TLS/SSL 인증서(고급)를 사용하여 인트라넷에서 원격 액세스 사용

이 자습서에서는 여러 온-프레미스 컴퓨터에서 자체 호스팅 통합 런타임을 설정하고 TLS/SSL 인증서(고급)를 사용하여 인트라넷에서 원격 액세스를 사용하도록 설정하여 통합 런타임 노드 간의 통신을 보호하는 방법을 알아봅니다.

필수 조건

• SSL/TLS 강력한 암호화에 대한 소개입니다.
• 인증서는 웹 서버에 대한 일반 TLS 인증서일 수 있습니다. 요구 사항:
  • 인증서는 공개적으로 신뢰할 수 있는 X509 v3 인증서여야 합니다. 퍼블릭 파트너 CA(인증 기관)에서 발급한 인증서를 사용하는 것이 좋습니다.
  • 각 통합 런타임 노드는 이 인증서를 신뢰해야 합니다.
  • 통합 런타임 노드의 모든 FQDN(정규화된 도메인 이름)을 이 인증서로 보호해야 하므로 SAN(주체 대체 이름) 인증서를 사용하는 것이 좋습니다. (WCF TLS/SSL은 SAN의 마지막 DNS 이름만 .NET Framework 4.6.1에서 수정되었는지 확인합니다. 자세한 내용은 완화: X509CertificateClaimSet.FindClaims 메서드를 참조하세요.)
  • 와일드카드 인증서(*)는 지원되지 않습니다.
  • 인증서에는 프라이빗 키(예: PFX 형식)가 있어야 합니다.
  • Windows Server 2012 R2에서 지원하는 TLS/SSL 인증서의 키 크기는 모두 지원됩니다.
  • 지금까지 CSP(암호화 서비스 공급자) 인증서만 지원합니다. CNG 키(키 저장소 공급자)를 사용하는 인증서는 지원하지 않습니다.

단계

1. 모든 컴퓨터에서 아래 PowerShell 명령을 실행하여 FQDN을 가져옵니다.

   [System.Net.Dns]::GetHostByName("localhost").HostName
   

   예를 들어 FQDN은 node1.domain.contoso.com 및 node2.domain.contoso.com입니다.

2. 주체 대체 이름에 있는 모든 컴퓨터의 FQDN을 사용하여 인증서를 생성합니다.

   

3. 통합 런타임 구성 관리자에서 선택할 수 있도록 모든 노드의 인증서를 로컬 컴퓨터 ->개인에 설치합니다.

   1. 인증서를 클릭하고 설치합니다.

   2. 로컬 컴퓨터를 선택하고 암호를 입력합니다.

      

   3. 모든 인증서를 다음 저장소에 저장을 선택합니다. 찾아보기를 클릭합니다. 개인을 선택합니다.

   4. 마침을 선택하여 인증서를 설치합니다.

4. 인트라넷에서 원격 액세스를 사용하도록 설정:

   1. 자체 호스팅 통합 런타임 노드 등록 중:

      1. 인트라넷에서 원격 액세스를 사용하도록 설정하고 다음을 선택합니다.

         

      2. Tcp 포트를 설정합니다(기본적으로 8060). 포트가 방화벽에서 열려 있는지 확인합니다.

      3. 선택을 클릭합니다. 팝업 창에서 올바른 인증서를 선택하고 마침을 선택합니다.

         

   2. 자체 호스팅 통합 런타임 노드가 등록된 후:

      참고 항목

      자체 호스팅 통합 런타임은 기본적으로 단일 노드가 있는 경우에만 원격 액세스 설정을 변경할 수 있습니다. 그렇지 않으면 라디오 단추를 확인할 수 없습니다.

      

      1. 자체 호스팅 통합 런타임 구성 매니저 ->설정 ->인트라넷에서 원격 액세스로 이동합니다. 변경을 클릭합니다.

      2. TLS/SSL 인증서(고급)로 사용을 선택합니다.

      3. 선택을 클릭합니다. 팝업 창에서 올바른 인증서를 선택하고 확인을 선택합니다.

         

   3. 자체 호스팅 통합 런타임 구성 매니저에서 원격 액세스 설정을 확인합니다.

      

      

5. 공개적으로 신뢰할 수 있는 인증서가 없는 경우 자체 서명된 인증서 사용:

   1. 자체 서명된 인증서를 생성하고 내보냅니다(인증서가 이미 있는 경우 이 단계를 건너뛸 수 있음).

      1. PowerShell을 통해 자체 서명된 인증서 생성(상승된 권한 사용):

         New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
         

      2. 프라이빗 키를 사용하여 생성된 인증서를 암호로 보호된 PFX 파일로 내보내려면 해당 지문이 필요합니다. 명령의 New-SelfSignedCertificate 결과에서 복사할 수 있습니다. 예를 들어 CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F와 같습니다.

      3. PowerShell을 통해 프라이빗 키를 사용하여 생성된 인증서를 내보냅니다(상승된 권한 사용).

         $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
         Export-PfxCertificate -Cert
         cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword            
         

      4. 프라이빗 키를 사용하여 인증서를 C:\self-signedcertificate.pfx로 내보냅니다.

   2. 로컬 컴퓨터 ->신뢰할 수 있는 루트 인증 기관 저장소에 대한 모든 노드에 인증서를 설치합니다.

      1. 인증서를 클릭하고 설치합니다.
      2. 로컬 컴퓨터를 선택하고 암호를 입력합니다.
      3. 모든 인증서를 다음 저장소에 저장을 선택합니다. 찾아보기를 클릭합니다. 신뢰할 수 있는 루트 인증 기관을 선택합니다.
      4. 마침을 선택하여 인증서를 설치합니다.

      

6. 문제 해결

   1. 인증서가 대상 저장소에 있는지 확인합니다.

      1. 다음 프로시저에 따라 방법: MMC 스냅인을 사용하여 인증서 보기 - WCF를 사용하여 MMC 스냅인에서 인증서(로컬 컴퓨터)를 봅니다.

         

      2. 인증서가 개인 및 신뢰할 수 있는 루트 인증 기관 저장소 에 설치되어 있는지 확인합니다(자체 서명된 인증서인 경우).

         

   2. 인증서에 프라이빗 키가 있고 만료되지 않았는지 확인합니다.

      

   3. 자체 호스팅 통합 런타임(기본 계정은 NT SERVICE\DIAHostService)에 대한 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.

      1. 인증서 ->모든 작업 ->프라이빗 키 관리를 마우스 오른쪽 단추로 클릭합니다.

      2. 그렇지 않은 경우 사용 권한을 부여하고 적용하고 저장합니다.