Share via

핵심 네트워크 부록 가이드: 서버 인증서 배포

  • 아티클

 

적용 대상: Windows Server 2012

Windows Server 2012 핵심 네트워크 가이드에서는 완벽하게 작동하는 네트워크와 새 포리스트의 새 Active Directory® 도메인에 필요한 핵심 구성 요소를 계획하고 배포하기 위한 지침을 제공합니다.

이 가이드에서는 네트워크 정책 (NPS 서버), 라우팅 및 원격 액세스 서비스 (RRAS) 또는 둘 다 실행 되는 컴퓨터에 대 한 서버 인증서를 배포 하기 위한 지침을 제공 하 여 핵심 네트워크에 구축 하는 방법을 설명 합니다.

이 가이드는 Microsoft TechNet 갤러리에 있는 Word 형식으로 https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7합니다.

이 가이드에는 다음 섹션이 수록되어 있습니다.

이 가이드를 사용하기 위한 필수 조건

Windows Server 2012 핵심 네트워크 가이드에 대한 부록 가이드입니다. 이 가이드를 사용 하 여 서버 인증서를 배포 하려면 먼저 다음을 수행 해야는 합니다.

  • 핵심 네트워크 가이드를 사용 하 여 핵심 네트워크 배포 또는 설치 하 고 네트워크에서 제대로 작동 하는 핵심 네트워크 가이드에는 기술을 제공 이미 있습니다. 이러한 기술에는 TCP/IP v4, DHCP, AD DS(Active Directory 도메인 서비스), DNS, NPS 및 웹 서버(IIS)가 포함됩니다.

    참고

    Windows Server 2012 핵심 네트워크 가이드는에서 사용할 수는 Windows Server 2012 기술 라이브러리 (https://go.microsoft.com/fwlink/?LinkId=154884).

    핵심 네트워크 가이드는 Microsoft TechNet 갤러리에서 Word 형식으로 제공 됩니다 (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

이 가이드 정보

이 가이드에서는 NPS, RRAS, 또는의 AD CS를 사용 하 여 두 실행 서버에 서버 인증서를 배포 하기 위한 지침을 제공 Windows Server 2012합니다.

서버 인증서는 네트워크 액세스 인증을 위해 EAP(확장할 수 있는 인증 프로토콜) 및 PEAP(보호된 EAP)를 사용한 인증서 기반 인증 방법을 배포하는 경우 필요합니다.

Active Directory 인증서 서비스와 (AD CS) EAP 및 PEAP 인증서 기반 인증 방법에 대 한 서버 인증서 배포는 다음과 같은 이점을 제공 합니다.

  • 개인 키에 NPS 또는 RRAS 서버를 실행 하는 서버 id를 바인딩

  • 도메인 구성원 NPS 및 RRAS 서버에 인증서를 자동으로 등록 하기 위한 비용 효율적이 고 안전한 메서드

  • 인증서와 Ca (인증 기관)를 관리 하는 효율적인 방법

  • 인증서 기반 인증으로 보안 유지

  • 다른 용도를 위해 인증서의 사용 확장 가능

이 가이드는 Windows Server 2012 핵심 네트워크 가이드의 지침에 따라 핵심 네트워크를 배포한 네트워크 및 시스템 관리자나 AD DS(Active Directory 도메인 서비스), DNS(Domain Name Service), DHCP(Dynamic Host Configuration Protocol), TCP/IP, 웹 서버(IIS) 및 NPS(네트워크 정책 서버)를 비롯하여 핵심 네트워크 가이드에 포함된 기술을 이전에 배포한 네트워크 및 시스템 관리자를 대상으로 합니다.

중요

이 가이드에서는 온라인 엔터프라이즈 루트 인증 기관 (CA)를 사용 하 여 서버 인증서를 배포 하기 위한 지침을 제공 하는 컴퓨팅 리소스가 제한 된 소규모 조직을 위해 설계 되었습니다. 보안상의 이유로-조직에서는 컴퓨팅 리소스-것이 좋습니다 2 계층 공개 키 인프라 (PKI)의 오프 라인 엔터프라이즈 루트 CA를 배포 하는. 자세한 내용은 추가 리소스를 참조하세요.

이 배포 시나리오에서 사용되는 각 기술에 대한 디자인 및 배포 가이드를 검토하는 것이 좋습니다. 이들 가이드를 통해 이 배포 시나리오가 조직 네트워크에 필요한 서비스 및 구성을 제공하는지 확인할 수 있습니다.

서버 인증서를 배포 하기 위한 요구 사항

다음은 인증서를 사용 하기 위한 요구 사항.

  • 자동 등록을 사용 하 여 서버 인증서를 배포 하려면 AD CS 필요는 Windows Server 2012 Standard, Enterprise 또는 Datacenter 운영 체제입니다. AD CS를 설치 하기 전에 AD DS는 설치 해야 합니다. AD CS는 단일 서버에 배포할 수 있지만 대부분의 배포에 여러 서버를 Ca로 구성 된 작업이 포함 됩니다.

  • 컴퓨터 액세스에 액세스 AIA (기관 정보) 및 인증 기관에 의해 생성 되는 인증서 해지 목록 (CRL)을 제공 하려면이 가이드의 지침에 따라 제대로 구성 되어 있는 웹 서버가 있어야 합니다.

  • PEAP 또는 EAP 가상 개인 네트워크 (Vpn)을 배포 하려면 RRAS를 VPN 서버로 구성 된 배포 해야 합니다. NPS의 사용은 선택 사항입니다. 그러나 여러 VPN 서버를 설정한 경우 NPS를 사용 하 여 좋습니다 NPS 제공 하는 RADIUS 계정 서비스 및 관리 용이성을 위해.

  • PEAP 또는 EAP에 대 한 원격 데스크톱 게이트웨이 (RD 게이트웨이)를 배포 하려면 RD 게이트웨이 및 NPS를 배포 해야 합니다.

    참고

    이전 버전의 Windows Server에서는 원격 데스크톱 서비스 이름이 터미널 서비스입니다.

  • 802.1 X 보안 PEAP 또는 EAP를 배포 하려면 유선 또는 무선, NPS 및 802.1 X 호환 스위치 및 무선 액세스 지점과 같은 추가 하드웨어를 배포 해야 합니다.

  • 전송 계층 보안 (EAP-TLS) 나 PEAP-TLS, EAP와 같은 서버 인증에 인증서를 요구 하는 것 외에도 사용자 및 컴퓨터 인증용 인증서를 필요로 하는 인증서 기반 인증 방법을 배포 하려면 사용자 또는 컴퓨터 인증서 자동 등록을 통해 또는 스마트 카드를 사용 하 여 배포 해야 합니다.

이 가이드에서 설명하지 않는 정보

이 가이드는 설계 및 AD CS를 사용 하 여 공개 키 인프라 (PKI)를 배포 하기 위한 포괄적인 지침을 제공 하지 않습니다. AD CS 및 PKI 디자인 설명서가이 가이드에 포함 된 기술을 배포 하기 전에 검토 하는 것이 좋습니다. 자세한 내용은 참조는 추가 리소스 이 문서 뒷부분의 섹션입니다.

이 가이드에서는 서버 컴퓨터에 웹 서버 (IIS) 또는 네트워크 정책 서버 기술을 설치 하는 방법에 지침을 제공 하지 않습니다. 이러한 지침은 핵심 네트워크 가이드에 제공 됩니다.

또한이 가이드는 서버 인증서를 사용할 수 있는 네트워크 액세스 기술을 배포 하기 위한 자세한 지침을 제공 하지 않습니다.

기술 개요

다음은 EAP, PEAP 및 AD CS 기술을 간략하게 설명 합니다.

EAP

EAP(확장할 수 있는 인증 프로토콜)는 임의 길이의 자격 증명 및 정보 교환을 사용하는 임의의 인증 방법을 허용하여 PPP(지점 간 프로토콜)를 확장합니다. EAP는 스마트 카드, 토큰 카드 및 암호화 계산기와 같은 보안 장치를 사용 하는 인증 방법에 대 한 수요가 증가 함에 대 한 응답에 개발 되었습니다. EAP는 PPP 내에서 추가 인증 방법을 지원하기 위한 산업 표준 아키텍처를 제공합니다.

Eap를 임의의 인증 메커니즘은 네트워크 액세스 연결을 설정 하는 하는 서버와 클라이언트의 id를 확인 하는 데 사용 됩니다. 액세스 클라이언트와 인증자-네트워크 액세스 서버 또는 인증 전화 접속 사용자 RADIUS (Remote Service) 서버에서 사용할 정확한 인증 체계는 협상 됩니다.

EAP 인증을 사용 하면 네트워크 액세스 클라이언트와 인증자 (예: NPS를 실행 하는 서버) 모두 되려면 성공적으로 인증에 대 한 같은 EAP 종류를 지원 해야 합니다.

중요

인증서를 기반으로 하는 것과 같은 강력한 EAP 종류 무차별 암호 대입 공격, 사전 공격 및 암호 추측 공격에 대해 CHAP 또는 MS-CHAP 버전 1 같은 암호 기반 인증 프로토콜을 보다 향상 된 보안을 제공 합니다.

EAP에 Windows Server 2012

Windows Server 2012 EAP 인프라, EAP 종류 및 NPS와 같은 RADIUS 서버 (RADIUS EAP) EAP 메시지를 전달 하는 기능이 포함 되어 있습니다.

EAP를 사용 하 여 EAP 종류 라는 추가 인증 체계를 지원할 수 있습니다. 지원 되는 EAP 종류 Windows Server 2012 됩니다.

  • **전송 계층 보안 (TLS)**합니다. EAP-TLS 필요 컴퓨터 인증서 또는 NPS를 실행 하는 컴퓨터에 등록 된 서버 인증서 외에도 사용자 인증서를 사용 합니다.

  • **Microsoft Challenge Handshake 인증 프로토콜 버전 2 (MS-CHAP v2)**합니다. 이 EAP 종류는 암호 기반 인증 프로토콜입니다. EAP-MS-CHAP v 2 인증 방법으로 EAP 내에서 사용 되는 사용자가 사용자 이름 및 암호를 사용 하 여 해당 id를 증명 하는 동안 서버 인증서를 NPS 및 RRAS 서버에 클라이언트 컴퓨터에 대 한 id 증명을 제공 합니다.

  • 전송 계층 보안 (TTLS) 터널링 된합니다. EAP-TTLS는의 새로운 Windows Server 2012 는 다른 버전의 Windows Server에서 사용할 수 없습니다. EAP-TTLS는 상호 인증을 지원하는 표준 기반 EAP 터널링 방법으로, EAP 방법 및 기타 레거시 프로토콜을 사용하여 클라이언트 인증을 위한 안전한 터널을 제공합니다. EAP-TTLS는 또한 인증 시 EAP-TTLS를 지원하는 Microsoft 이외의 RADIUS(Remote Authentication Dial In User Service) 서버가 사용되는 네트워크 액세스 솔루션에 대해 클라이언트 컴퓨터에서 EAP-TTLS를 구성할 수 있도록 해줍니다.

또한 다른 EAP 인증 형식을 제공 하도록 NPS 또는 라우팅 및 원격 액세스를 실행 하는 서버에서 다른 Microsoft EAP 이외의 모듈을 설치할 수 있습니다. 대부분의 경우에서 서버에서 추가 EAP 종류를 설치 하는 경우도 설치 해야 일치 하는 EAP 클라이언트 인증 구성 요소 클라이언트 컴퓨터에서 클라이언트 및 서버 연결 요청에 사용할 인증 방법의 협상할 수 있도록 합니다.

PEAP

PEAP TLS를 사용 하 여 무선 컴퓨터 등 NPS 또는 다른 RADIUS 서버를 실행 하는 서버와 같은 한 PEAP 인증자를 인증 하는 PEAP 클라이언트 간에 암호화 된 채널을 만듭니다.

PEAP 인증 방법을 지정 하지 않습니다 하지만 다른 EAP 인증 프로토콜 (예: EAP-MSCHAP v2) PEAP에서 제공 하는 TLS 암호화 채널을 통해 수행할 수 있는 추가 보안을 제공 합니다. PEAP는 다음과 같은 유형의 네트워크 액세스 서버를 통해 조직의 네트워크에 연결 하는 액세스 클라이언트에 대 한 인증 방법으로 사용 됩니다.

  • 802.1 X 가능 무선 액세스 지점

  • 인증 802.1 X 호환 스위치

  • 실행 하는 컴퓨터 Windows Server 2012 또는 Windows Server 2008 R2 및 RRAS VPN 서버로 구성 된

  • 실행 하는 컴퓨터 Windows Server 2012 또는 Windows Server 2008 R2 및 RD 게이트웨이

PEAP의 기능

PEAP은 EAP 프로토콜 및 네트워크 보안을 강화 하려면 다음을 제공 합니다.

  • 클라이언트와 서버 사이 발생 하는 EAP 방법 협상에 대 한 보호를 제공 하는 TLS 채널입니다. 이 TLS 채널 못하도록 하면 공격자가 보안 수준 낮음 EAP 종류를 협상 하는 클라이언트와 네트워크 액세스 서버 간의 패킷을 삽입 합니다. 암호화 된 TLS 채널은 NPS를 실행 하는 서버에 대 한 서비스 공격 거부를 방지 합니다.

  • 조각화 및이 기능을 제공 하지 않는 EAP 종류를 사용할 수 있도록 메시지의 리어셈블리 지원 합니다.

  • 클라이언트는 NPS 또는 다른 RADIUS 서버를 인증 하는 기능입니다. 서버는 클라이언트를 인증 하기 때문에 상호 인증이 발생 합니다.

  • EAP 클라이언트에서 NPS를 실행 하는 서버에서 제공한 인증서를 인증 하는 경우 현재는 무단된 무선 액세스 지점을 배포에 대 한 보호를 제공 합니다. 또한 PEAP 인증자와 클라이언트에 의해 만들어진 TLS 마스터 보안 액세스 포인트와 공유 되지 않습니다. 이 인해 액세스 지점 PEAP로 보호 되는 메시지를 해독할 수 없습니다.

  • PEAP 빠른 다시 연결 하 여 클라이언트 인증 요청 및 NPS 또는 다른 RADIUS 서버에서 응답 사이의 지연 시간을 줄입니다. 빠른 다시 연결 무선 클라이언트 인증에 대 한 반복된 요청할 필요 없이 같은 RADIUS 서버를 RADIUS 클라이언트로 구성 된 액세스 지점 사이 이동할 수 있도록 해줍니다. 클라이언트와 서버에 대 한 리소스 요구 사항을 줄어들고 수 자격 증명에 대 한 사용자가 입력 해야 하는 횟수를 최소화할 수 있습니다.

Active Directory 인증서 서비스

AD CS Windows Server 2012 만들고 공개 키 기술을 사용 하는 소프트웨어 보안 시스템에서 사용 되는 X.509 인증서를 관리 하기 위한 사용자 지정 가능한 서비스를 제공 합니다. 조직에서는 사람, 장치 또는 서비스의 id는 해당 공개 키에 바인딩하여 보안을 강화 하기 위해 AD CS를 사용할 수 있습니다. AD CS에는 인증서 등록 및 해지 다양 한 확장 가능한 환경에서에서 관리할 수 있는 기능이 포함 되어 있습니다.