클라이언트 또는 클라이언트 인증과의 상호 인증을 구성하려면 Application Gateway에서 신뢰할 수 있는 클라이언트 CA 인증서 체인을 게이트웨이에 업로드해야 합니다. 여러 인증서 체인이 있는 경우 체인을 별도로 만들고 Application Gateway에서 다른 파일로 업로드해야 합니다. 이 문서에서는 게이트웨이의 클라이언트 인증 구성에서 사용할 수 있는 신뢰할 수 있는 클라이언트 CA 인증서 체인을 내보내는 방법을 알아봅니다.
필수 조건
신뢰할 수 있는 클라이언트 CA 인증서 체인을 생성하려면 기존 클라이언트 인증서가 필요합니다.
신뢰할 수 있는 클라이언트 CA 인증서 내보내기
Application Gateway에서 클라이언트 인증을 허용하려면 신뢰할 수 있는 클라이언트 CA 인증서가 필요합니다. 이 예제에서는 클라이언트 인증서에 TLS/SSL 인증서를 사용하고, 공개 키를 내보낸 다음, 공개 키에서 CA 인증서를 내보내 신뢰할 수 있는 클라이언트 CA 인증서를 가져옵니다. 그런 다음 모든 클라이언트 CA 인증서를 하나의 신뢰할 수 있는 클라이언트 CA 인증서 체인에 연결합니다.
다음 단계는 인증서에 대한 .pem 또는 .cer 파일을 내보내는 데 도움이 됩니다.
공용 인증서 내보내기
인증서에서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다. 일반적으로 '인증서 - 현재 사용자\개인\인증서'에서 인증서를 찾고 마우스 오른쪽 단추를 클릭합니다. 모든 작업을 클릭한 후 내보내기를 클릭합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다. 현재 사용자\개인\인증서에서 인증서를 찾을 수 없는 경우 실수로 "인증서 - 현재 사용자"가 아닌 "인증서 - 로컬 컴퓨터"를 열었을 수 있습니다. PowerShell을 사용하여 현재 사용자 범위에서 인증서 관리자를 열려면 콘솔 창에 certmgr 을 입력합니다.
마법사에서 다음을 클릭합니다.
아니요를 선택하고 프라이빗 키를 내보내지 않고다음을 클릭합니다.
파일 형식 내보내기 페이지에서 Base-64로 인코딩된 X.509(를 선택합니다. CER).을 클릭한 다음 다음을 클릭합니다.
내보낼 파일에서 인증서를 내보내려는 위치를 찾습니다. 파일 이름에는 인증서 파일의 이름을 입력합니다. 그런 후에 다음을 클릭합니다.
마침 을 클릭하여 인증서를 내보냅니다.
인증서를 성공적으로 내보냅니다.
내보낸 인증서는 다음과 유사합니다.
공용 인증서에서 CA 인증서 내보내기
이제 공용 인증서를 내보낸 후에는 공용 인증서에서 CA 인증서를 내보냅니다. 루트 CA만 있는 경우 해당 인증서만 내보내면 됩니다. 그러나 중간 CA가 1개 이상인 경우 각 CA도 내보내야 합니다.
공개 키를 내보낸 후 파일을 엽니다.
인증 기관을 보려면 인증 경로 탭을 선택합니다.
루트 인증서를 선택하고 인증서 보기를 클릭합니다.
루트 인증서 세부 정보가 표시됩니다.
세부 정보 탭을 선택하고 파일로 복사...를 클릭합니다.
이 시점에서 공용 인증서에서 루트 CA 인증서의 세부 정보를 추출했습니다. 인증서 내보내기 마법사가 표시됩니다. 이전 섹션(공용 인증서 내보내기)의 2-7단계에 따라 인증서 내보내기 마법사를 완료합니다.
이제 모든 중간 CA에 대해 이 현재 섹션(공용 인증서에서 CA 인증서 내보내기)의 2-6단계를 반복하여 Base-64로 인코딩된 X.509(.CER) 형식의 모든 중간 CA 인증서를 내보냅니다.
예를 들어, MSIT CAZ2 중간 CA에서 2-6단계를 반복하여 이를 자체 인증서로 추출합니다.
모든 CA 인증서를 하나의 파일에 연결
앞에서 추출한 모든 CA 인증서를 사용하여 다음 명령을 실행합니다.
Windows:
type intermediateCA.cer rootCA.cer > combined.cer
Linux:
cat intermediateCA.cer rootCA.cer >> combined.cer
결과 결합된 인증서는 다음과 같이 표시됩니다.
다음 단계
이제 신뢰할 수 있는 클라이언트 CA 인증서 체인이 있습니다. 이를 Application Gateway의 클라이언트 인증 구성에 추가하여 게이트웨이와의 상호 인증을 허용할 수 있습니다. 포털에서 Application Gateway를 사용하여 상호 인증 구성 또는 PowerShell과 함께 Application Gateway를 사용하여 상호 인증 구성을 참조하세요.