모든 시스템에 CA 키와 인증서를 설치할 수 있습니다. 하지만 키의 기밀을 유지해야 하기 때문에 시스템이 신뢰할 수 있어야 하고 오프라인이어야 합니다. 대표적인 예가 오프라인 루트 CA 키입니다. 키 자료의 흔적을 컴퓨터에서 모두 제거하려면 이 용도로만 사용되는 별도의 임시 로컬 사용자 계정을 만듭니다(이 계정은 어떤 이름을 사용해도 무방함). **주의**: HSM을 사용하는 경우 이 절차가 설명된 대로 작동하지 않습니다. 키 자료와 액세스 키의 백업, 복원 및 기타 보호에 대한 HSM 공급업체의 지침을 따릅니다. **CA 키를 복원하려면 다음을 수행합니다.** 1. 컴퓨터의 네트워크 연결이 끊어졌는지 확인합니다. 로컬 관리자의 구성원으로 로그온 한 다음 TestCAKeys라는 로컬 사용자 계정을 만듭니다. 2. TestCAKeys 계정을 사용하여 로그온합니다. 3. 테스트할 CA 키 백업이 들어 있는 디스크를 삽입합니다. 4. Windows 탐색기를 사용하여 P12 키 파일로 이동한 다음 파일을 두 번 클릭합니다. 인증서 가져오기 마법사가 나타납니다. 5. 암호를 입력하라는 메시지가 나타나면 입력합니다. 키에 고급 보안을 제공하는 확인란이나 키를 내보낼 수 있게 만드는 확인란은 선택하지 마십시오. 6. **모든 인증서를 다음 저장소에 저장**, **찾아보기**를 차례로 클릭한 다음 CA 키를 복원할 위치로 **개인** **저장소**를 선택합니다. 7. 인증서 MMC 스냅인을 열고 개인용 저장소를 찾습니다. CA 인증서에서 복원된 CA를 찾은 다음 인증서를 열어 해당하는 개인 키가 있는지 확인합니다. (**일반** 탭 하단에 표시되어 있는지 확인합니다.) **복원된 키를 테스트하려면 다음을 수행합니다.** 1. 테스트 중인 CA가 발급한 CRL 또는 인증서를 얻습니다. 2. 앞 단계에서 CRL을 선택했는지 또는 인증서를 선택했는지에 따라 다음 명령 중 관련된 명령을 실행합니다. *CRLFileName*이나 *CertFileName*은 1단계에서 얻은 ŒŒ일 이름으로 바뀝니다. Certutil -sign *CRLFileName.crl NewCRL.crl* Certutil -sign *CertFileName.cer NewCertFile.cer* 3. 메시지가 표시되면 이전 프로시저에서 가져온 CA 인증서를 서명 인증서로 선택합니다. 4. 다음 certutil 명령을 실행하여 서명 작업이 올바르게 수행되었는지 확인합니다. 명령 출력은 다음과 유사합니다. C:\\CA>Configcertutil -sign "Woodgrove Bank Issuing CA 1.crl" "Woodgrove Bank Issuing CA 1xxs.crl" ThisUpdate: 2/10/2003 10:52 PM NextUpdate: 2/25/2003 3:11 PM CRL Entries: 0 인증서 주체 서명 중:     CN=Woodgrove Bank Issuing CA 1     DC=woodgrovebank,DC=com 출력 길이 = 970 CertUtil: -sign command completed successfully. 이제 테스트 시스템에서 키를 정리해야 합니다. **시스템에서 키를 정리하려면 다음을 수행합니다.** 1. 로컬 관리자의 구성원으로 로그온하고 내 컴퓨터의 **고급 속성**을 사용하여 TestCAKeys 계정의 사용자 프로필을 삭제합니다. 2. TestCAKeys 계정을 삭제합니다. 3. 다음 명령을 실행하여 키의 흔적을 영구적으로 제거하도록 디스크의 미할당 영역을 안전하게 지웁니다. Cipher /W:%AllUsersProfile% **참고**: %allusersprofile%을 경로로 지정하면 Cipher.exe가 사용자 프로필이 있는 드라이브에서 실행됩니다. 지정된 경로가 아니라 전체 드라이브를 지웁니다. ##### CA에서 보안 감사 데이터 보관 법적 규정 또는 내부 보안 정책에 따라 감사 로그를 보관하고 저장합니다. ###### 요약 정보 - **보안 요구 사항**: - CA Auditor - CA의 로컬 관리자 - **빈도**: - 매월(발급하는 CA) - 6개월마다(루트 CA) - **기술 요구 사항**: - 이벤트 뷰어 - 이동식 미디어(예: CD-RW 또는 테이프) ###### 작업 정보 **보안 이벤트 로그를 보관하려면 다음을 수행합니다.** 1. CA Auditor와 로컬 Administrator 그룹의 구성원으로 서버에 로그온합니다(두 그룹 모두의 구성원인 계정을 만듭니다). 2. 이벤트 뷰어를 엽니다(**시작**, **모든 프로그램**, **관리 도구**를 차례대로 클릭함). 3. 보안 로그 폴더를 클릭하여 선택합니다. 4. 폴더를 마우스 오른쪽 단추로 클릭하고 드롭다운 메뉴에서 **다른 이름으로 로그 파일 저장**을 클릭합니다. 5. 로그를 임시 파일에 저장합니다. 6. 이동식 미디어(CD-RW)에 복사한 다음 임시 파일을 삭제합니다. ##### Active Directory에서 인증서 템플릿 내보내기 디렉터리의 인증서 템플릿 정의를 저장하면 이후에는 전체 디렉터리를 복원하지 않고도 인증서 템플릿을 복원할 수 있습니다. ###### 요약 정보 - **보안 요구 사항**: 도메인 사용자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Idifde.exe - 인증서 템플릿 MMC 스냅인 ###### 작업 정보 이 절차는 인증서 템플릿 Active Directory 개체를 파일로 내보내는 간단한 방법을 설명합니다. 필요하면 개체를 다시 디렉터리에 가져올 수 있습니다. 이 방법은 템플릿 개체의 LDAP 정보만 저장합니다. 보안 정보(소유권, 사용 권한 등)와 같은 기타 정보는 이 프로세스를 통해 보관되지 않습니다. **참고**: Active Directory 개체를 백업하고 복원할 때 권장되는 유일한 방법은 Windows 시스템 상태 백업과 같은 전용 디렉터리 백업 방법을 사용하는 것입니다. 그러나 이전 버전의 변경된 개체를 복원하려면 복잡한 Active Directory 정식 복원 절차를 수행해야 합니다. 이 절차는 인증서 템플릿 개체의 스냅숏을 백업 및 복원하는 간단한 방법을 보여 줍니다. **인증서 템플릿 개체를 내보내려면 다음을 수행합니다.** 1. 백업할 템플릿의 이름을 확인합니다. 템플릿 이름이 항상 템플릿 표시 이름과 같지는 않습니다. 템플릿의 **일반** 탭에서 템플릿 속성을 보고(인증서 템플릿 MMC 스냅인 사용) **템플릿 이름**과 **템플릿 표시 이름**을 확인합니다. 2. 도메인 사용자 계정을 사용하여 도메인 구성원 서버나 도메인 컨트롤러에 로그온합니다. 3. 다음 명령을 실행하여 템플릿 정보를 *templatename*.ldif 파일에 저장합니다. *templatename*은 인증서 템플릿의 이름으로 바꾸고 *DC=woodgrovebank,DC=com*은 사용자 포리스트의 DN(도메인 이름)으로 바꿉니다. ldifde -f *templatename*.ldif -d "cn=*templatename*, cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,*DC=woodgrovebank,DC=com*" 이 명령은 두 줄 이상으로 표시됩니다. 한 줄로 입력하십시오.) 4. *templatename*.ldif 파일이 현재 디렉터리에 저장됩니다. *templatename*.ldif 파일을 안전하게 저장합니다. ##### Active Directory로 인증서 템플릿 가져오기 백업한 템플릿을 복원하려는 경우, 예를 들어 원치 않는 템플릿 수정 내용을 이전 상태로 되돌리려는 경우 이전에 저장한 인증서 템플릿 정의를 다시 Active Directory에 가져옵니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: Idifde.exe ###### 작업 정보 이 절차는 파일에서 인증서 템플릿 정의를 복원하는 방법을 설명합니다. 파일은 "Active Directory에서 인증서 템플릿 내보내기"를 사용하여 이전에 만든 것이어야 합니다. 이 방법은 템플릿 개체의 LDAP 정보만 복원합니다. 보안 정보(소유권, 사용 권한 등)와 같은 기타 정보는 이 프로세스를 통해 보관되지 않습니다. **참고**: Active Directory 개체를 백업하고 복원할 때 권장되는 유일한 방법은 Windows 시스템 상태 백업과 같은 전용 디렉터리 백업 방법을 사용하는 것입니다. 그러나 이전 버전의 변경된 개체를 복원하려면 복잡한 Active Directory 정식 복원 절차를 수행해야 합니다. 이 절차는 인증서 템플릿 개체의 스냅숏을 백업 및 복원하는 간단한 방법을 보여 줍니다. 이 절차는 Active Directory 백업 및 복원의 대안으로 사용할 수 없으며 앞에서 설명한 경우에 한해서만 사용해야 합니다. **인증서 템플릿 개체를 가져오려면 다음을 수행합니다.** 1. "Active Directory에서 인증서 템플릿 내보내기" 절차를 수행하여 만들고 내보낸 템플릿 정의 파일을 검색합니다. 2. Enterprise PKI Admins의 구성원으로 도메인 구성원 서버나 도메인 컨트롤러에 로그온합니다. 3. 기존 템플릿을 대체하는 경우 원치않는 템플릿을 백업하고(앞의 절차 사용) 템플릿 권한을 기록한 다음 템플릿을 삭제합니다. 4. 메모장(또는 유사한 텍스트 편집기)에서 파일을 열어 줄 앞부분에서 "objectGUID:"를 검색합니다. 줄은 다음과 비슷하지만 콜론 다음의 문자가 다릅니다. objectGUID:: b/pVt//+I0i9hp8aJ7IWRg== 5. 파일의 다른 부분을 변경하지 않도록 주의하면서 줄을 삭제하고 파일을 저장합니다. 6. 다음 명령을 실행하여 파일에서 *templatename*.ldif 파일에서 Active Directory로 템플릿을 가져옵니다. *templatename*이 인증서 템플릿 이름으로 바뀝니다. ldifde -f *templatename*.ldif -i 7. 인증서 템플릿 MMC를 열고 복원된 템플릿을 검토하여 절차가 제대로 수행되었는지 확인합니다. 8. 3단계에서 기록한 사용 권한이나 이 템플릿에 적절한 사용 권한을 복원된 템플릿에 적용합니다. #### 서비스 모니터링 및 제어 서비스 모니터링을 통해 운영 부서의 직원은 IT 서비스의 상태를 실시간으로 모니터링할 수 있습니다. 이 절에서는 사용자가 MOM 운영 설명서의 지침에 따라 사용자 환경에 MOM을 이미 배포했다고 간주하고 설명합니다. MOM이 꼭 필요한 것은 아니며 단지 설명을 돕기 위해 사용되었습니다. MOM 운영 설명서에 대한 자세한 내용은 이 장 끝에 나오는 "추가 정보" 절을 참조하십시오. ##### 모니터링 경고 범주화 모니터링 시스템은 가장 중요한 사항만 운영 부서 직원에게 경고해야 합니다. 사소한 오류까지 사건 경고를 발생시킨다면 운영 부서의 직원은 어떤 것이 긴급한 것이고 어떤 것이 그렇지 않은 것인지를 결정할 수 없게 됩니다. ###### 요약 정보 - **보안 요구 사항**: 없음 - **빈도**: 설치 작업 - **기술 요구 사항**: Operational alert 콘솔(예: MOM) ###### 작업 정보 이 장에 사용된 경고 범주는 다음과 같습니다. 이 중 상위 세 가지만(서비스 사용할 수 없음, 보안 침해 및 중대 오류) 즉시 주의를 주기 위해 운영자 콘솔에 경고를 생성합니다. 오류와 경고는 긴급한 것으로 간주되지 않으며 PKI 운영 지원 담당자에게 보고해서 해결해야 합니다. 이 이벤트 범주는 MOM이 사용하는 기본값이고 이어지는 나머지 작업 설명에서 이를 참조합니다. **표 11.9: 경고 범주**

경고 범주	설명
서비스 사용할 수 없음	응용 프로그램이나 구성 요소가 100% 사용 불가능한 경우
보안 침해	응용 프로그램이 해킹을 당하거나 손상된 경우
중대 오류	응용 프로그램에 즉각적인 관리 조치(반드시 즉시 수행할 필요는 없음)가 필요한 중대 오류가 발생한 경우 응용 프로그램이나 구성 요소가 저하된 성능으로 실행되지만 대부분의 중요한 작업을 계속해서 수행할 수 있습니다.
Error	응용 프로그램에 일시적인 문제가 발생했지만 즉각적인 관리 조치나 해결 방법이 필요하지 않은 경우 응용 프로그램이나 구성 요소가 적절한 수준의 성능으로 실행되며 모든 중요한 작업을 계속해서 수행할 수 있습니다.
경고	응용 프로그램이 즉각적인 관리 조치나 해결 방법이 필요하지 않은 경고 메시지를 생성한 경우 응용 프로그램이나 구성 요소가 적절한 수준의 성능으로 실행되며 모든 중요한 작업을 계속해서 수행할 수 있습니다. 그러나 문제가 지속될 경우 이 상황은 오류, 심각한 오류 또는 서비스 사용할 수 없음 오류로 발전할 수 있습니다.
정보	응용 프로그램에서 정보 이벤트를 생성한 경우 응용 프로그램이나 구성 요소가 적절한 수준의 성능으로 실행되며 모든 중요한 작업과 중요하지 않은 작업을 계속해서 수행합니다.
성공	응용 프로그램이 성공 이벤트를 생성한 경우 응용 프로그램이나 구성 요소가 적절한 수준의 성능으로 실행되며 모든 중요한 작업과 중요하지 않은 작업을 계속해서 수행할 수 있습니다.

##### 인증서 서비스 성능 제한 모니터링 잠재적인 성능 제한을 발견하는 것은 서비스를 최적의 수준으로 유지 관리하는 데 반드시 필요합니다. 하위 시스템이 작동 성능의 한계에 이르면 성능이 급격하게 저하됩니다(보통 비선형으로). 따라서 성능 경향을 모니터링하여 추후 문제가 될만한 경향을 초기에 발견하여 대처하는 것이 중요합니다. ###### 요약 정보 - **보안 요구 사항**: 모니터링 솔루션에 지정된 필요한 권한 - **빈도**: 설치 작업 - **기술 요구 사항**: - 성능 모니터 - 성능 카운터 통합자(예: MOM) - Operational alert 콘솔(예: MOM) - 성능 계획 도구 ###### 작업 정보 다음 성능 카운터는 인증서 서비스의 성능 제한을 식별하는 데 가장 유용한 것입니다. 프로세서와 디스크는 인증서 서비스가 가장 많이 사용하는 두 리소스이므로 네트워크 인터페이스나 메모리보다 초기 단계에서 제한이 나타날 가능성이 높습니다. **표 11.10. 인증서 서비스에 대한 주요 성능 모니터링 카운터**

성능 개체	성능 카운터	Instance
프로세서	% Processor Time	_Total
실제 디스크	% Disk Time	_Total
실제 디스크	Avg. Disk Read Queue Length	_Total
실제 디스크	Avg. Disk Write Queue Length	D: (CA–DB) C: (CA–Log)
네트워크 인터페이스	Bytes Total/sec	네트워크 어댑터
메모리	% Committed Bytes in use	–––

성능 제한 및 관련 성능 카운터에 관한 정보는 이 장 뒷부분에 있는 "추가 정보" 절을 참조하십시오. 또한 지원 인프라의 성능 표시기를 모니터링하는 것도 반드시 필요합니다. 주요 항목은 다음과 같습니다. - **Active Directory에 대한 인증서 서비스 통신**. 엔터프라이즈 CA는 인증과 권한 부여 서비스, CA와 PKI 구성 정보 읽기 및 저장에 Active Directory를 사용하며, 인증서 종류에 따라서는 발급한 인증서를 이 디렉터리에 게시하기도 합니다. - **Active Directory에 대한 클라이언트 인증서 관련 통신**. 클라이언트는 Active Directory에서 CA 및 PKI 정보를 읽습니다. 이 작업에는 클라이언트당 매주 수 메가바이트 크기의 CRL을 다운로드하는 일도 포함됩니다. - **웹 서버에 대한 클라이언트 인증서 관련 통신**. 클라이언트가 웹 서버에서 CRL과 CA 인증서를 검색할 수 있습니다. 이미 서버의 로드가 많은 경우가 아니면 이로 인해 성능 제한을 일으킬 정도로 많은 로드가 발생하지는 않습니다. ##### 인증서 서비스 상태 및 가용성 모니터링 인증 기관은 일반적으로 온라인 또는 실시간 서비스를 제공하지 않습니다(유용한 서비스를 제공하기 위해 지속적으로 온라인 상태에 있어야 하는 Active Directory나 Microsoft SQL Server(TM)와는 다름) . 하지만 CA 운영의 몇몇 측면은 필수적이면서 서비스의 온라인 응답을 요구합니다. - **해지 정보의 가용성**. 현재 CRL은 인증서의 해지 상태를 확인하려는 모든 인증서 사용자가 사용할 수 있어야 합니다. - **CA 인증서의 유효성**. CA는 유효한 인증서가 있어야 합니다. CA 인증서가 올바르지 않으면 해당 CA나 자식 CA에서 발급한 인증서가 유효성 검사를 통과하지 못합니다. 또한 새 인증서도 발급되지 않습니다. - **인증서 등록 서비스의 가용성**. CA 서버스를 사용할 수 없는 경우 누구도 인증서를 등록하거나 갱신할 수 없습니다. 처음 두 요소 중 어느 하나를 사용할 수 없는 것이 마지막 요소를 사용할 수 없는 것보다 훨씬 큰 영향을 줍니다. ###### 요약 정보 - **보안 요구 사항**: MOM(또는 모니터링 시스템) 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: - MSS 스크립트 - Operational alerts 콘솔(예: MOM 또는 전자 메일 인프라) - 실행을 위한 MOM 에이전트 또는 Windows 작업 스케줄러 서비스 ###### 작업 정보 다음 표의 이벤트는 인증서 서비스에 가장 중요한 이벤트입니다. 표는 각 이벤트 형식의 중요성과 그 이벤트에 어떤 수준의 경고를 지정해야 하는지(운영 콘솔에 대해) 설명합니다. 두 번째 표는 이 이벤트를 탐지하는 방법을 소개합니다. 대부분은 이 솔루션과 함께 제공되는 작업 스크립트에서 탐지합니다. 중대 정도는 앞에서 "모니터링 경고 범주화" 절차에 정의된 경고 범주와 관련이 있습니다. **표 11.11: 주요 인증서 서비스 이벤트의 중대 정도**

인증서 서비스 상태	중요성	중대 정도
CRL 만료	올바른 CRL에 액세스할 수 없습니다. 이로 인해 현재 서비스가 제공되지 않고 있습니다.	서비스 사용할 수 없음
CRL 지연	CRL이 올바르기는 하지만 새 CRL이 게시되었어야 하는데 지연되고 있습니다.	긴급
CRL 사용할 수 없음 하위 이벤트: CRL을   Active Directory에서 검색할 수 없음 CRL을 웹 서버에서 검색할 수 없음	게시된 CRL 배포 지점에서 CRL을 사용할 수 없습니다. 이로 인해 서비스가 제공되지 않을 수도 있습니다.	긴급
CA 서버에 오류가 발생했습니다.	서버가 네트워크상에 표시되지 않습니다.	서비스 사용할 수 없음
CA 운영 체제가 위험 상태에 있습니다.	서버 하드웨어나 Windows에 근본적이고 중요한 문제가 발생합니다.	긴급
CA 운영 체제가 오류/경고 상태에 있습니다.	서버 하드웨어나 Windows에 근본적이지만 심각하지 않은 문제가 발생합니다.	오류 또는 경고(MOM 규칙에 정의됨)
인증서 서비스가 온라인 상태가 아닙니다. 하위 이벤트:    클라이언트 인터페이스 오프라인    관리자 인터페이스 오프라인	인증서 서비스 RPC(원격 프로시저 호출) 인터페이스가 오프라인 상태에 있으며 인증서를 발급할 수 없습니다.	긴급
CA 인증서가 만료되었습니다. 하위 이벤트:    이 CA 인증서가 만료되었습니다.    부모 CA 인증서가 만료되었습니다.	CA의 인증서가 만료되었습니다. 이로 인해 현재 서비스가 제공되지 않습니다.	서비스 사용할 수 없음
CA 인증서의 유효 기간이 1개월 남았습니다.	CA 인증서가 곧 만료되며, 이를 해결하지 않으면 서비스가 제공되지 않습니다. 현재 수명이 매우 짧은 인증서만 발급되고 있습니다.	Error
CA 인증서의 유효 기간이 전체 수명의 절반 미만입니다.	유효 기간의 절반이 되면 CA 인증서를 갱신해야 합니다. 이는 예상보다 수명이 짧은 인증서가 발급되고 있다는 뜻입니다.	경고
CA를 백업하지 못했습니다.	CA의 시스템 상태를 백업하지 못했습니다. 정보가 손실될 수 있습니다.	중대 또는 오류

제공된 스크립트(다음 표의 ca\_monitor.wsf)를 사용하여 이 이벤트를 확인합니다. 이 스크립트에는 오류를 발견하면 이벤트 항목을 Windows 응용 프로그램 로그에 기록하는 논리가 포함되어 있습니다. 이러한 이벤트는 MOM 에이전트나 다른 모니터링 솔루션을 통해 확인할 수 있습니다. 필터링 규칙을 세워 다음 표에 있는 스크립트에서 생성하는 이벤트 원본 및 이벤트 ID를 확인해야 합니다. 이들 스크립트는 경고 조건에 대한 응답으로 전자 메일도 보냅니다. MOM(또는 다른 에이전트 기반 모니터링 시스템)을 사용하는 경우 아래의 스크립트는 MOM 클라이언트 에이전트에 의해 실행되어야 합니다. 스크립트를 실행할 관리 에이전트가 없는 경우 Windows 작업 스케줄러를 사용하여 최소한 매시간마다 확인 작업을 합니다. 전자 메일로 경고를 보내거나 이벤트 로그 모니터링 도구를 사용할 수도 있습니다. 스크립트는 온라인 상태의 발급하는 CA에서 실행되도록 설계되었지만, 오프라인 부모 CA부터 루트 CA까지 게시된 인증서와 CRL 상태도 확인합니다. 모니터링 스크립트가 이벤트 ID를 생성하는 경우에는 해당 이벤트 ID가 다음 표에 나옵니다. 스크립트 구문이 표 다음에 나옵니다. **표 11.12: 인증서 서비스 모니터링 스크립트**

Event	스크립트 또는 검색 방법	원본 및 이벤트 ID
CRL 만료	스크립트: Ca_monitor.wsf 작업: CheckCRLs	CA Operations 20
CRL 지연	스크립트: Ca_monitor.wsf 작업: CheckCRLs	CA Operations 21
CRL 사용할 수 없음 하위 이벤트:    CRL을 Active Directory에서 검색할 수 없음 CRL을 웹 서버에서 검색할 수 없음	스크립트: Ca_monitor.wsf 작업: CheckCRLs	CA Operations 22 23
CA 서버에 오류가 발생했습니다.	기본 MOM 서버 오류 발견
CA 운영 체제가 위험 상태에 있습니다.	기본 MOM 서버 상태 모니터링
CA 운영 체제가 오류/경고 상태에 있습니다.	기본 MOM 서버 상태 모니터링
인증서 서비스가 활성 상태에 있습니다. 하위 이벤트:    클라이언트 인터페이스 오프라인    관리자 인터페이스 오프라인	스크립트: Ca_monitor.wsf 작업: IsCAAlives	CA Operations 1 2
CA 인증서가 만료되었습니다. 하위 이벤트:    이 CA 인증서가 만료되었습니다.    부모 CA 인증서가 만료되었습니다.	스크립트: Ca_monitor.wsf 작업: CheckCACerts	CA Operations 10
CA 인증서의 유효 기간이 1개월 남았습니다.	스크립트: Ca_monitor.wsf 작업: CheckCACerts	CA Operations 11
CA 인증서의 유효 기간이 전체 수명의 절반 미만입니다.	스크립트: Ca_monitor.wsf 작업: CheckCACerts	CA Operations 12
CA 백업이 잠겨 있습니다(이전 백업의 lockfile이 여전히 실행되고 있어서 백업 스크립트를 실행할 수 없습니다.).	스크립트: Ca_operations.wsf 작업: BackupCADatabase	CA Operations 30
CA를 백업하지 못했습니다.	NTBackup.exe의 오류 코드는 여기에 지정되어 있습니다. 단, 백업 문제에 대해 경고할 때는 MOM이나 다른 모니터링 시스템 기능에 의존합니다. (시스템 상태 백업과 조직 백업 모두 확인해야 한다는 점에 유의하십시오.)	Ntbackup 8019
기타 이벤트	Ca_monitor.wsf를 실행하지 못했습니다.	CA Operations 100

스크립트를 배포하기 전에 올바른 경고 매개 변수를 사용하여 constants.vbs 파일을 업데이트합니다. 파일의 관련 부분을 여기 소개합니다. 변경해야 할 항목은 기울임꼴로 표시합니다. ``` Alerting parameters CONST ALERT\_EMAIL\_ENABLED = FALSE'set to true/false to enable/disable email CONST ALERT\_EVTLOG\_ENABLED= TRUE'set to true/false to enable/disable event 'log entries ' set to comma-separated list of recipients to get email alerts CONST ALERT\_EMAIL\_RECIPIENTS= "Admin@woodgrovebank.com,Ops@woodgrovebank.com" 'SMTP host to use CONST ALERT\_EMAIL\_SMTP= "mail.woodgrovebank.com" 'String used as the Source in event log events CONST EVENT\_SOURCE= "MSS Tools" CONST CA\_EVENT\_SOURCE= "CA Operations" 'CA Event IDs CONST CA\_EVENT\_CS\_RPC\_OFFLINE=1 CONST CA\_EVENT\_CS\_RPC\_ADMIN\_OFFLINE=2 CONST CA\_EVENT\_CA\_CERT\_EXPIRED=10 CONST CA\_EVENT\_CA\_CERT\_NEARLY\_EXPIRED=11 CONST CA\_EVENT\_CA\_CERT\_RENEWAL\_DUE=12 CONST CA\_EVENT\_CRL\_EXPIRED=20 CONST CA\_EVENT\_CRL\_OVERDUE=21 CONST CA\_EVENT\_CRL\_NOT\_AVAILABLE\_LDAP=22 CONST CA\_EVENT\_CRL\_NOT\_AVAILABLE\_HTTP=23 CONST CA\_EVENT\_BACKUP\_LOCKED=30 CONST CA\_EVENT\_CA\_OTHER=100 ``` 오류가 발생할 경우 전자 메일 경고를 생성할지, 이벤트 로그 경고를 생성할지 또는 둘 다 생성할지 여부를 지정해야 합니다. 기본 설정은 이벤트 로그 경고뿐입니다. 전자 메일 경고를 지정한 경우 쉼표로 구분된 올바른 전자 메일 받는 사람 목록과 SMTP 서버 호스트 이름 또는 IP 주소를 *제공해야 합니다*. 이들 문자열은 모두 따옴표로 묶어야 합니다. 이벤트 로그 경고를 지정한 경우 CA\_EVENT\_SOURCE(모든 CA 관련 이벤트에 사용됨)나 EVENT\_SOURCE (모든 비 CA 관련 이벤트에 사용됨) 매개 변수를 변경해야 합니다. 모니터링 스크립트의 구문과 사용법에 대해서는 다음 절에서 설명합니다. **CA 인증서 만료를 확인하려면 다음 명령을 실행합니다.** 다음 명령을 실행하여 발급하는 CA의 인증서(스크립트가 실행되는 경우) 및 부모 CA부터 루트 CA까지 모든 계층의 게시된 인증서를 확인합니다. Cscript //job:CheckCACerts C:\\MSSScripts\\ca\_monitor.wsf 이 명령은 다음 조건에서 경고를 생성합니다. - CA 인증서가 만료된 경우(이벤트 ID 12) - CA 인증서가 만료될 때까지 남은 기간이 한 달 미만인 경우(이벤트 ID 11) - CA 인증서의 유효 기간 절반이 지난 경우(이벤트 ID 12) **CRL 만료를 확인하려면 다음 명령을 실행합니다.** 다음 명령을 실행하여 발급하는 CA CRL 및 모든 부모 CA부터 루트 CA까지 모든 계층의 게시된 CRL을 확인합니다. Cscript //job:CheckCRLs C:\\MSSScripts\\ca\_monitor.wsf 이 명령은 다음 조건에서 경고를 생성합니다. - CRL이 만료된 경우(이벤트 ID 20) - CRL이 "Next published CRL" 날짜를 지나 곧 만기되는 경우(이벤트 ID 21) - LDAP CDP에서 CRL을 검색할 수 없는 경우(이벤트 ID 22) - HTTP CDP에서 CRL을 검색할 수 없는 경우(이벤트 ID 23) 현재 FTP와 FILE CDP는 스크립트가 확인하지 않습니다. **CA 서비스가 실행 중인지 확인하려면 다음을 수행합니다.** 다음 명령을 실행하여 스크립트가 실행 중인 CA를 확인합니다. Cscript //job:IsCAAlive C:\\MSSScripts\\ca\_monitor.wsf 이 명령은 다음 조건에서 경고를 생성합니다. - CA RPC 클라이언트 인터페이스가 응답하지 않는 경우(이벤트 ID 1) - CA RPC 관리 인터페이스가 응답하지 않는 경우(이벤트 ID 2) ##### 인증 기관 보안 모니터링 인증서 서비스는 각 보안 이벤트에 대한 응답으로 다양한 감사 로그 항목을 만듭니다. 이들 항목 대부분은 일상적인 운영 작업의 결과입니다. 그러나 일부 이벤트는 주요 구성 변경을 나타내므로 더 자세히 검토해야 합니다. ###### 요약 정보 - **보안 요구 사항**: - CA Auditors(보안 로그 검토) - MOM(또는 유사한 시스템)으로 모니터링하도록 지정된 보안 모니터링 계정 - **빈도**: 설치 작업 - **기술 요구 사항**: - Operational alert 콘솔(예: MOM) - 이벤트 뷰어 - Eventquery.vbs(Windows 명령줄 도구) ###### 작업 정보 다음 표에는 인증서 서비스가 만드는 감사 이벤트와 권장되는 경고 범주가 나옵니다. 이러한 이벤트를 찾아서 적절한 수준의 경고를 발생시키도록 사용자 모니터링 시스템을 구성합니다. 중앙 집중식 이벤트 모니터링 시스템이 없다면 CA 서버 보안 로그를 정기적으로(가능하면 매일) 점검합니다. 성공 이벤트의 기본 경고 범주는 **정보**입니다. CA의 보안 구성 변경으로 인해 발생한 모든 성공 이벤트는 **경고**로 취급됩니다. 모든 **경고** 수준 이벤트는 일상적인 작업에서 발생할 것으로 예상되지 않는 중요한 이벤트를 나타냅니다. 모든 **경고** 이벤트는 승인된 변경 요청과 관련이 있습니다. 이러한 관련이 없으면 이벤트를 보안 침해로 간주하고 즉시 조사해야 합니다. 일반적으로 **실패** 이벤트는 일상적인 작업이나 CA의 표준 변경 중에는 발생할 것으로 예상되지 않습니다. 실패 이벤트 대부분은 매우 중요하므로 즉각적인 조사가 필요합니다(실패 이벤트가 악의적 공격이 아닌 잘못된 사용 권한 지정을 나타내는 경우에도 조사할 필요가 있습니다.). **참고**: "이벤트 792, **인증서 서비스에서 인증서 요청을 거부했습니다**"와 같이 몇 가지 예외적인 경우도 있습니다. 이와 같은 경우 인증서 관리자가 정당하게 거부한 요청에 대해서는 성공과 실패 이벤트가 모두 생성되지만, 충분한 권한이 없는 누군가가 요청을 거부하려 하면 실패 이벤트만 생성됩니다. 다음 표에 소개한 추가 예외 사항은 CA 구성을 변경하는 다양한 방식 때문에 발생합니다. 이벤트 789(감사 필터 변경) 및 이벤트 795와 796(CA 구성 또는 속성 변경)은 인증 기관 MMC 스냅인을 사용하여 변경하는 경우에만 기록됩니다. 누군가가 CA 레지스트리를 직접(또는 certutil -setreg 명령을 사용하여) 편집하려고 하면 기록되지 않습니다. 이러한 사항은 단순한 이벤트 560 개체 액세스 감사 실패로 기록됩니다(다음 표의 마지막 항목 참조). 감사는 CA 레지스트리 구성 하위 키에 사용되며 성공적인 변경과 실패한 모든 액세스를 기록합니다. CA 레지스트리 키 변경 내용을 추적하려면 감사 이벤트의 **개체 이름** 매개 변수를 **이벤트 ID** 및 **이벤트 유형**과 함께 사용하여 정확한 경고를 생성할 필터를 만듭니다. 인증서 서비스 이벤트 감사뿐 아니라 표준 운영 체제 보안 이벤트(예: 로그온 이벤트, 권한 사용 및 개체 액세스)도 모니터링하고 경고를 생성해야 합니다. CA 레지스트리와 데이터베이스 및 로그 디렉터리는 실패한 모든 액세스와 성공한 변경에 대해 경고를 생성하도록 구성되어 있습니다. 또한 공용 키 서비스 컨테이너(Configuration\\Services에 있음)와 PKI 관리 그룹에 대해서도 감사를 설정하는 것을 고려합니다. 이 사항은 여러 도메인 컨트롤러에 걸쳐 분산된 감사 이벤트를 모니터링하는 것이 어렵기 때문에 이 솔루션의 일부로 설정되지 않았습니다. 이 로그를 통합하고 필터링할 수 있는 시스템(예: MOM)이 있으면 모든 Active Directory PKI 관리/구성 개체 및 컨테이너에 감사를 사용합니다. **참고**: CA 운영 체제의 보안 모니터링은 이 문서의 범위를 벗어나며, 특별한 침입 감지 에이전트의 보안 이벤트를 처리하는 작업이 포함될 수도 있습니다. 이들 로그 중 하나라도 보안 위반을 나타내면 로그 출력과 함께 인증 기관 감사 이벤트를 철저하게 조사하십시오. 다음 표의 성공 및 실패 경고 범주는 "모니터링 경고 범주화" 절차에 정의된 경고 범주에 관한 것입니다. **표 11.13. 인증서 서비스 감사 이벤트**

이벤트 ID	이벤트 설명	성공 경고 범주	실패 경고 범주
772	인증서 관리자가 대기된 인증서 요청을 거부했습니다.	경고	Error
773	인증서 서비스에서 다시 제출된 인증서 요청을 받았습니다.	경고	Error
774	인증서 서비스에서 인증서를 해지했습니다.	정보	Error
775	인증서 서비스에서 인증서 해지 목록(CRL)을 게시하도록 요청받았습니다.	정보	경고
776	인증서 서비스에서 인증서 해지 목록(CRL)을 게시했습니다.	정보	Error
777	인증서 요청 확장이 변경되었습니다.	정보	Error
778	하나 이상의 인증서 요청 속성이 변경되었습니다.	정보	Error
779	인증서 서비스에서 시스템 종료 요청을 받았습니다.	경고	Error
780	인증서 서비스 백업이 시작되었습니다.	정보	–
781	인증서 서비스 백업이 완료되었습니다.	정보	–
782	인증서 서비스 복원이 시작되었습니다.	경고	–
783	인증서 서비스 복원이 완료되었습니다.	경고	–
784	인증서 서비스가 시작되었습니다.	정보	–
785	인증서 서비스가 중지되었습니다.	경고	–
786	인증서 서비스의 보안 권한이 변경되었습니다.	경고	Error
787	인증서 서비스에서 저장된 키를 검색했습니다.	정보	Error
788	인증서 서비스에서 인증서를 데이터베이스로 가져왔습니다.	정보	경고
789	인증서 서비스의 감사 필터가 변경되었습니다.	경고	Error
790	인증서 서비스에서 인증서 요청을 받았습니다.	정보	Error
791	인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발급했습니다.	정보	Error
792	인증서 서비스에서 인증서 요청을 거부했습니다.	경고
793	인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정했습니다.	정보
794	인증서 서비스의 인증서 관리자 설정이 변경되었습니다.	경고
795	인증서 서비스에서 구성 항목이 변경되었습니다.	경고	Error
	노드: 항목: CRLPeriod 또는 CRLPeriodUnits 또는 CRLDeltaPeriod 또는 CRLDeltaPeriodUnits CRL 게시 일정 변경을 설명합니다. CRLDeltaPeriodUnits 값이 0이면 Delta CRL 게시를 사용하지 않는다는 뜻입니다.
	노드: PolicyModules\CertificateAuthority_Microsoft Default.Policy 항목: RequestDisposition 값: 1 달리 지정되어 있지 않는 한, 들어오는 요청을 발급하도록 CA를 설정합니다.
	노드: PolicyModules\CertificateAuthority_Microsoft Default.Policy 항목: RequestDisposition 값: 257 들어오는 요청을 보류시키도록 CA를 설정합니다.
	노드: ExitModules\CertificateAuthority_Microsoft Default.Exit 항목: PublishCertFlags 값: 1 인증서를 파일 시스템에 게시하는 것을 허용합니다.
	노드: ExitModules\CertificateAuthority_Microsoft Default.Exit 항목: PublishCertFlags 값: 0 인증서를 파일 시스템에 게시하는 것을 허용하지 않습니다.
	노드: ExitModules 항목: 활성 활성 끝내기 모듈의 변경. 값에 새 모듈의 이름을 지정합니다. 공뮀±은 모듈이 없음을 의미합니다.
	노드: PolicyModules 항목: 활성 활성 정책 모듈의 변경. 값에 새 모듈의 이름을 지정합니다.
	노드: 항목: CRLPublicationURLs CDP 또는 AIA의 변경. 값에 CDP의 결과 집합을 지정합니다.	노드: 항목: CACertPublicationURLs AIA 또는 CDP의 변경. 값에 AIA의 결과 집합을 지정합니다.
796	인증서 서비스 속성이 변경되었습니다(아래의 하위 유형 참조).	경고	Error
	형식: 4 CA에 템플릿 추가/제거. 값은 이름과 OID별로 표시된 결과 템플릿의 목록입니다.
	형식: 3 CA에 KRA 인증서 추가. 값은 인증서에 대한 Base64 표현입니다.
	형식: 1 CA에서 KRA 인증서 제거. 값은 총 KRA 인증?서 개수입니다.
	형식: 1 키 보관에 사용할 KRA 인증서 개수 추가/제거. 값은 사용할 결과 인증서 개수입니다.
797	인증서 서비스에서 키를 저장했습니다.	정보	–
798	인증서 서비스에서 키를 가져와서 저장했습니다.	정보	–
799	인증서 서비스에서 Active Directory에 CA 인증서를 게시했습니다.	정보
800	인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.	경고	Error
801	역할 구분 사용	경고	Error
560	개체 액세스 여기서 다음이 적용됩니다. 개체 형식: 키 개체 이름: \REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration	정보	Error

##### 대기 중인 인증서 요청에 대한 SMTP 경고 설정 인증서 관리자의 승인을 요구하도록 몇 가지 인증서 종류를 구성한 경우에는 요청이 승인되거나 거부될 때까지 이러한 인증서가 대기 중인 요청 폴더(인증 기관 MMC 스냅인)에서 대기합니다. 요청이 대기열에 놓일 때마다 전자 메일 경고를 보내도록 구성할 수 있습니다. 자동 승인된 요청의 경우 전자 메일 경고를 보내지 않습니다. 다른 CA 이벤트에 대해서도 전자 메일 경고를 구성할 수 있습니다. 인증서 서비스 온라인 도움말에 구성 방법이 나와 있습니다. ###### 요약 정보 - **보안 요구 사항**: CA Admins - **빈도**: 설치 작업 - **기술 요구 사항**: - 텍스트 편집기 - SMTP 서버 및 받는 사람 사서함 ###### 작업 정보 이 절차에 사용된 constants.vbs 파일에 구성된 SMTP 서버 및 SMTP 받는 사람 목록 값은 "인증서 서비스 상태 및 가용성 모니터링" 절차에 기술되어 있는 SMTP 경고에서도 사용합니다. 두 절차의 SMTP 서버 및 받는 사람에 대해 다른 설정을 사용해야 하는 경우 constants.vbs에 있는 값을 일시적으로 변경한 다음 이 절차를 실행합니다. 이 절차의 스크립트는 이 설정을 CA 레지스트리에 저장합니다. constants.vbs를 실행하면 "인증서 서비스 상태 및 가용성 모니터링" 절차의 모니터링 스크립트가 사용하는 이전 값으로 다시 변경됩니다. (해당 프로시저(ALERT\_EMAIL\_ENABLED)에서 전자 메일 경고 사용 유무를 설정하는 것은 이 절차에 나오는 경고에는 아무런 영향을 주지 않습니다.) **대기 중인 요청에 대해 전자 메일 경고를 사용하려면 다음을 수행합니다.** 1. 스크립트 파일 C:\\MSSScripts\\constants.vbs에 전자 메일 받는 사람과 SMTP 서버에 대해 올바른 값을 구성합니다. ``` Alerting parameters ' set to comma-separated list of recipients to get email alerts CONST ALERT\_EMAIL\_RECIPIENTS= "Admin@woodgrovebank.com, PKIOps@woodgrovebank.com" CONST ALERT\_EMAIL\_SMTP= "mail.woodgrovebank.com" 'SMTP host to use ``` **참고:** 이 파일에서 발췌한 내용에 들여쓰기된 줄은 앞 줄 내용이 이어지는 것으로 다음 줄에 표시한 것입니다. 파일에서는 한 줄에 있는 내용입니다. 2. 다음 명령을 실행하여 대기열에 대기 중인 요청에 대해 전자 메일 경고를 사용하십시오. cscript //job:SetupSMTPAlerts C:\\MSSScripts\\ca\_monitor.wsf #### 작업 예약 작업을 예약하면 지속적으로 작업과 프로세스를 가장 효율적인 순서로 구성하여 SLA(Service Level Agreement ) 요구 사항에 맞게 시스템 처리량과 사용률을 최대화해야 합니다. 작업 예약은 서비스 모니터링과 제어 및 성능 관리와 밀접하게 관련이 있습니다. ##### 발급하는 CA에서 작업 예약 인증서 서비스 인프라가 원활하게 운영되도록 하려면 CA에서 많은 반복 작업을 실행해야 합니다. 이러한 반복 작업은 작업 오버헤드를 줄이기 위해 자동화합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: - Windows 작업 스케줄러 - MOM(필요한 경우) ###### 작업 정보 다음 표에 발급하는 CA에서 실행되는 자동화된 작업이 나와 있습니다. 이 작업은 이 장 다른 곳에 정의되어 있습니다(**참조 작업** 열에 표시). 다음 표는 참조용일 뿐입니다. 발급하는 CA에서만 자동화된 작업이 실행됩니다. 루트 CA는 장기간 꺼져 있을 수 있으므로 루트 CA 컴퓨터에서는 일정을 안정적으로 유지 관리할 수 없습니다. **표 11.14. 발급하는 CA에 예약된 작업 목록**

작업 설명	일정	실행 주체	참조 작업
CA 시스템 상태를 파일에 백업	매일	Windows 작업 스케줄러	발급하는 CA 데이터베이스 백업 구성 및 실행 루트 CA 데이터베이스 백업 구성 및 실행
백업 저장소에 CA 파일 백업	매일(시스템 상태 백업에 이어 수행)	조직 백업 스케줄러	없음(사용자 조직에서 정의)
IIS에 CRL 게시	매시간	Windows 작업 스케줄러	IIS에 발급하는 CA 및 인증서 게시
온라인 CA 상태 모니터링	매시간	MOM 또는 Windows 작업 스케줄러	인증서 서비스 상태 및 가용성 모니터링
CRL 발급 및 게시 상태 모니터링	매시간	MOM 또는 Windows 작업 스케줄러	인증서 서비스 상태 및 가용성 모니터링
CA 인증서 유효성 모니터링	매일	MOM 또는 Windows 작업 스케줄러	인증서 서비스 상태 및 가용성 모니터링

#### 추가 운영 작업 기타 수많은 운영 작업이 PKI 유지 관리와 관련이 있습니다. 이 작업 중 상당수는 보통 정기적으로 수행할 필요가 없으며 가끔 필요하거나 지원 요청을 처리하는 과정에서 필요합니다. Windows Server 2003 인증서 서비스 제품 설명서에 이런 작업에 관한 설명이 있고 관리에 대한 배경 정보가 있습니다. 상당수는 이 장이나 함께 제공된 구축 설명서("공용 키 구조 구현")에서 다루지 않습니다. 이 솔루션 설명서에서 작업을 다루더라도 제품 설명서가 상세하고 유용한 정보를 제공합니다. 이 문서에 대한 링크는 이 장 끝에 나오는 "추가 정보" 절을 참조하십시오. 문서에 다음 관리 작업을 수행하는 지침이 있습니다. - 인증 기관 서비스 시작 또는 중지 - 보안 권한 설정 및 인증 기관에 대한 제어 위임 - 인증 기관 인증서 보기 - 인증 기관 웹 페이지 액세스에 대한 보안 설정 - 인증서 관리자 제한 구성 - 외부 Active Directory 포리스트에 인증서 게시 - 인증 이벤트가 발생할 때 전자 메일 보내기 - 인증 기관 스냅인 사용 - 인증서 해지 관리 - 독립 실행형 인증 기관에 대한 인증서 요청 관리 - 엔터프라이즈 인증 기관의 인증서 템플릿 관리 - 키 보관 및 복구 관리 - 인증 기관에 대한 정책 설정 변경 - 인증 기관의 정책 또는 끝내기 모듈 변경 - 역할 기반 관리 관리 [](#mainsection)[페이지 위쪽](#mainsection) ### 지원 사분면 작업 지원 사분면의 SMF에 필요한 서비스 수준을 유지하기 위한 사후 대처 및 사전 대비 작업이 모두 있습니다. 사후 대처 기능은 발생한 사건과 문제에 신속하게 대응하고 이를 해결하는 조직의 능력에 의존합니다. 더 바람직한 사전 대비 기능은 서비스 장애를 피해가기 위한 것입니다. 사전 정의된 임계값을 기준으로 솔루션 서비스를 철저하게 모니터링하여 서비스 수준에 영향을 미치기 전에 문제를 식별합니다. 이렇게 하면 운영 직원이 잠재적 문제에 대응하고 해결할 충분한 시간을 갖습니다. 지원 사분면은 운영 사분면에 기술된 서비스 제어 및 모니터링 SMF와 밀접한 관련이 있습니다. 서비스 제어 및 모니터링은 운영 및 지원 담당자가 문제를 탐지하는 데 필요한 필수 정보를 제공합니다. 이 절에서 다루는 절차는 가장 흔히 발생하는 문제를 해결하고 문제로부터 복구하기 위한 것입니다. 이 절에서는 다음 서비스 관리 기능과 관련된 정보를 제공합니다. - 사건 관리 나머지 SMF에 속하는 작업이 없습니다. - 문제 관리(문제 진단은 뒤의 "문제 해결" 절에서 다룹니다.) - 서비스 데스크 **참고:** 각 작업 설명에는 보안 요구 사항, 빈도 및 기술 요구 사항이라는 요약 정보가 들어 있습니다. #### 사건 관리 사건 관리는 IT 서비스를 사용하거나 구현하는 과정에서 고객이나 IT 파트너가 보고한 결함과 장애를 관리하고 제어하는 프로세스입니다. 사건 관리의 주요 목표는 가능한 한 빨리 정상적인 서비스 작동 상태를 복원하고 비즈니스 운영에 미치는 영향을 최소화하여 최상의 서비스 품질과 가용성을 유지하는 데 있습니다. 여기서는 "정상적인 서비스 작동"을 SLA에서 명시하는 서비스 작동으로 정의합니다. 이 절은 "문제 해결" 절과 밀접한 관련이 있습니다. 하지만 "문제 해결" 절은 문제 식별과 진단을 다루는 반면 이 절은 문제 해결에 사용하는 가장 일반적인 작업을 다룹니다. "문제 해결" 절에서 다루는 사건은 다음과 같습니다. - 서버가 응답하지 않음 - CRL을 게시하지 못함 - CRL이 발급되지 않음 - 클라이언트가 등록할 수 없음 - 다시 시작해야 하는 보안 업데이트가 설치됨 - 영구적 서버 오류 - 고아 인증서를 해지해야 함 - CRL 또는 인증서 발급을 위해 적절한 때에 서버를 복원할 수 없음 - 최종 엔터티 인증서가 손상됨 - 발급하는 CA 인증서가 손상됨 - 루트 CA 인증서가 손상됨 이러한 사건 대부분은 다음 절에서 자세히 설명하는 절차 중 하나 이상과 직접 관련이 있습니다. 클라이언트 등록 실패 등의 다른 문제의 경우 필요한 문제 대응 프로세스는 더 복잡하며 "문제 해결" 절에서 논의합니다. ##### 인증서 서비스 서비스 다시 시작 작동상의 여러 가지 이유로 인증서 서비스를 다시 시작해야 합니다. (예를 들어 많은 CA 속성을 다시 구성한 후 변경 내용을 적용하려면 인증서 서비스를 다시 시작해야 합니다.) 서비스가 응답을 중지하거나 예기치 않은 방식으로 작동하는 경우에도 인증서 서비스를 다시 시작해야 합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - 인증 기관 MMC 스냅인 - Net.exe ###### 작업 정보 서비스를 다시 시작하는 방법은 다양하며, 이 작업에서는 아무 방법이라도 사용할 수 있습니다. **CA 서비스를 다시 시작하려면 다음을 수행합니다.** 1. 현재 CA와 트랜잭션을 수행하는 사람이 없는지 확인합니다. 시간이 되면 영향을 받는 사용자에게 알림 메시지를 보냅니다. 2. 인증 기관 MMC에서 CA 개체를 선택합니다. 3. **작업** 메뉴에서 **서비스 중지**를 클릭하거나 명령 창에서 다음을 입력합니다. net stop "Certificate Services" 4. **작업** 메뉴에서 **서비스 시작**을 클릭하거나 명령 창에서 다음을 입력합니다. net start "Certificate Services" **참고:** 감사를 사용할 경우 인증서 서비스를 종료하고 다시 시작하는 데 많은 시간이 소요될 수 있습니다. 대용량 데이터베이스의 경우 10분 이상이 소요될 수도 있습니다. 감사 기능을 사용하면 인증서 서비스가 전체 데이터베이스의 해시를 계산하여 시작 및 종료 감사 항목을 만들기 때문에 전체 서버 종료 및 시작 프로세스 시간이 늘어납니다. 이 지연은 시작 및 종료 감사를 하지 않으면 일어나지 않습니다. ##### CA 서버 다시 시작 운영 체제 업데이트를 적용해야 하는 경우를 비롯하여 운영상의 여러 가지 이유로 CA 서버를 다시 시작해야 합니다. 또한 서비스 응답이 중단되거나 예기치 못한 동작을 하고 있는데 서비스 다시 시작 절차를 통해서는 정상적으로 다시 시작할 수 없는 경우 서버를 다시 시작해야 합니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: Net.exe ###### 작업 정보 **CA 서비스를 다시 시작하려면 다음을 수행합니다.** 1. 현재 CA와 트랜잭션을 수행하는 사람이 없는지 확인합니다. 시간이 되면 영향을 받는 사용자에게 알림 메시지를 보냅니다. 2. 가능하면 다음 명령을 실행하여 인증서 서비스를 중단하여 사용자가 종료 중 CA에 연결할 수 없도록 합니다. net stop "Certificate Services" 3. 컴퓨터를 시작하는 일반적인 운영 체제 절차를 따릅니다. 인증서 서비스 프로세스가 응답을 중지한 것이 확실한 경우가 아니면 인증서 서비스 프로세스를 취소하거나 서버를 끄지 마십시오. 인증서 서비스 프로세스를 종료하면 인증서 서비스 데이터베이스가 손상되어 백업을 사용하여 복원해야 할 수도 있습니다. **참고:** 앞의 작업에서 설명한 대로 프로세스 시작 및 종료 감사를 사용하면 인증서 서비스가 중료하고 다시 시작하는 데 오래 걸립니다. 시작 및 종료 감사를 하지 않을 경우에는 이러한 지연이 발생하지 않습니다. ##### 백업을 사용하여 CA 복원 소프트웨어나 하드웨어의 치명적인 손상으로 CA를 시작할 수 없는 경우 백업을 사용하여 서버와 키 자료를 복원해야 합니다. ###### 요약 정보 - **보안 요구 사항**: - CA의 로컬 Administrators - CA Backup Operators(복원만 수행) - **빈도**: 필요한 경우 - **기술 요구 사항**: - Windows 백업 - 조직 백업 시스템 ###### 작업 정보 다음 단계를 수행하여 백업에서 CA를 복원합니다. **주의**: HSM을 사용하는 경우 이 절차가 설명된 대로 작동하지 않습니다. 키 자료와 액세스 키의 백업, 복원 및 기타 보호에 대한 HSM 공급업체의 지침을 따릅니다. **백업에서 CA를 복원하려면 다음을 수행합니다.** 1. 인증서 서비스를 다시 실행할 수 있는 지점으로 운영 체제를 복구해야 합니다. 이 때 Windows를 다시 설치해야 합니다. Windows 재설치가 필요한 경우에는 구축 설명서의 지침에 따라 기본 운영 체제와 시스템 구성 요소를 설치합니다. 보안이나 기타 구성 설정은 적용할 필요가 없습니다. **경고:** 발급하는 CA에 Windows를 다시 설치해야 하는 경우 두 번째 드라이브를 다시 분할하고 포맷하지 마십시오. 이 드라이브에는 CA 데이터베이스가 들어 있으며, 데이터베이스가 손상되지 않았을 수도 있습니다. 2. 가능하면 CA 데이터베이스(루트 CA의 %systemroot%\\System32\\CertLog 또는 발급하는 CA의 D:\\CertLog에 있음)와 CA 로그(%systemroot%\\System32\\CertLog에 있음)를 그대로 유지하십시오. CA를 복원하기 전에 이 폴더를 파일에 백업합니다. 데이터베이스와 로그는 시스템 오류의 영향을 받지 않았을 수도 있습니다. 로그에는 마지막 백업부터 서버 오류가 발생할 때까지 CA에서 발생한 모든 트랜잭션을 다시 실행하는 데 필요한 정보가 들어 있습니다. 하지만 시스템 상태 백업을 복원하면 로그 및 기존 데이터베이스를 덮어쓰기 때문에 시스템 복원을 시작하기 전에 따로 보관하는 것이 좋습니다. 3. CA의 최신 백업이 있는 백업 미디어를 삽입하고 시스템 상태 백업 파일을 적절한 디스크 영역에 복원합니다(두 번째 드라이브를 사용할 수 있으면 이 드라이브를 사용하는 것이 좋습니다). 4. Windows 백업 프로그램을 시작합니다. **복원** 탭의 왼쪽 창에서 **파일** 개체를 마우스 오른쪽 단추로 클릭한 다음 **카탈로그 파일**을 클릭합니다. 5. 파일을 복원할 위치로 **원래 위치**가 선택되어 있는지 확인한 다음 **복원 시작**을 클릭하여 시스템 상태를 복원합니다. 완료 후 서버를 다시 시작하고 시스템이 다시 시작되면 인증서 서비스를 중단합니다. 6. 2단계에서 CA 로그를 보관한 경우 이를 인증서 서비스 로그 폴더(%systemroot%\\System32\\CertLog)에 다시 복사합니다. 이제 로그는 복원된 데이터베이스에 대해 다시 실행되어 마지막 백업 후 발생한 모든 트랜잭션을 삽입할 준비가 되었습니다. **참고:** 2단계에서 CA 데이터베이스 및 로그를 그대로 저장한 경우 이 단계(6단계)의 절차를 사용하는 대신 서버에 저장한 데이터베이스와 로그를 복원합니다. CA 데이터베이스와 로그를 서버에 다시 복사하기 전에 인증서 서비스 서비스를 중단해야 합니다. 7. 인증서 서비스를 시작합니다. ##### CA 인증서 및 키 쌍을 임시 컴퓨터에 복원 오류가 발생한 CA를 새 CRL(또는 중요한 인증서)을 발급할 수 있도록 제때에 복원할 수 없는 경우 CA 인증서와 키를 임시 컴퓨터에 설치하고 이 인증서와 키를 사용하여 다시 서명하고 기존 CRL이나 인증서의 유효 기간을 연장해야 합니다. ###### 요약 정보 - **보안 요구 사항**: 임시 컴퓨터의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Certutil.exe - Cipher.exe ###### 작업 정보 이 작업은 CA 인증서와 개인 키를 임시 컴퓨터에 복원하는 방법을 설명합니다. CA를 갱신하면 둘 이상의 인증서 및 키 쌍의 백업이 생깁니다. 이 절차에서 가장 최근 키와 인증서 파일을 복원해야 합니다. **중요**: 이 컴퓨터에 CA 키가 설치되어 있어도 CA와 동일한 보안 예방 조치를 취해야 합니다. 오프라인 CA의 키를 복원하는 경우에는 컴퓨터가 오프라인상에 있는지 확인합니다. 키 사용이 끝난 후에는 컴퓨터의 디스크를 다시 포맷하는 것이 좋습니다. **주의**: HSM을 사용하는 경우 이 절차가 설명된 대로 작동하지 않습니다. 키 자료와 액세스 키의 백업, 복원 및 기타 보호에 대한 HSM 공급업체의 지침을 따릅니다. **CA 키와 인증서를 임시 컴퓨터에 복원하려면 다음을 수행합니다.** 1. 컴퓨터의 네트워크 연결이 끊어졌는지 확인합니다. 로컬 관리자의 구성원으로 로그온 한 다음 CAKeySigner라는 로컬 사용자 계정을 만듭니다. 2. 이 계정을 사용하여 로그온합니다. 3. 테스트할 CA 키의 백업이 들어 있는 디스크를 삽입합니다. 4. Windows 탐색기를 사용하여 P12 키 파일로 이동하여 가장 최신 파일을 두 번 클릭하면 인증서 가져오기 마법사가 실행됩니다. 5. 암호를 입력하라는 메시지가 나타나면 입력합니다. 키에 고급 보안을 제공하는 확인란이나 키를 내보낼 수 있게 만드는 확인란은 선택하지 마십시오. 6. CA 키를 복원할 위치로 **개인** **저장소**를 선택합니다. 7. 인증서 MMC 스냅인을 열고 개인용 저장소를 찾습니다. CA 인증서에서 복원된 CA를 찾은 다음 인증서를 열어 해당하는 개인 키가 있는지 확인합니다. 이제 복원된 CA 키가 필요한 모든 재서명 작업을 수행할 수 있습니다. 다음 절차 "CRL 또는 인증서에 다시 서명하여 유효 기간 연장"을 참조하십시오. 완료되면 다음 절차를 사용하여 컴퓨터에서 키를 정리합니다. **시스템에서 키를 정리하려면 다음을 수행합니다.** 1. 로컬 관리자의 구성원으로 로그온하고 CAKeySigner 계정의 사용자 프로필을 삭제합니다(내 컴퓨터의 **고급 속성** 사용). 2. CAKeySigner 계정을 삭제합니다. 3. 다음 명령을 실행하여 키의 흔적을 영구적으로 제거하도록 디스크의 미할당 영역을 안전하게 지웁니다. Cipher /W:%AllUsersProfile% **참고**: %allusersprofile%을 경로로 지정하면 Cipher.exe가 사용자 프로필이 있는 드라이브에서 실행됩니다. 지정된 경로가 아니라 전체 드라이브를 지웁니다. ##### CRL 또는 인증서에 다시 서명하여 유효 기간 연장 서버 오류로 인해 CA를 사용할 수 없는 경우 CRL이나 인증서 파일에 다시 서명하여 CRL이나 인증서의 수명을 연장할 수 있습니다. 이는 서비스를 유지 관리하는 데 필수적입니다. ###### 요약 정보 - **보안 요구 사항**: CA 키 복원 중에 만들어진 임시 계정 - **빈도**: 필요한 경우 - **기술 요구 사항**: Certutil.exe ###### 작업 정보 인증서나 CRL에 다시 서명하여 유효 기간을 연장합니다. 기본 설정은 기존 유효 기간을 사용하고 서명 날짜부터 다시 시작하는 것입니니다. 예를 들어 CRL의 원래 유효 기간이 한 달인 경우 새 유효 기간은 다시 서명한 때부터 시작하여 한 달이 됩니다. 필요하면 Certutil 명령줄에서 다른 유효 기간을 지정할 수 있습니다. **CRL이나 인증서에 다시 서명하려면 다음을 수행합니다.** 1. 다시 서명할 CRL이나 인증서의 복사본을 가져옵니다. 2. 원래 CRL 또는 인증서를 서명하는 데 사용했던 CA 키 및 인증서를 복원한 컴퓨터에 로그온합니다. (이전 절차 "CA 인증서 및 키 쌍을 임시 컴퓨터에 복원"을 참조하십시오.) 그 절차에서 만든 계정을 사용하여 로그온합니다. 3. 다음 명령을 실행합니다. *OldFile.ext*는 CRL이나 인증서 파일의 이름으로 바꾸고, *NewFile.ext*는 필요한 출력 이름으로 바꿉니다. Certutil -sign *OldFile.ext NewFile.ext* 4. 사용할 인증서를 묻는 메시지가 나타나면 CA 인증서를 선택합니다. 5. CRL에 다시 서명하면 필요한 경우 CRL을 CDP에 게시해야 합니다("운영 사분면 작업" 절의 CRL 게시 절차를 참조하십시오.). ##### 최종-엔터티 인증서 해지 다음과 같은 여러 가지 이유로 인증서를 해지해야 하는 경우가 있습니다. - 인증서와 연결된 기능이나 사용 권한이 인증서 소유자에게서 취소되었습니다. - 인증서 키가 손상되었습니다. - 인증서를 발급한 CA가 손상되었습니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증 기관 MMC 스냅인 ###### 작업 정보 이 절차는 최종-엔터티 인증서(예: CA가 아닌 사람에게 발급된 인증서)를 해지하는 단계를 보여 줍니다. CA 인증서를 해지하는 경우에는 다른 곳에 설명된 절차를 따릅니다. **인증서를 해지하려면 다음을 수행합니다.** 1. 인증서 관리자 그룹의 구성원으로 로그온한 다음 인증 기관 MMC의 인증 기관 데이터베이스에서 해지할 인증서를 찾습니다. (CA **발급된 인증서** 폴더의 **보기** 메뉴에 있는) **필터** 옵션을 사용하여 인증서를 찾습니다. 2. 인증서를 선택한 후 **작업** 메뉴에서 **해지**를 클릭합니다. 3. 해지에 대한 적절한 이유 코드를 선택합니다. 해지 이유가 미리 정의된 이유 코드에 없으면 **지정되지 않음**을 선택합니다. **중요**: 이유로 **인증서 대기**를 선택한 경우에만 나중에 인증서를 복구할 수 있습니다. 나머지 해지 이유에 대해서는 인증서가 영구히 비활성화됩니다. 하지만 인증서를 복구할 가능성이 있다는 이유만으로 **인증서 대기**를 사용하지 마십시오. 일시적으로 인증서를 중단시키려는 경우에만 이 코드를 사용하십시오. ##### 고아 인증서 해지 서버 오류로 인해 백업에서 CA를 복원할 때 마지막 백업부터 오류가 발생할 때까지 발급된 인증서가 인증서 데이터베이스에 없을 수도 있습니다. 이러한 인증서를 고아 인증서라고 합니다. 이는 백업에서 복원한 후 CA 로그가 파괴되었거나 CA 데이터베이스에 대해 로그를 다시 실행할 수 없을 때 발생합니다. 이때는 일반적인 절차로는 고아 인증서를 해지할 수 없습니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: Certutil.exe ###### 작업 정보 고아 인증서를 해지하려면 해지할 인증서의 복사본이나 인증서 일련 번호를 가져와야 합니다. **고아 인증서를 해지하려면 다음을 수행합니다.** 1. 인증서 관리자 그룹의 구성원으로 해지할 인증서를 발급한 CA에 로그온합니다. 2. 인증서 복사본을 얻을 수 없는 경우 다음 명령을 실행하여 더미 인증서를 만들고 CertToRevoke.cer로 저장합니다. *SerialNumber*를 해지할 인증서의 일련 번호로 바꿉니다. Certutil -sign *SerialNumber* CertToRevoke.cer 3. 메시지가 나타나면 현재 CA 인증서를 선택하여 더미 인증서에 서명합니다. 4. 더미 인증서를 만든 후(또는 해지할 실제 인증서 복사본을 얻은 후) 이를 CA 데이터베이스에 가져와야 합니다. 다음 명령을 실행하여 인증서 데이터베이스로 인증서를 가져옵니다. CertToRevoke는 해지할 실제 인증서의 복사본이거나 앞 단계에서 만든 더미 인증서입니다. Certutil -importcert CertToRevoke.cer 5. 표준 절차에 따라 인증서를 해지하십시오(상세한 내용은 이전 절차 "최종 엔터티 인증서 해지" 참조). **중요:** Windows Server 2003의 SP1 이전의 Certutil 버전은 문제가 있습니다. Server 2003을 실행하는 컴퓨터에서 더미 인증서 생성 작업이 실패합니다. SP1 이전 버전을 사용하고 있고 원본 인증서 복사본을 찾을 수 없는 경우의 대안은 기존 인증서를 가져온 다음 이진 편집기를 사용하여 일련 번호를 해지할 인증서의 일련 번호로 바꾸는 것입니다. 이렇게 수정된 인증서를 다음 명령으로 다시 서명합니다. Certutil -sign ModifiedCert.cer CertToRevoke.cer 새로 만들어진 인증서는 이 절차의 4단계를 사용하여 데이터베이스에 가져옵니다. ##### 발급하는 CA 인증서 해지 및 바꾸기 CA의 개인 키가 손상되거나 손상이 의심되는 경우에는 CA 인증서를 해지하고 새 키 쌍을 사용하여 새 CA 인증서를 발급합니다. ###### 요약 정보 - **보안 요구 사항**: 인증서 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증 기관 MMC 스냅인 ###### 작업 정보 루트 CA의 CRL 게시 기간은 매우 길기 때문에 단순히 CA 인증서를 해지하고 새 CRL을 게시하면 해지 후 매우 오랜 시간이 지나야 인증서 사용자가 해지 통지를 받게 됩니다. 손상된 CA에서 발급한 모든 인증서가 되도록 빨리 거부되도록 하기 위해 이 CA가 발급한 모든 인증서도 개별적으로 해지됩니다. **중요**: 모든 인증서 사용자는 새 인증서에 대해 다시 등록해야 합니다. **발급하는 CA 인증서를 해지하려면 다음을 수행합니다.** 1. 인증서 관리자 그룹의 구성원으로 발급하는 CA에 로그온한 다음 인증 기관 MMC 스냅인을 엽니다. 2. 발급된 인증서 폴더에서 모든 인증서를 선택하고 **모든 작업** 메뉴에서 **인증서 해지**를 클릭합니다. 이유 코드로 **인증 기관 손상**을 선택합니다. 3. CA 인증서의 남은 수명과 일치하도록 CRL 게시 간격을 증가시킵니다. 간격을 늘리면 CA 게시 간격이 CA가 발급한 모든 인증서의 남은 수명보다 분명히 길게 됩니다. 4. **델타 CRL 게시** 확인란이 선택되어 있으면 선택을 취소합니다. 5. 해지된 인증서 폴더의 **모든 작업** 메뉴에서 **게시**를 클릭한 다음 **새 CRL**을 클릭합니다. 6. 인증서 관리자 그룹의 구성원으로 루트 CA에 로그온한 다음 인증 기관 MMC를 엽니다. 7. 발급된 인증서 폴더에서 해지할 CA 인증서를 찾은 다음 **모든 작업** 메뉴에서 **인증서 해지**를 클릭합니다. 이유 코드로 **키 손상**을 선택합니다. 8. "운영 사분면 작업" 절의 "오프라인 CRL 및 CA 인증서 게시" 절차에 따릅니다(절차 중 CA 인증서 게시 부분은 무시합니다.). 9. 발급하는 CA로 돌아가서 "운영 사분면 작업" 절의 "발급하는 CA 인증서 갱신" 절차를 따릅니다. 인증서 사용자는 새 CA에 재등록할 수 있습니다. 자동 등록된 인증서는 자동으로 등록됩니다. ##### 루트 CA 인증서 해지 및 바꾸기 루트 인증서의 개인 키가 손상되거나 손상이 의심되는 경우 해당 CA 인증서를 신뢰 지점에서 제거하고 해당 CA와 하위 CA에서 발급한 모든 인증서를 해지해야 합니다. 루트 CA 인증서와 하위 CA에서 발급한 모든 인증서를 새 키를 사용하여 갱신한 다음 Active Directory에 다시 게시해야 합니다. 일반적으로 루트 CA 인증서를 해지할 수 없습니다. CA 인증서에 해지 상태를 확인할 수 있는 CDP가 들어 있지 않은 경우가 많습니다. 어떤 경우에도 CA가 자신의 해지를 증명하는 것은 잘못된 것입니다. (손상된 인증서를 사용하여 해지한 자신의 인증서가 들어 있는 CRL에 서명해야 하기 때문입니다!) ###### 요약 정보 - **보안 요구 사항**: - Certificate Managers - CA의 로컬 Administrators(CA 갱신 하위 작업에 필요) - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증 기관 MMC 스냅인 ###### 작업 정보 **참고**: 모든 인증서 사용자는 이 절차를 완료한 후 새 인증서를 다시 등록해야 합니다. **루트 CA 인증서를 해지하려면 다음을 수행합니다.** 1. 인증서 관리자 그룹의 구성원으로 발급하는 CA에 로그온한 다음 인증 기관 MMC 스냅인을 엽니다. 2. 발급된 인증서 폴더에서 모든 인증서를 선택하고 **모든 작업** 메뉴에서 **인증서 해지**를 클릭합니다. 이유 코드로 **인증 기관 손상**을 선택합니다. 3. CA 인증서의 남은 수명에 맞게 CRL 게시 간격을 늘립니다. 간격을 늘리면 CA 게시 간격이 CA가 발급한 모든 인증서의 남은 수명보다 분명히 길게 됩니다. 4. **델타 CRL 게시** 확인란이 선택되어 있으면 선택을 취소합니다. 5. 해지된 인증서 폴더의 **모든 작업** 메뉴에서 **게시**를 클릭한 다음 **새 CRL**을 클릭합니다. 모든 하위 CA에 대해 1~5단계를 반복합니다. 6. Certificate Managers 그룹의 구성원으로 루트 CA에 로그온한 다음 인증 기관 MMC 스냅인을 엽니다. 7. 발급된 인증서 폴더에서 모든 인증서를 선택하고 **모든 작업** 메뉴에서 **인증서 해지**를 클릭합니다. 이유 코드로 **인증 기관 손상**을 선택합니다. 8. CA 인증서의 남은 수명에 맞게 CRL 게시 간격을 늘립니다. 간격을 늘리면 CA 게시 간격이 CA가 발급한 모든 인증서의 남은 수명보다 분명히 길게 됩니다. 9. **델타 CRL 게시** 확인란이 선택되어 있으면 선택을 취소합니다. 10. "루트 CA 인증서 갱신" 작업 절차를 따릅니다. 11. 발급하는 CA로 돌아가 "발급하는 CA 인증서 갱신" 작업 절차를 따릅니다. 인증서 사용자는 이제 새 CA에 등록할 수 있습니다. 자동 등록된 인증서는 자동으로 등록됩니다. **중요**: 루트 CA 인증서를 갱신하는 것은 매우 중요한 작업입니다. 특히, 자식 CA와 자식 CA에서 발급한 인증서를 해지하는 작업이 포함되는 경우 더욱 그렇습니다. 응용 프로그램 소유자가 새 루트를 응용 프로그램에 구성해야 하는 경우에는 관련 응용 프로그램 소유자에게 새 루트 인증서에 대해 알려 주어야 합니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 최적화 사분면 작업 최적화 사분면에는 서비스 수준을 유지 관리하거나 개선하는 데 따르는 비용을 관리하는 SMF가 포함됩니다. 최적화 사분면 작업에는 정전/사건 검토, 비용 구조 조사, 직원 평가, 가용성 및 성능 분석, 성능 예측 등이 있습니다. 이 절에서는 다음 SMF와 관련된 정보를 제공합니다. - 성능 관리 나머지 SMF에 속하는 작업이 없습니다. - 서비스 수준 관리 - 재무 관리 - 가용성 관리 - IT 서비스 지속성 관리 - 인력 관리 **참고:** 각 작업 설명에는 보안 요구 사항, 빈도 및 기술 요구 사항이라는 요약 정보가 들어 있습니다. #### 성능 관리 성능 관리는 SLA에 명시된 성능 수준 내에서 사용자의 요구 사항을 만족시키는 서비스 솔루션 성능을 계획, 조정 및 제어하는 프로세스입니다. 이런 요구를 충족하려면 서비스 솔루션의 사용 시나리오, 패턴, 로드가 가장 많을 때의 특성은 물론 명시된 성능 요구 사항에 대한 정보가 필요합니다. ##### 발급하는 CA에 대한 최대 로드 결정 이 절에서는 발급하는 CA에 할당할 수 있는 최대 로드에 대한 정보를 제공합니다. 일반적으로 CA의 로드는 그다지 많지 않지만 로드가 급격히 늘어날 때가 가끔 있습니다. CA의 로드가 가장 많을 때는 대개 로그온이 가장 많을 때이거나 새 인증서 종류를 롤아웃하는 동안 시스템을 시작할 때입니다. 마찬가지로 흔한 경우는 아니지만 대량의 인증서 해지나 CA 인증서 해지 작업을 수행하면 새 인증서를 다시 등록하는 사용자와 컴퓨터로 인해 로드가 갑자기 늘어납니다. ###### 요약 정보 - **보안 요구 사항**: 없음 - **빈도**: 설치 작업 - **기술 요구 사항**: 없음 ###### 작업 정보 Microsoft 내부의 테스트 결과 일반적인 엔터프라이즈 CA의 경우 높은 로드 하에서의 성능 병목 현상은 Active Directory와의 상호 작용으로 인해 발생한다는 사실이 밝혀졌습니다. 인증서에 서명하고 발급하는 작업은 인증서 주체 정보를 검색하기 위해 디렉터리를 조회한 다음 다시 Active Directory에 인증서를 게시하는 것으로 인한 오버헤드에 비교하면 비교적 로드가 적습니다. 예를 들어 새 인증서 종류를 사용하며 모든 사용자와 컴퓨터가 이 인증서를 등록해야 하는 경우에는 다음과 같은 일반적인 최대 로드 시나리오를 채택합니다 - 사용자 수 :3,000 - 컴퓨터 수:3,000 - 엔터프라이즈 CA의 대략적인 최대 발급 속도는 초당 인증서 30개(또는 분당 인증서 1800개)입니다. 이 수치에서 최소 총 등록 시간이 3.3분임을 알 수 있습니다. 15,000명의 사용자와 같은 수의 컴퓨터가 동시에 등록하는 경우 등록 시간은 16.6분으로 늘어납니다. 조직에서 등록이 가장 많을 때의 최대 로드가 어느 정도 될지 결정하여 총 등록 시간을 계산해야 합니다. 시간이 너무 오래 걸리고 어떤 식으로든 등록을 막을 수 없는 경우에는 발급하는 CA를 여러 개 배포하는 것을 고려해야 합니다. 발급하는 CA는 Active Directory 사이트를 분리하여 배포하여 도메인 컨트롤러를 따로 사용하도록 하는 것이 좋습니다. ##### 발급하는 CA에 대한 저장소 및 백업 요구 사항 결정 이 절에서는 CA 저장소 매개 변수에 대한 성능 정보를 제공합니다. 이러한 정보는 성능 계획자가 온라인 디스크 및 오프라인 백업 저장소에 대한 추후 저장소 요구 사항을 계산하는 데 도움이 됩니다. ###### 요약 정보 - **보안 요구 사항**: 없음 - **빈도**: 필요한 경우 - **기술 요구 사항**: 없음 ###### 작업 정보 다음 절에서는 CA 데이터베이스 크기, CA 데이터베이스 로그 크기,CRL 크기 및 백업 시간대(예: CA 데이터베이스 백업에 필요한 시간)를 계산할 때 필요한 가정과 계산 결과를 보여 줍니다. 이 계산은 다음과 같은 가정에 바탕을 둡니다. - 3,000명의 사용자, 3,000대의 컴퓨터 및 100-300대의 서버 - 각 최종 엔터티에게는 매년 유효 기간이 1년인 다섯 개의 인증서가 발급됩니다. - 인증서는 5년 동안 데이터베이스에 유지됩니다. - 데이터베이스는 매일 백업됩니다. 데이터베이스 로그는 잘립니다. **인증서 데이터베이스 크기** 각 인증서 항목은 데이터베이스에서 20KB 정도의 공간을 차지합니다(인증서에 개인 키를 보관하는 인증서의 경우 인증서당 10KB의 저장소가 추가로 필요합니다.). 대략적인 계산 결과는 다음과 같습니뉀¤. - 한 번에 150,000개의 인증서가 데이터베이스에 저장됩니다. - 총 인증서 데이터베이스 크기는 3GB입니다. 사용자가 15,000명인 조직의 경우 인증서 데이터베이스 크기는 15GB입니다. **평균 인증서 데이터베이스 로그 크기** - 매일 750개의 인증서가 만들어집니다. - 평균 로그 크기는 5MB입니다. 사용자가 15,000명인 조직의 경우 매일 3750개의 인증서를 발급하여 최대 25MB의 로그를 만듭니다. **CRL 크기** CRL 항목은 약 30바이트입니다. 보통 발급된 인증서의 약 10%가 해지됩니다. 유효 기간이 지난 해지된 인증서는 CRL에 포함되지 않습니다. - 주어진 어느 시간에 유효 기간 내에 있는 인증서는 30,000개입니다. - 3,000개의 인증서가 CRL에 있습니다. - CRL 크기는 90KB입니다. 사용자가 15,000명인 조직의 경우 15,000개의 인증서가 CRL에 있고 CRL 크기는 440KB입니다. **인증서 데이터베이스에 대한 백업 창** 네트워크 백업이 이상적인 조건에서 전용 100Mbps(초당 메가비트) 스위치에서 백업 서버로 수행되고 있다고 가정하면 3GB의 데이터베이스와 500MB의 시스템 상태를 약 15-20분 내에 백업할 수 있습니다. 인증서 데이터베이스가 15GB이고 사용자가 15,000명인 조직은 두 시간 안에 백업할 수 있습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 변경 사분면 작업 변경 사분면에는 관리되는 IT 환경의 변경 내용을 식별, 검토, 승인 및 통합하는 데 필요한 프로세스와 절차가 포함됩니다. 변경에는 유/무형의 자산과 특정 프로세스 및 절차와 관련된 변경 내용이 포함됩니다. 변경 프로세스의 목표는 서비스를 가능한 한 중단시키지 않으면서 새로운 기술, 시스템, 응용 프로그램, 하드웨어, 도구, 프로세스 및 역할과 업무의 변경 내용을 신속하게 IT 환경에 도입하는 데 있습니다. 이 절에서는 다음 SMF와 관련된 정보를 제공합니다. - 변경 관리 - 구성 관리 - 릴리스 관리 **참고:** 각 작업 설명에는 보안 요구 사항, 빈도 및 기술 요구 사항이라는 요약 정보가 들어 있습니다. #### 변경 관리 변경 관리 SMF는 IT 환경의 변경을 관리합니다. 변경 관리 프로세스의 주요 목표는 특정 변경으로 인해 영향을 받는 모든 당사자가 앞으로 발생할 변경으로 인한 영향을 제대로 인식하도록 하는 데 있습니다. 대부분의 시스템은 서로 밀접하게 관련이 있으므로 시스템의 한 부분에서 발생한 변경은 다른 부분에도 많은 영향을 미칩니다. 이로 인한 부정적인 영향을 줄이거나 없애기 위해 변경 관리에서는 해당 변경을 배포하기 전에 영향을 받는 모든 시스템과 프로세스를 식별하려고 합니다. 일반적으로 "대상" 환경 또는 관리되는 환경은 프로덕션 환경이지만 핵심적인 통합, 테스트 및 준비 환경도 포함되어야 합니다. PKI에 대한 모든 변경은 아래에 나오는 표준 MOF 변경 관리 프로세스를 따라야 합니다. 1. **변경 요청**. RFC(변경 요청) 제출을 통해 공식적으로 변경이 시작됩니다. 2. **변경 분류**. 변경의 긴급 정도와 인프라나 사용자에게 미치는 영향을 기준으로 변경에 우선 순위와 범주를 할당하는 것입니다. 이렇게 하면 구현 속도와 경로에 영향을 줍니다. 3. **변경 허가**. 변경 관리자와 IT 및 비즈니스 담당자가 포함된 CAB(변경 검토 위원회)에서 변경을 검토한 후 승인하거나 거부하는 것입니다. 4. **변경 개발**. 변경을 계획하고 개발하는 것으로, 그 범위가 매우 다양하며 중간의 주요 시점에 대한 검토가 포함됩니다. 5. **변경 릴리스**. 프로덕션 환경에 변경을 릴리스하고 배포하는 것입니다. 6. **변경 검토**. 변경을 통해 사전에 설정된 목표가 달성되었는지 여부를 검토하고, 변경을 그대로 유지할지 아니면 취소할지 여부를 결정하는 구현 후 프로세스입니다. 이 절의 절차는 사용자 환경에서 정기적으로 요구되는 주요 변경 일부에 대한 변경 개발 절차를 간략하게 보여 줍니다. 각 변경 개발 절차에는 해당 변경을 프로덕션 환경에 배포하는 방법을 설명하는 변경 릴리스 절차가 포함되어 있습니다. ##### 운영 체제 업데이트 관리 인증서 서비스의 보안 업데이트 관리는 일반 Windows 패치 관리의 일부입니다. 이는 Microsoft의 두 솔루션 설명서에서 다루는데 이 솔루션은 Microsoft SMS(Systems Management Server) 또는 Microsoft SUS(Software Update Services)를 사용하여 Windows 운영 체제 업데이트 제공을 다룹니다. 설명서를 구하는 방법에 대해서는 장 뒷부분의 "추가 정보" 절을 참조하십시오. 패치 관리에는 릴리스 관리 및 구성 관리 구성 요소 그리고 변경 관리 구성 요소가 포함됩니다. 하지만 세 가지 SMF 모두 앞절에서 참조한 설명서에서 다룹니다. ###### 요약 정보 - **보안 요구사항**: CA의 로컬 관리자 - **빈도**: 설치 작업 - **기술 요구 사항**: 보안 업데이트 배포 인프라(예: SMS 또는 SUS) ##### 인증서 템플릿 추가 새 인증서 템플릿을 추가하여 새 인증서 형식을 발급합니다. 이는 새 응용 프로그램을 배포하는 중이거나 기존 응용 프로그램에 새 기능이 필요할 때 필요합니다. 이 작업은 기존 인증서 종류를 업데이트하는 프로세스의 일부이기도 합니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증서 템플릿 MMC 스냅인 새 인증서 종류에 대한 요청을 제출하기 전에 프로덕션 환경을 본딴 테스트 환경에서 인증서를 테스트합니다. 새 인증서를 요청하는 이유를 문서화하며, 여기에는 다음과 같은 항목을 포함합니다. - 새 템플릿이 필요한 이유 - 사용자와 인프라에 미치는 영향 평가 - 변경을 수행하지 않음으로써 발생하는 영향 평가 - 변경 테스트 결과 이 문서에는 인증서 정책 및 CPS(인증서 사용 약관)와 관련된 업데이트가 포함되어야 합니다. 그런 다음 우선 순위와 영향을 기준으로 변경을 평가해야 합니다. 변경이 승인된 후에는 (릴리스되지 않았더라도) 구현할 수 있습니다. ###### 작업 정보 다음 절차는 테스트 환경에서만 수행해야 합니다. 프로덕션 환경에서 이러한 변경을 수행하는 프로세스는 "새 인증서 템플릿 릴리스" 절차에 설명되어 있습니다. **새 인증서 템플릿을 구현하려면 다음을 수행합니다.** 1. Enterprise PKI Admins의 구성원으로 로그온한 다음 인증서 템플릿 MMC 스냅인을 엽니다. 2. 새 템플릿은 기존 템플릿을 복제하여 만듭니다. 새 템플릿의 기준으로 적절한 템플릿을 선택합니다. 만들려는 새 템플릿과 최대한 비슷한 것이 좋습니다. **중요:** 원본 템플릿의 기본 템플릿 형식(사용자 또는 컴퓨터)이 새 템플릿의 주체 형식과 일치해야 합니다. 형식은 템플릿 편집기에서 변경할 수 없습니다. 3. 필요에 따라 템플릿 정보를 편집합니다. 이 단계에 관한 상세한 정보는 로컬 도움말 시스템 또는 "추가 정보" 절의 온라인 리소스의 제품 설명서를 참조하십시오. 4. 이 템플릿이 기존 템플릿을 대체하기 위한 것이라면 대체된 템플릿을 새 템플릿 속성의 **대체된 템플릿** 목록에 추가해야 합니다. 대체한 템플릿이 대체된 템플릿과 동일한 기능 또는 기능 집합을 제공하는 경우에는 세심한 주의를 기울여야 합니다. 제거할 기능을 어떤 응용 프로그램도 사용하지 않는다는 것이 확실한 경우에만 해당 기능을 제거합니다. 5. 변경이 예상대로 작동하며 기존 응용 프로그램에 좋지 않은 영향을 미치지는 않는지 테스트합니다. 6. 인증서 정책 문서와 CPS를 적절히 변경합니다. 7. "새 인증서 템플릿 릴리스" 및 "새 CPS 릴리스" 절차를 따릅니다(CPS를 게시한 경우). ##### 인증서 템플릿 업데이트 이 작업은 인증서 템플릿에서 몇 가지 사소한 변경을 수행하는 방법을 설명합니다. 대규모 변경 작업은 템플릿 복제 및 새 템플릿으로 기존 템플릿 대체하기를 실행하여 수행하는 것이 좋습니다(이전 작업 "인증서 템플릿 추가"에서 설명). ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: 인증서 템플릿 MMC 스냅인 ###### 작업 정보 인증서 템플릿에서 몇 가지 사소한 변경(인증서 사용자에게 큰 영향을 주지 않을 변경)만 수행해야 합니다. 이는 템플릿 수정으로 인한 영향을 제어하는 것이 훨씬 어려우며 템플릿 변경 내용을 롤백하는 것이 매우 복잡하기 때문입니다. 사소한 변경의 예는 다음과 같습니다. - 유효 기간 또는 갱신 기간 변경 - 허용되는 CSP 종류 추가(제거는 해당되지 않음) 인증서의 기능에 영향을 주는 변경(예: 인증서 정책 변경, CSP 종류 제거, 발급 기준 변경)은 새 템플릿 종류를 만든 다음 새 템플릿으로 기존 템플릿을 대체하여 구현합니다. "인증서 템플릿 추가" 절차에 설명된 대로 변경 요청을 평가하고 승인합니다. 그런 다음 프로덕션 환경에 변경을 릴리스하여 제안된 템플릿 변경을 구현하고 테스트할 수 있습니다. "템플릿 업데이트 릴리스" 절차를 참조하십시오. **인증서 템플릿을 업데이트하려면 다음을 수행합니다.** 1. Enterprise PKI Admins 그룹의 구성원으로 로그온한 다음 인증서 템플릿 스냅인을 MMC로 로드합니다. 2. 수정할 템플릿을 열고 필요에 따라 변경합니다. 이 단계에 관한 상세한 정보는 로컬 도움말 시스템 또는 "추가 정보" 절의 온라인 리소스의 제품 설명서를 참조하십시오. 3. 업데이트를 테스트하여 필요한 기능을 제공하는지 확인합니다. 4. "새 인증서 템플릿 릴리스" 및 "새 CPS 릴리스" 절차의 단계를 따릅니다(해당되는 경우). ##### 인증서 템플릿 제거 인증서 템플릿이 더 이상 필요하지 않으면 현재 상태에서 제거하거나 디렉터리에서 완전히 제거할 수 있습니다. ###### 요약 정보 - **보안 요구 사항**: CA Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - 인증서 템플릿 MMC 스냅인 - 인증 기관 MMC 스냅인 ###### 작업 정보 해당 인증서 종류를 사용하는 응용 프로그램이 없다는 것이 확실한 경우에만 템플릿을 제거합니다. "인증서 템플릿 추가" 절차에 설명된 것과 같은 방법으로 템플릿 제거 요청을 평가하고 승인합니다. 항상 첫 번째 절차에 따라 임시로 사용할 수 없도록 템플릿을 제거한 다음 그 결과를 확인한 후에 디렉터리에서 템플릿을 완전히 삭제하도록 합니다. 그런 다음 템플릿 제거 변경을 실행하고 테스트한 후 프로덕션 환경에 변경을 릴리스합니다. "템플릿 제거 릴리스" 절차를 참조하십시오. **임시로 사용할 수 없도록 인증서 템플릿을 제거하려면 다음을 수행합니다.** 1. CA Admins의 구성원으로 로그온하여 인증 기관 스냅인을 MMC에 로드합니다. 2. 인증서 템플릿 폴더에서 제거할 템플릿을 마우스 오른쪽 단추로 클릭하고 **삭제**를 선택합니다. 3. 현재 이 인증서 종류를 발급하는 모든 발급하는 CA에 대해 1단계와 2단계를 반복합니다. 4. 이전에 이 템플릿을 사용했던 모든 응용 프로그램을 테스트하여 이 인증서 종류에 더 이상 의존하지 않는지 확인합니다. 5. "템플릿 제거 릴리스" 및 "새 CPS 릴리스" 절차의 단계를 따릅니다(필요한 경우). **디렉터리에서 인증서 템플릿을 완전히 제거하려면 다음을 수행합니다.** 1. Enterprise PKI Admins 그룹의 구성원으로 로그온한 다음 인증서 템플릿 스냅인을 MMC에 로드합니다. 2. 제거할 템플릿을 마우스 오른쪽 단추로 클릭하고 **삭제**를 선택합니다. #### 구성 관리 구성 관리 SMF는 CI(구성 항목)라고 하는 핵심 IT 구성 요소나 자산에 대한 식별, 기록, 추적 및 보고 업무를 담당합니다. 캡처되고 추적되는 정보는 CI마다 다르지만 대개 CI에 대한 설명, 버전, CI를 이루는 구성 요소, 다른 CI와의 관계, 위치/할당 및 현재 상태 등이 포함됩니다. PKI 구성 관리는 다음과 같이 몇 가지 주요 영역으로 나뉩니다. - **엔터프라이즈 PKI 구성**. Active Directory에 저장된 공통 정보입니다. - **인증서 템플릿 구성**. 모든 활성 템플릿의 구성 세부 정보입니다. - **CA 구성**. CA별 구성 세부 정보입니다. - **CA 및 PKI 관리 그룹**. PKI 관리 그룹과 사용자 및 이들이 가지고 있는 사용 권한에 대한 정보입니다. - **클라이언트 구성.** 그룹 정책(또는 다른 방법)을 통한 사용자 및 컴퓨터의 구성 설정입니다. 다음의 각 절에서는 이러한 항목에 대해 더 자세히 설명하고 이러한 정보를 자동으로 수집하는 방법을 보여 줍니다. 구성 관리에 대한 추가 자료는 이 장 끝에 있는 "추가 정보" 절을 참조하십시오. ##### 엔터프라이즈 PKI 구성 정보 수집 신뢰할 수 있는 루트 CA 게시, 엔터프라이즈 CA 구성 및 알림 정보를 비롯하여 엔터프라이즈 차원의 구성 정보는 Active Directory에 저장됩니다. 이 정보에는 인증서 템플릿도 포함되지만 뒷부분의 절차에서 별도로 논의합니다. ###### 요약 정보 - **보안 요구 사항**: 도메인 사용자 - **빈도**: 필요한 경우 - **기술 요구 사항**: - Certutil.exe - DSQuery.exe ###### 작업 정보 Active Directory에 저장된 다음 정보에 대한 기록을 유지 관리합니다. - 신뢰할 수 있는 루트 인증 기관 - NTAuth 저장소 - 등록 서비스(엔터프라이즈 CA) - 상호 인증서 - 게시된 CRL 이 정보를 수집하는 명령은 다음 절차에서 제공합니다. **중요:** 다음 명령에서 예의 루트 도메인 DN(고유 이름)(*DC=woodgrovebank,DC=com*)을 *사용자* 포리스트 루트의 DN으로 바꾸어야 합니다. **참고:** 다음 명령 중 일부는 여러 줄로 표시되지만 입력할 때는 한 줄로 입력해야 합니다. **신뢰할 수 있는 루트 인증 기관을 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise Root **NT Auth 저장소를 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise NTAuth **현재 엔터프라이즈 CA의 인증서를 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cACertificate?one? objectClass=pkiEnrollmentService" **중간 및 상호 인증서를 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise CA **중간 CA 인증서만 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cACertificate?one? objectClass=certificationAuthority" **상호 인증서만 표시하려면 다음 명령을 실행합니다.** certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cRossCertificatePair?one? objectClass=certificationAuthority" **현재 게시된 CRL을 표시하려면 다음 명령을 실행합니다.** 1. 이 명령은 Active Directory CDP 컨테이너에 CDP를 게시한 모든 CA의 **서버 이름**을 표시합니다. dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com*" -attr cn -scope onelevel 2. 이 명령은 Active Directory CDP 컨테이너에 CRL을 게시한 각 CA의 CDP를 표시합니다. CDP는 앞 목록에 표시된 서버 개체의 자녀 개체입니다. CA는 일반 이름을 사용하여 각 CDP 개체의 이름을 지정합니다. CA는 각 CA 버전에 대해 새 CDP를 만듭니다(CA가 갱신될 때마다 증분됨). 일반 이름은 "CACommonName(X)"로 저장되며 여기에서 X는 CA 버전 번호입니다. dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, *DC=woodgrovebank,DC=com*" -attr cn -filter (objectclass=crlDistributionPoint) 3. 3. 전단계의 정보를 사용하여 주어진 CDP의 CRL을 표시합니다(2단계의 CA 일반 이름 및 1단계에서 얻은 CA 서버 이름 사용). certutil -store -enterprise "ldap:///cn=*Woodgrove Bank Root CA*,cn=*HQ-CA-01*,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?certificateRevocationList?base?objectClass=cRlDistributionPoint" **중요**: "Woodgrove Bank Root CA"는 CA의 일반 이름으로, "HQ-CA-01"은 CA의 호스트 이름으로 그리고 "DC=woodgrovebank,DC=com"은 사용자 포리스트 루트 도메인의 DN으로 바꿉니다. **참고**: 이 작업을 정기적으로 실행해야 할 경우에는 간단한 명령 파일(배치) 스크립트를 만들어 작업을 자동화할 수 있습니다. ##### 인증서 템플릿 구성 정보 수집 인증서 템플릿은 Active Directory에 저장됩니다. 각 템플릿의 구성 레코드와 각 템플릿에 사용되는 인증서 등록 권한 레코드를 관리합니다. ###### 요약 정보 - **보안 요구 사항**: 도메인 사용자 - **빈도**: 필요한 경우 - **기술 요구 사항**: Certutil.exe ###### 작업 정보 다음 명령을 사용하여 이 구성 정보를 수집합니다. **Active Directory에 구성된 템플릿 목록을 만들려면 다음 명령을 실행합니다.** Certutil -template **이 템플릿 구성을 덤프하려면 다음 명령을 실행합니다.** Certutil -dsTemplate **템플릿 사용 권한을 덤프하려면 다음을 수행합니다.** Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,*DC=woodgrovebank,DC=com*" 모든 템플릿 사용 권한을 쉽게 읽을 수 있는 형태로 내보내는 도구는 없습니다. Dsacls.exe는 템플릿 사용 권한을 표시합니다. 하지만 현재 버전은 확장된 권한 "자동 등록" 사용 권한은 표시하지 않습니다("등록" 및 나머지 확장 권한 사용 권한은 표시함). 즉, "자동 등록" 사용 권한은 수동으로 기록해야 합니다. 다른 방법으로 ADSI(Active Directory Services Interface)를 사용하는 스크립트 또는 도구를 작성하여 모든 사용 권한을 제대로 읽고 표시할 수 있습니다. ##### CA 구성 정보 수집 이 절은 각 CA에 로컬로 저장되는 구성 정보를 검색하는 법을 설명합니다. 엔터프라이즈 CA의 경우 일부 정보는 Active Directory에 저장됩니다. ###### 요약 정보 - **보안 요구 사항**: CA의 로컬 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: Certutil.exe ###### 작업 정보 다음 정보에 대한 기록을 유지 관리합니다. - CA 레지스트리 정보 - CA 인증서 정보 - CA 사용 권한 - CA에서 할당한 템플릿 - CA CPS - 다음 명령을 사용하여 이 구성 정보를 수집합니다. **CA 레지스트리 구성을 표시하려면 다음 명령을 실행합니다.** Certutil -getreg Certutil -getreg CA **현재 CA 인증서를 표시하려면 다음 명령을 실행합니다.** certutil -f -ca.cert %temp%\\CAcert.cer > nul && certutil -dump %temp%\\CACert.cer **참고:** 이 명령 일부는 여러 줄로 표시되지만 입력할 때는 한 줄로 입력해야 합니다. 모든 CA 사용 권한 정보를 보기 편리한 형식으로 내보내는 도구는 없습니다. 하지만 ADSI 스크립트를 작성하여 모든 사용 권한을 제대로 읽고 표시할 수 있습니다. 그렇지 않으면 이 정보를 수동으로 기록하는 방법이 있습니다. **현재 이 CA에 할당된 템플릿을 표시하려면 다음 명령을 실행합니다.** Certutil -CATemplates 언제든지 현재 적용되고 있는 CPS를 쉽게 식별하고 검색할 수 있도록 적절한 버전 관리를 통해 CA CPS 파일을 유지 관리해야 합니다. ##### CA 및 PKI 관리 그룹 정보 수집 PKI 관리 그룹의 구성원은 CA와 엔터프라이즈 PKI 정보의 모든 부분을 제어하므로 구성 정보의 중요한 부분을 차지합니다. ###### 요약 정보 - **보안 요구 사항**: 도메인 사용자 - **빈도**: 필요한 경우 - **기술 요구 사항**: Net.exe ###### 작업 정보 각 PKI와 CA 관리 그룹의 현재 구성원을 나열하고 기록합니다. 구성원 중 자체적으로 그룹인 구성원(이름 앞에 별표 표시)이 있으면 모든 PKI 그룹 구성원이 나열될 때까지 해당 그룹의 구성원을 차례대로 나열합니다. 기본 그룹은 다음과 같습니다. - Enterprise PKI Admins - Enterprise PKI Publishers - CA Admins - Certificate Managers - CA Auditors - CA Backup Operators 사용자가 만들었을 수 있는 추가 관리 그룹도 포함해야 합니다. **각 그룹의 구성원을 나열하려면 다음 명령을 실행합니다.** Net groups *groupname* /domain ##### 인증서 클라이언트 구성 정보 수집 여기서 말하는 클라이언트 구성 정보는 대개 그룹 정책을 사용하여 배포됩니다. 다른 메커니즘(예: SMS 또는 로그온 스크립트)을 사용하여 PKI 관련 클라이언트 설정을 배포하는 경우 마찬가지로 여기서 문서화해야 합니다. ###### 요약 정보 - **보안 요구 사항**: 그룹 정책 개체를 관리할 수 있는 권한이 있는 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: 그룹 정책 관리 콘솔 ###### 작업 정보 GPMC(그룹 정책 관리 콘솔)를 사용하여 PKI 클라이언트 구성 정보를 수집하고 나열합니다. GPMC를 구하고 사용하는 법은 "추가 정보" 절을 참조하십시오. #### 릴리스 관리 릴리스 관리는 소프트웨어와 하드웨어를 관리되는 IT 환경에 도입하는 업무를 담당합니다. 관리되는 IT 환경에는 일반적으로 프로덕션 환경과 관리되는 프로덕션 이전 환경이 포함됩니다. 릴리스 관리는 릴리스 개발/프로젝트 팀과 릴리스를 프로덕션 환경에 배포하는 업무를 담당하는 작업 그룹이 통합되는 지점입니다. 이 절에서는 인증서 종류 추가, 변경 및 제거와 같은 가장 일반적인 변경에 대해 다룹니다(인증서 템플릿 사용). 이와 동일하게 체계적인 방법으로 릴리스해야 할 다른 종류의 변경도 있습니다. - **PKI 구성 변경**. 예로는 템플릿 및 OID 등이 있습니다. - **CA 구성 변경**. 로컬 레지스트리와 등록 개체의 Active Directory 설정입니다. - **클라이언트 구성 변경**. GPO 변경 모든 릴리스 절차는 다음의 일반 프로세스를 사용합니다. 1. 변경 릴리스 준비 - 기존 구성 백업 2. 제어되는 방식으로 변경 테스트 3. 제한된 수의 사용자 또는 컴퓨터로 제어되는 방식으로 변경을 롤아웃합니다. 4. Active Directory 및 CA 구성이 잘못된 경우 변경을 롤백합니다. ##### 새 인증서 템플릿 릴리스 새 인증서 종류를 도입하는 것은 IT 환경에 중대한 변경을 가져오는 것이므로 제어되며 되돌릴 수 있는 방법으로 릴리스를 수행해야 합니다. ###### 요약 정보 - **보안 요구 사항**: - Enterprise PKI Admins - CA Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - 인증 기관 MMC 스냅인 - 인증서 템플릿 MMC 스냅인 - 종속된 작업에 필요한 기타 도구 ###### 작업 정보 새 인증서 템플릿을 프로덕션 환경에 릴리스하는 절차는 다음과 같습니다. **새 인증서 템플릿을 릴리스하려면 다음을 수행합니다.** 1. 기존 인증서 템플릿 구성을 백업합니다. 백업은 정기적인 Active Directory 백업 작업의 일부로 또는 "Active Directory에서 인증서 템플릿 내보내기" 절차에 기술된 방법으로수행합니다. 2. "인증서 템플릿 추가" 절차에 설명된 대로 새 템플릿을 만듭니다. 3. 그룹의 모든 기본 등록 및 자동 등록을 제거합니다(Authenticated Users 및 Domain Users 등의 개체를 찾습니다). "인증서 템플릿 등록 그룹 만들기" 절차에 설명된 대로 템플릿에 대한 인증서 등록 그룹(및/또는 자동 등록 그룹)을 만듭니다. 4. 새 인증서 템플릿을 발급하는 CA에 추가합니다. CA Admins 그룹의 구성원이 아닌 경우 이 그룹의 구성원으로 로그온하거나(runas 명령 사용) 인증 기관 MMC를 실행합니다. 인증서 템플릿 폴더를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**와 **발급할 인증서 템플릿**을 선택합니다. 목록의 템플릿을 추가합니다. 5. "사용자 또는 컴퓨터에 대해 인증서 종류 등록(또는 자동 등록) 사용"에 설명된 대로 테스트 또는 시범 사용자나 컴퓨터를 인증서 등록 그룹에 추가합니다. 6. 새 인증서 종류가 예상대로 등록되는지 테스트합니다. 7. 인증서 기능을 테스트하여 예상대로 작동하는지 확인합니다. 8. 테스트에 성공하면 "사용자 또는 컴퓨터에 대해 인증서 종류 등록(또는 자동 등록) 사용" 절차에 설명된 대로 최종 프로덕션 사용자, 컴퓨터 또는 보안 그룹을 인증서 등록 그룹에 추가합니다. 9. 이 템플릿이 하나 이상의 기존 템플릿을 대체하는 경우에는 인증 기관 MMC 스냅인으로 발급하는 CA에서 대체된 템플릿을 제거하여 대체된 인증서 종류를 등록하지 못하게 합니다. 모든 사용자가 새 템플릿 종류를 등록할 때까지는 이 템플릿을 디렉터리에서 제거하지 않도록 합니다. 10. 또한 새 인증서의 기능을 반영하도록 사용자 CPS를 업데이트합니다. 새 템플릿 종류를 롤백하는 것은 대체된 템플릿을 삭제하지만 않았다면 비교적 쉽습니다. 대체된 템플릿이 삭제된 경우에는 Active Directory 정식 복원을 사용하거나 "저장소 관리" 절에 설명된 템플릿 내보내기 및 가져오기 절차에 따라 백업에서 복사본을 복원해야 합니다("Active Directory에서 인증서 템플릿 내보내기" 및 "Active Directory로 인증서 템플릿 가져오기"). **새 템플릿 추가를 롤백하려면 다음을 수행합니다.** 1. 이 템플릿으로 다른 템플릿을 대체하지 않았으면 새 템플릿을 삭제하기만 하면 됩니다. 2. 이 템플릿으로 대체한 템플릿을 제거한 경우 먼저 그 템플릿을 복원합니다. "Active Directory에 인증서 템플릿 가져오기" 절차의 단계를 따릅니다. 절차에 설명된 대로 템플릿 사용 권한을 복원해야 합니다. ##### 새 CPS 릴리스 CPS를 게시하려면 먼저 사용자 조직의 변경되는 인증서 정책과 사용법을 반영하도록 CPS를 업데이트해야 합니다. ###### 요약 정보 - **보안 요구 사항**: 웹 서버의 CPS 파일 수정 권한이 있는 관리자 - **빈도**: 필요한 경우 - **기술 요구 사항**: CPS 형식에 맞는 텍스트 또는 HTML 편집기 ###### 작업 정보 CPS는 대개 단순한 HTML 또는 텍스트 파일로 웹 서버나 파일 서버에 저장됩니다. 여러 CA가 한 CPS를 사용하는 경우 표준은 모든 CA가 같은 파일을 참조하도록 하는 것입니다. **새 CPS를 릴리스하려면 다음을 수행합니다.** 1. 기존 CPS를 백업합니다. 2. 오프라인 복사본에 필요한 변경을 수행합니다. 3. CPS를 바꿉니다. 4. 일반적으로 서비스를 제공하는 플랫폼 형식과 위치를 그대로 본딴 클라이언트에서 새 CPS 파일을 읽을 수 있는지 테스트합니다. ##### 템플릿 업데이트 릴리스 이 작업은 제어되며 되돌릴 수 있는 방식으로 기존 인증서 템플릿에 대한 변경을 릴리스하는 방법을 설명합니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - 인증서 템플릿 MMC 스냅인 - 참조하는 절차에 필요한 기타 기술 ###### 작업 정보 변경 내용이 비교적 사소한 것이며 인증서 사용자에게 별다른 영향을 주지 않을 경우에만 인증서 템플릿을 변경해야 합니다. 이는 템플릿 수정으로 인한 영향을 제어하는 것이 훨씬 어려우며 템플릿 변경 내용을 롤백하는 것이 매우 복잡하기 때문입니다. **인증서 템플릿 업데이트를 릴리스하려면 다음을 수행합니다.** 1. "Active Directory에서 인증서 템플릿 내보내기" 절차를 사용하여 현재 템플릿을 파일로 내보냅니다. 2. Enterprise PKI Admins 그룹의 구성원으로 로그온한 다음 인증서 템플릿 스냅인을 MMC로 로드합니다. "인증서 템플릿 업데이트"에 설명된 대로 템플릿을 변경합니다. 3. CPS를 업데이트하고 "새 CPS 릴리스" 절차를 따릅니다(필요한 경우). **인증서 템플릿 업데이트를 롤백하려면 다음을 수행합니다.** - "Active Directory에 인증서 템플릿 가져오기" 절차를 따릅니다("저장소 관리" 절에 있음). ##### 템플릿 제거 릴리스 인증서 템플릿이 더 이상 필요하지 않으면 임시로 사용할 수 없도록 제거하거나 디렉터리에서 완전히 제거할 수 있습니다. ###### 요약 정보 - **보안 요구 사항**: Enterprise PKI Admins - **빈도**: 필요한 경우 - **기술 요구 사항**: - 인증 기관 MMC 스냅인 - 참조하는 작업에 필요한 기타 기술 ###### 작업 정보 임시로 사용할 수 없도록 템플릿을 제거하는 릴리스 절차는 되돌리기가 쉬우므로 비교적 간단한 작업입니다. 그러나 디렉터리에서 템플릿을 제거할 경우 변경 내용을 되돌리려면 템플릿을 다시 가져와야 하므로 문제가 될 수 있습니다. **임시로 사용할 수 없도록 인증서 템플릿을 제거하려면 다음을 수행합니다.** 1. "인증서 템플릿 제거" 절차에 설명된 대로 현재 발급하는 CA에서 템플릿을 제거합니다. 2. CPS를 업데이트하고 "새 CPS 릴리스" 절차를 따릅니다(필요한 경우). **임시로 사용할 수 없도록 템플릿 제거를 롤백하려면 다음을 수행합니다.** 1. CA Admins 그룹의 구성원으로 로그온한 다음 인증 기관 MMC 스냅인을 사용하여 발급하는 CA에 템플릿을 다시 추가합니다. 2. CPS를 업데이트하고 "새 CPS 릴리스" 절차를 따릅니다(필요한 경우). **디렉터리에서 인증서 템플릿을 완전히 제거하려면 다음을 수행합니다.** 1. 이 절차는 인증서 템플릿을 임시로 사용할 수 없도록 제거하고 인증서 템플릿에 의존하는 응용 프로그램에 좋지 않은 영향을 미치지 않는지 테스트한 후에만 수행합니다. 2. "Active Directory에서 인증서 템플릿 내보내기" 절차로 현재 템플릿을 파일로 내보냅니다. 3. 인증서 템플릿을 디렉터리에서 완전히 제거하는 "인증서 템플릿 제거"에 설명된 절차를 따릅니다. **디렉터리에서 템플릿 제거를 롤백하려면 다음을 수행합니다.** - "Active Directory로 인증서 템플릿 가져오기"의 삭제한 템플릿 다시 가져오기 절차를 따릅니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 문제 해결 문제 해결은 사건 관리와 문제 관리 SMF를 말합니다. 사건 관리는 가능한 한 빨리 서비스를 복원하는 것과 관련이 있습니다. 문제 관리는 사건이 발생한 근본적인 원인을 식별하여 동일한 사건이 재발하지 않도록 예방하는 것과 관련이 있습니다. 이 절은 "지원 사분면 작업" 절과 밀접하게 관련됩니다. 여기에 나열된 문제 해결 절차의 대부분은 "지원 사분면 작업" 절에 정의된 작업을 참조합니다. 여기서는 조직에서 가장 일반적으로 발생하는 지원 요청과 이를 처리하기 위한 전략 및 절차를 보여 줍니다. 특히 서비스를 가능한 한 빨리 복원하는 것에 중점을 둡니다. 문제 해결 절차가 단순히 지원 절차를 나타내는 경우도 있습니다. 하지만 보다 복잡한 진단 절차가 포함되는 경우도 있습니다. 다음 표에서는 주요 지원 사건 몇 가지와 이를 처리하는 방법을 보여 줍니다. **지원 프로세스** 열에는 따라야 할 절차가 나타납니다. 이러한 절차에 대해서는 "지원 사분면 작업" 절에 자세히 설명되어 있습니다. 프로세스가 제시되지 않은 사건에 대해서는 다음 절에서 문제에 적절한 진단 절차에 대해 설명합니다. **표 11.15. 주요 지원 사건**

사건	설명	지원 프로세스
서버가 응답하지 않음	소프트웨어 프로세스가 클라이언트 요청이나 관리 도구에 응답하지 않습니다.	인증서 서비스 서비스 다시 시작 또는 CA 서버 다시 시작
CRL을 게시하지 못함	CA에서 CRL을 발급했지만 최신 CRL이 Active Directory 및/또는 웹에 게시되지 않았습니다.	다음 문제 해결 절차를 참조하십시오.
CRL이 발급되지 않음	CA에서 업데이트된 CRL을 발급하지 않았습니다.	다음 확장된 문제 해결 절차를 참조하십시오.
클라이언트가 인증서를 등록할 수 없음	클라이언트 등록 요청에 실패했습니다.	다음 확장된 문제 해결 절차를 참조하십시오.
클라이언트가 인증서를 자동 등록할 수 없음	클라이언트 자동 등록 요청에 실패했습니다.	다음 확장된 문제 해결 절차를 참조하십시오.
다시 시작해야 하는 보안 업데이트가 설치됨	Windows를 다시 시작해야 하는 보안 업데이트가 설치되었습니다.	CA 서버 다시 시작
영구적 서버 오류	하드웨어가 손상되거나 오류가 발생하여 복원해야 합니다.	백업에서 CA 복원
고아 인증서를 해지해야 함	CA를 복원한 후 마지막 백업 이후 발급된 인증서가 데이터베이스에 없습니다. 이러한 인증서는 일반적인 방법으로는 해지할 수 없습니다.	고아 인증서 해지
CRL 또는 인증서 발급에 적절한 시기에 서버를 복원할 수 없음	CRL 또는 인증서는 유효 기간을 연장하기 위해 CA 키를 사용하여 다시 서명해야 합니다.	작업 순서: 1. CA 인증서를 임시 컴퓨터에 복원 2. CRL 또는 인증서에 다시 서명하여 유효 기간 연장
최종 엔터티 인증서가 손상됨	인증서 개인 키가 분실, 공개 또는 손상되었습니다.	최종 엔터티 인증서 해지
발급하는 CA 인증서가 손상됨	CA 인증서 개인 키가 분실, 공개 또는 손상되었습니다.	발급하는 CA 해지 및 바꾸기
루트 CA 인증서가 손상됨	CA 인증서 개인 키가 분실, 공개 또는 손상되었습니다.	루트 CA 해지 및 바꾸기

#### 자세한 문제 해결 절차 이 절에서는 앞의 표에 나오는 몇 가지 문제를 진단하고 해결하는 데 유용한 문제 해결 절차에 대해 설명합니다. 이들 절차는 다음과 같은 일반적인 문제를 해결하는 것에 대해 다룹니다. - CRL 게시 문제 - CRL이 발급되지 않음 - 클라이언트가 등록할 수 없음 - 클라이언트가 인증서를 자동 등록할 수 없음 ##### CRL 게시 문제 CRL 게시 문제는 "서비스 모니터링 및 제어" 절에 설명된 대로 CheckCRLs 스크립트가 생성하는 경고로 표시됩니다. 이 경고는 적절한 때에 CRL을 Active Directory 및/또는 웹 서버에 게시하는 데 실패한 경우 트리거됩니다. 이 오류를 수정하지 않으면 해지 확인이 필요한 응용 프로그램에서 오류가 발생하기 시작합니다. CheckCRLs가 생성한 응용 프로그램 이벤트 로그를 검토합니다. 이벤트 로그는 무엇이 문제가 되는지 더 정확하게 표시하고 문제가 되는 CDP나 CRL이 속한 CA도 나타납니다. 문제는 다음 중 하나입니다. - CA에서 최신 CRL을 발급하지 않았습니다. 이 오류는 CA 자체에 문제가 있음을 나타냅니다. - CRL이 발급되었지만 하나 이상의 CDP에 올바르게 게시되지 않았습니다. 이 오류는 CA, CA와 CDP 간 통신 또는 CDP 서비스 자체(Active Directory 또는 IIS)에 문제가 있음을 나타냅니다. - CRL이 만들어지고 게시되었지만 하나 이상의 CDP 위치에서 검색할 수 없습니다. 이 오류는 CDP 서비스에 문제가 있음을 나타냅니다. **CRL 게시 문제를 해결하려면 다음을 수행합니다.** 1. 문제가 발생한 CA에 로그온한 다음 발급하는 CA의 CRL이 최신 CRL인지 확인합니다. 다음 명령을 입력하여 CA의 CRL을 봅니다(다음 중 첫 번째 명령을 실행하려면 CA Admins의 구성원이어야 합니다.). Certutil -getCRL %temp%\\CA.crl Certutil -dump %temp%\\CA.crl 2. CRL이 최신 상태가 아니면 뒤에 나오는 "CRL이 발급되지 않음" 절차를 참조하십시오. 3. PKI 상태 도구를 열고 문제가 되는 CA의 CDP 항목을 검토합니다. 이 도구는 액세스할 수 없는 CDP와 만료된 CRL을 표시합니다. (그러나 아직 만료되지 않았지만 갱신 기간이 초과된 CRL에 대해 경고를 표시하지는 않습니다. 다시 말해 **다음 CRL 게시** 날짜가 지난 경우 경고를 표시하지 않습니다.) **참고:** Windows Server 2003 Resource Kit에서 PKI 상태 도구를 구할 수 있는데 이는 이 장 뒤에서 참조합니다. 4. 액세스할 수 없는 것으로 표시되는 CDP가 있으면 해당 CDP에 대한 게시 서비스를 조사합니다. 5. 이벤트 로그의 오류가 LDAP CDP와 함께 표시되면 Windows Server 2003 지원 도구의 DCDiag 도구를 사용하여 CA에서 Active Directory 도메인 컨트롤러에 연결할 수 있는지 확인합니다. 이 도구는 도메인 컨트롤러 또는 CA와 도메인 컨트롤러 연결에 문제가 있는지 알려줍니다. 오류가 있으면 모두 조사합니다. 6. Active Directory 사이트 및 서비스 MMC 스냅인을 사용하여 CA의 CDP 컨테이너에 대한 사용 권한을 확인합니다. ("cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, *DC=woodgrovebank,DC=com*"에서 기울임꼴 항목을 사용자 포리스트 루트의 DN으로 교체하십시오.) 7. 임시 계정을 만들어 Cert Publishers 그룹에 추가합니다. 임시 계정으로 로그온하여 1단계에서 검색한 CRL을 수동으로 디렉터리에 게시합니다. 다음 명령을 사용하십시오. certutil -dspublish CA.crl *CAHostname* *CASubjectName*. 이 명령은 CA가 Active Directory에 게시할 권한이 있는지 나타냅니다. 8. HTTP CDP에 오류가 있으면(이벤트 로그 항목에서) 관련 IIS 서버를 확인합니다. 연결과 사용 권한을 확인합니다. 수동으로 스크립트를 실행하여 CRL을 IIS 서버에 게시("지원 사분면 작업" 절의 "웹 서버에 발급하는 CA CRL 게시" 참조)한 다음 오류가 있는지 확인합니다. 이 작업을 수행할 때는 CA 자체와 동일한 계정/그룹 구성원을 사용합니다. 9. CRL이 CDP 서비스에 성공적으로 게시되었지만 PKI 상태 도구에서 문제를 표시하면 이는 CDP 서비스(Active Directory 또는 IIS 자체)에 문제가 있음을 나타냅니다. 이 문서에서는 이러한 서비스의 문제를 해결하는 것에 대해서는 다루지 않습니다. ##### CRL이 발급되지 않음 정상적인 작동 상태에서는 이 문제가 거의 발생하지 않습니다. 사용자가 로컬 시스템 폴더(%windir%\\system32\\certsrv\\certenroll)에 CRL을 게시하지 않도록 CA를 다시 구성한 경우가 아니면, 일반적으로 CA는 CRL을 항상 로컬에 게시합니다. 로컬 게시 경로를 다시 구성하지 않으면 사용자 CA에 심각한 문제가 생길 수 있습니다. 다음 문제 해결 절차를 수행하여 문제 원인을 식별합니다. 이 절차는 CRL 문제를 해결하는 것을 목표로 하지만 대부분의 단계가 일반적이므로 이보다 낮은 수준의 인증서 서비스 문제에도 적용할 수 있습니다. **CRL 발급 문제를 해결하려면 다음을 수행합니다.** 1. 이벤트 로그에서 인증서 서비스가 기록한 오류가 있는지 확인합니다. 2. 다음 명령으로 수동으로 CRL을 발급해 봅니다(CA Admins 그룹의 구성원으로 로그온한 다음). Certutil -CRL 3. CRL이 발급되지 않으면 다시 이벤트 로그를 검토하여 새로운 오류가 있는지 확인합니다. 4. CA 인증서와 £¨트 CA에 이르는 체인의 모든 인증서를 검토하여 인증서 만료 및 해지와 같은 인증서 문제가 있는지 확인합니다. 5. CA 키를 사용하여 인증서나 CRL에 다시 서명할 수 있는지 확인합니다. ("지원 사분면 작업" 절의 "인증서 또는 CRL에 다시 서명하여 유효 기간 연장" 절차를 참조하십시오.) 6. CA를 다시 시작하고 위의 확인 작업을 다시 수행합니다. 7. 그래도 CRL이 발급되지 않으면 디버그 로깅을 사용합니다(이 장 뒷부분의 "인증서 서비스 로깅" 참조). 그런 다음 CRL을 발급하고 로그에서 오류가 있는지 확인합니다. ##### 클라이언트가 인증서를 등록할 수 없음 이 절차를 수행하여 인증서 등록에 문제가 있는지 진단합니다. **인증서 등록 문제를 진단하려면 다음을 수행합니다.** 1. CA에 인증서 템플릿이 할당되었는지 확인합니다. 2. 사용자나 컴퓨터가 템플릿이 할당된 CA에 등록할 수 있는 권한을 가지고 있는지 확인합니다. 3. 템플릿이 주체 유형과 일치하는지 확인합니다. 사용자 템플릿은 사용자만 등록할 수 있고 컴퓨터 템플릿은 컴퓨터만 등록할 수 있습니다. 4. CA가 자체의 게시된 CRL과 부모 CA의 게시된 CRL에 액세스할 수 있는지 확인합니다. CA는 항상 인증서를 발급하기 전에 해지 확인 작업을 수행합니다. 5. 인증서 템플릿이 등록하는 주체가 사용할 수 없는 CPS(암호화 서비스 공급자)를 사용하도록 강요하지 않는지 확인합니다. 예를 들어 컴퓨터에 스마트 카드 CSP를 사용하도록 강요하거나 사용자가 스마트 카드를 가지고 있지 않은데 사용자에게 RSA(Rivest-Shamir-Adleman) SChannel(보안 채널) CSP를 사용하도록 강요하지 않는지 확인합니다. 6. 인증서 템플릿이 Active Directory에 없는 정보를 **주체** 또는 **대체 주체** 필드에 입력하도록 요구하지 않는지 확인합니다. 흔히 발생하는 한 가지 문제는 주체 이름에 전자 메일 주소를 포함하도록 지정했는데 사용자의 Active Directory 개체에서 전자 메일 필드에 정보를 입력하지 않았기 때문에 발생합니다. ##### 클라이언트가 인증서를 자동 등록할 수 없음 자동 등록 문제를 이해하고 해결하는 데 규범이 되는 지침은 다음 웹 사이트에 있는 "Windows XP의 인증서 자동 등록"(영문) 문서에서 찾을 수 있습니다(이 장 마지막의 참조 리소스 참조). 자동 등록하려고 하는 인증서를 클라이언트가 수동으로 등록할 수 있는지 확인합니다. 인증서 MMC 스냅인을 로드하고 새 인증서를 요청합니다. 인증서 종류가 나타나지 않거나, 나타나기는 하지만 등록하려고 하면 오류가 발생하는 경우에는 앞의 "클라이언트가 인증서를 등록할 수 없음" 절에 나오는 절차를 따릅니다. 수동 등록이 가능하면 다음 단계를 계속합니다. 1. 올바른 플랫폼을 사용하고 있는지 확인합니다. 컴퓨터 인증서 자동 등록은 Windows 2000 이상만 지원합니다. 사용자 인증서 자동 등록은 Windows XP와 Windows Server 2003만 지원합니다. 2. 사용자나 컴퓨터가 필요한 인증서 종류에 대한 인증서 템플릿에 대해 자동 등록 권한을 가지고 있는지 확인합니다. 3. 자동 등록 그룹 정책 설정이 적절히 지정되었는지 확인합니다. 자동 등록이 올바르게 작동하려면 자동 등록이 구성되어 있는 GPO의 우선 순위가 다른 모든 GPO보다 높아야 합니다. 예를 들어 자동 등록이 구성되어 있는 GPO가 도메인 수준에서 만들어진 경우 이 GPO가 기본 도메인 정책보다 높은 우선 순위를 가져야 합니다. GPO 우선 순위는 정책 결과 집합 MMC 스냅인을 사용하여 확인할 수 있습니다. 4. 인증서 템플릿에 수동 승인이나 RA(등록 기관) 서명이 필요하지 않은지 확인합니다. 인증서 관리자의 승인이 필요한 인증서 요청의 경우, 승인을 받기 위해 요청이 제출되지만 수동으로 승인을 받기 전까지는 사용자에게 인증서가 발급되지 않습니다. RA 서명이 필요한 요청의 경우, 자동 등록 요청에 추가 서명을 추가하는 메커니즘이 없으므로 요청이 거부됩니다. 5. 요청에서 주체 정보를 제공하도록 인증서 템플릿이 설정되어 있지 않은지 확인합니다. 자동 등록된 인증서는 CA에서 설정한 주체(및 대체 주체)를 가지고 있어야 합니다. #### 문제 해결 도구 및 방법 이 절에서는 PKI의 문제를 진단하고 해결하는 데 유용한 몇 가지 도구에 대해 설명합니다. 인증서 서비스 로깅 및 인증서 서비스와 클라이언트 자동 등록에 대해 보다 자세한 로깅을 사용하는 방법에 대해서도 설명합니다. ##### PKI 상태 PKI 상태는 엔터프라이즈 전체의 모든 CA에 대한 보기를 만드는 CDP 및 AIA 진단 도구입니다. 이 도구는 연결 및 CDP와 AIA 게시 문제를 진단하는 데 매우 유용합니다. CDP 또는 AIA에서 참조하는 CRL 또는 인증서를 다운로드하여 볼 수 있습니다. 이 도구는 Windows Server 2003 Resource Kit의 일부로 사용할 수 있습니다. ##### Certutil Certutil은 Windows CA를 관리하고 관련 문제를 해결하는 가장 중요한 도구입니다. 이 도구의 주요 용도에 대한 설명은 이 장 마지막에서 참조하는 "Certutil.exe를 사용한 인증서 서비스 관리 및 문제 해결"(영문)을 참조하십시오. 이 외에도 다양한 관리 및 진단 목적으로 사용할 수 있는 다른 많은 옵션(본 백서에서는 다루지 않음)이 있습니다. 명령을 "-?" 매개 변수와 함께 입력하여 사용할 수 있는 모든 Certutil 기능(또는 동사)의 전체 목록을 표시할 수 있습니다. 자세한 도움말이 필요한 동사를 삽입하면 해당 작업의 상세한 구문이 나타납니다. 예를 들면 다음과 같습니다. Certutil -dsPublish -? ##### 기타 진단 도구 기타 유용한 진단 및 관리 도구는 다음과 같습니다. - **Certreq.exe**. 명령줄에서 인증서 요청을 만들고, 제출하고, 검색할 수 있습니다. - **DCDiag.exe**. CA에 영향을 줄 수 있는 Active Directory 문제를 진단하는 데 유용합니다. ##### 인증서 서비스 로깅 인증서 서비스와 관련 도구는 문제 해결에 많은 도움이 되는 몇 가지 로그를 만듭니다. - 인증서 서비스(CA 프로세스 자체)는 %systemroot%\\certsrv.log에 로깅합니다(디버그 로깅을 사용할 때). - Certutil.exe는 %systemroot%\\certutil.log에 로깅합니다. - 인증 기관 MMC는 %windir%\\certmmc.log에 로깅합니다. **인증서 서비스에 대해 디버그 로깅을 사용하려면 다음을 수행합니다.** - 다음 명령을 실행합니다. certutil -setreg CA\\Debug 0xffffffe3 로그 항목은 %windir%\\certsrv.log에 저장됩니다. **디버그 로깅을 사용하지 않으려면 다음을 수행합니다.** - 다음 명령을 실행합니다. certutil -delreg CA\\Debug ##### 자동 등록 로깅 자동 등록 이벤트에 대해 추가 로깅을 사용하려면 레지스트리 값을 추가해야 합니다. 추가된 로깅은 사용자 자동 등록과 컴퓨터 자동 등록에 대해 별도로 사용됩니다. **사용자 자동 등록 로깅을 사용하려면 다음을 수행합니다.** 1. HKEY\_CURRENT\_USER\\Software\\Microsoft\\Cryptography\\Autoenrollment 키에 **AEEventLogLevel**이라는 새 레지스트리 DWORD 값을 만듭니다. 2. 이 값을 **0**으로 설정합니다. **컴퓨터 자동 등록 로깅을 사용하려면 다음을 수행합니다.** 1. HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Cryptography\\Autoenrollment 키에 **AEEventLogLevel**이라는 새 레지스트리 DWORD 값을 만듭니다. 2. 이 값을 **0**으로 설정합니다. **참고**: 모든 실패와 오류가 자동으로 기록됩니다. 오류 로깅을 위해 레지스트리 키를 활성화할 필요가 없습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 구성 표 다음 표에는 이 장의 절차에서 사용하는 사이트별 및 솔루션별 구성 정보가 있습니다. 이 표는 7장 "공용 키 구조 구현"에 있는 계획 구성 테이블의 하위 집합으로 참조용으로만 여기에 소개합니다. **표 11.16. 사용자 정의 구성 항목**

구성 항목	설정
Active Directory 포리스트 루트 도메인의 DNS 이름	woodgrovebank.com
포리스트 루트의 DN	DC=woodgrovebank,DC=com
루트 CA의 서버 이름	HQ-CA-01
발급하는 CA의 서버 이름	HQ-CA-02
루트 CA의 X.500 CN	Woodgrove Bank Root CA
발급하는 CA의 X.500 CN	Woodgrove Bank Issuing CA 1
CA 인증서와 해지 정보를 게시하는 데 사용된 웹 서버의 정규화된 호스트 이름	www.woodgrovebank.com

**표 11.17. 솔루션에 정의된 구성 항목**

구성 항목	설정
공용 키 서비스 구성 컨테이너 관리자	Enterprise PKI Admins
CRL과 CA 인증서를 엔터프라이즈 구성 컨테이너에 게시할 수 있습니다.	Enterprise PKI Publishers
CA를 구성하고 유지 관리하며, 다른 모든 CA 역할을 할당하고 CA 인증서를 갱신할 수 있는 관리 그룹	CA Admins
인증서 등록 및 해지 요청을 승인하는 관리 그룹, CA 담당자 역할	Certificate Managers
CA 감사 및 보안 로그를 관리하는 관리 그룹	CA Auditors
CA 백업을 관리하는 관리 그룹	CA Backup Operators
CA 인증서와 CRL 정보를 게시하는 데 사용되는 IIS 가상 디렉터리의 이름	pki
IIS 가상 디렉터리에 매핑되는 발급하는 CA의 실제 경로	C:\CAWWWPub
인증서 서비스 요청 파일을 저장할 드라이브와 경로	C:\CAConfig
인증서 서비스 데이터베이스를 저장할 드라이브와 경로	%systemroot%\System32\CertLog
인증서 서비스 데이터베이스 로그를 저장할 드라이브와 경로	D:\CertLog
설치 스크립트 경로	C:\MSSScripts

[](#mainsection)[페이지 위쪽](#mainsection) ### 추가 정보 - 이 장을 기초로 한 업데이트된 백서 "[Managing Windows Server 2003 PKI 관리](https://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.asp)"는 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx에서도 볼 수 있습니다. - MOF 프로세스 모델 및 팀 모델에 관한 자세한 정보는 www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx의 [Microsoft Operations Framework](https://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx)(영문) 페이지를 참조하십시오. - 용량 제한 및 관련 성능 카운터에 대한 자세한 정보는 https://support.microsoft.com/default.aspx?kbid=146005에서 Microsoft 기술 자료 문서 Q146005 "[Windows NT 성능 최적화](https://support.microsoft.com/default.aspx?kbid=146005)"를 참조하십시오. - MOM 배포에 관한 정보는 www.microsoft.com/downloads/details.aspx?FamilyID=556A7746-75DF-4ACD-8CDE-26CB12148161&displaylang=en에서 [*Microsoft Operations Manager 2000 (MOM) Service Pack 1 (SP1) Operations Guide*](https://www.microsoft.com/download/details.aspx?familyid=556a7746-75df-4acd-8cde-26cb12148161&displaylang=en)(영문) 를 다운로드하십시오. - 추가 운영 작업에 관한 자세한 정보는 www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_CS\_procs\_admin.mspx의 [Administer a certification authority](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_admin.mspx)(영문) 페이지를 참조하십시오. - Microsoft 플랫폼의 보안 패치 관리에 관한 자세한 정보는 https://go.microsoft.com/fwlink/?LinkId=16284의 "[Improve Platform Manageability – Best Practice: Security Patch Management](https://go.microsoft.com/fwlink/?linkid=16284)"(영문)를 참조하십시오. - Microsoft SMS 2003 패치 관리에 관한 정보는 www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx의 "[Patch Management Using Microsoft Systems Management Server 2003](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx)"(영문)을 참조하십시오. - Microsoft SMS 2.0을 사용한 패치 관리에 관한 정보는 www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx의 "[Patch Management Using Microsoft Systems Management Server 2.0](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx)"(영문)을 참조하십시오. - Microsoft Software Update 서비스를 사용한 패치 관리에 관한 정보는 www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsus/pmsus251.mspx의 "[Patch Management Using Microsoft Software Update](https://www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsus/pmsus251.mspx)"(영문)를 참조하십시오. - 인증서 템플릿 속성에 관한 자세한 정보는 www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon\_concepts\_under.mspx의 온라인 제품 도움말에서 "[Understanding Certificate Templates](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon_concepts_under.mspx)"(영문)를 참조하십시오. - 그룹 정책 관리 콘솔을 구하고 사용하는 법에 관한 자세한 정보는 www.microsoft.com/windowsserver2003/gpmc/default.mspx의 "[Enterprise Management with the Group Policy Management Console](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)"(영문)을 참조하십시오. - CRL 게시 문제에 관한 자세한 정보는 www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx의 [Troubleshooting Certificate Status and Revocation](https://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)(영문)을 참조하십시오. - PKI 상태 도구(PKIView.msc)를 사용하려면 www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en에서 [Windows Server 2003 Resource Kit Tools](https://www.microsoft.com/download/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)(영문)를 다운로드하십시오. - Certutil 문제 해결 설명서는 www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp에서 백서 "[Using Certutil.exe to Manage and Troubleshoot Certificate Services](https://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp)"(영문)를 참조하십시오. - 자동 등록 문제를 이해하고 해결하는 데 규범이 되는 지침은 www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx의 "[Certificate Autoenrollment in Windows XP](https://www.microsoft.com/korea/technet/prodtechnol/winxppro/maintain/certenrl.asp)" 기사를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection)