다음을 통해 공유


방법: X.509 인증서를 사용하여 ACS와 ASP.NET 웹 애플리케이션 간의 신뢰 구성

업데이트: 2015년 6월 19일

Azure에 적용합니다.

적용 대상

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

  • ASP.NET

요약

이 항목에서는 애플리케이션과 ACS 간에 트러스트를 구성하는 방법에 대해 설명합니다. 트러스트는 ASP.NET 웹 애플리케이션과 ACS 간에 교환되는 토큰에 서명하여 설정됩니다.

콘텐츠

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

목표

  • ACS 관리 포털의 신뢰 관리 섹션에 익숙해지세요.

  • X.509 인증서를 사용하여 트러스트를 관리합니다.

  • web.config 및 관리 포털에서 필수 구성을 확인합니다.

개요

애플리케이션과 ACS 간에 토큰을 올바르게 교환하려면 트러스트를 설정해야 합니다. 트러스트를 설정하면 토큰이 전송 중에 변조되지 않으며 신뢰할 수 있는 당사자를 통해 발급됩니다. ASP.NET 웹 애플리케이션 트러스트는 X.509 인증서를 사용하여 관리되며 ACS 관리 포털의 구성 및 web.config 구성을 기반으로 합니다.

단계 요약

ASP.NET 웹 애플리케이션과 ACS 간의 신뢰를 설정하고 관리하려면 다음 단계를 수행합니다.

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

1단계 - 토큰 서명 인증서 섹션으로 이동

이 단계에서는 ACS 관리 포털의 신뢰 관리 섹션으로 이동하는 방법을 보여 줍니다.

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 신뢰 당사자 애플리케이션을 클릭합니다.

  4. 신뢰 당사자 응용 프로그램을 클릭합니다.

  5. 신뢰 당사자 응용 프로그램 편집 페이지에서 아래쪽의 토큰 서명 인증서 섹션으로 스크롤합니다.

  6. 인증서를 선택합니다.

2단계 - X.509 인증서를 사용하여 트러스트 구성

이 단계에서는 X.509 인증서를 사용하여 ACS와 ASP.NET 웹 애플리케이션 간의 트러스트를 구성하고 관리하는 방법을 보여 줍니다. 신뢰 당사자 응용 프로그램에서 WIF(Windows® Identity Foundation)를 사용하는 경우 X.509 인증서 서명 자격 증명을 사용합니다.

X.509 인증서를 사용하여 트러스트를 구성하고 관리하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. 인증서 및 키를 클릭하고 X.509 인증서를 선택합니다.

  4. 토큰 서명 인증서 또는 키 편집 페이지에서 다음 값을 제공합니다.

    • 이름: 원하는 임의의 이름입니다.

    • 형식: X.509 인증서.

    • 인증서: ACS에서 기본적으로 만드는 인증서를 사용하려면 아무 작업도 필요하지 않습니다. 사용자 고유의 X.509 인증서를 업로드할 수도 있습니다.

      인증서는 암호로 보호되어 있어야 하며, 일반적으로 .pfx 확장이 있습니다. 사용자 고유의 X.509 인증서를 업로드할 때 암호 텍스트 상자에 pfx 파일 암호 제공

    • 암호: 기본 인증서를 사용하는 경우 아무 작업도 필요하지 않습니다. 인증서를 업로드할 경우 해당 인증서는 암호로 보호되어 있어야 하며, 암호 텍스트 상자에 .pfx 파일 암호를 입력합니다.

  5. 저장을 클릭합니다.

X.509 인증서 얻기

여러 가지 방법으로 토큰 서명 또는 암호화용 X.509 인증서를 얻을 수 있습니다. 사용하는 방법은 조직에서 사용 가능한 도구 및 요구 사항에 따라 달라집니다.

로컬 인증 기관

조직에서 AD CS(Active Directory 인증서 서비스)와 같은 CA(인증 기관)를 배포한 경우에는 X.509 인증서를 요청할 수 있습니다. 지침이나 사용 권한은 인증 기관 관리자에게 문의해야 할 수 있습니다. Active Directory 인증서 서비스에 대한 자세한 내용은 Active Directory 인증서 서비스 (https://go.microsoft.com/fwlink/?linkid=208371)를 참조하세요.

상업용 인증 기관

Verisign과 같은 상업용 인증 기관에서 X.509 인증서를 구입할 수 있습니다. 이 문서는 Labs 릴리스이므로 로컬 인증 기관(사용 가능한 경우)을 사용하거나 자체 서명된 인증서를 생성하는 것이 좋습니다(아래 참조).

Self-Signed 인증서 생성

소프트웨어를 사용하여 ACS와 함께 사용할 자체 서명된 인증서를 생성할 수 있습니다. 이 방법은 일반적으로 테스트용으로만 사용하는 것이 좋지만, 로컬 CA에 액세스할 수 없거나 상업용 CA를 구입하지 않으려는 경우에도 누구나 사용할 수 있습니다. Windows 실행하는 경우 Windows SDK(https://go.microsoft.com/fwlink/?linkid=84091)의 일부로 MakeCert.exe 다운로드하고 이를 사용하여 인증서를 생성할 수 있습니다.

자체 서명된 인증서 내보내기

자체 서명된 인증서를 내보내는 방법에 대한 지침은 인증서 및 키를 참조하세요.

이 단계에서는 ASP.NET 웹 응용 프로그램의 web.config에서 트러스트 관련 구성 특성의 유효성을 검사하는 방법을 보여 줍니다.

  1. ASP.NET 웹 응용 프로그램의 web.config 파일을 엽니다.

  2. audiencesUris 노드로 이동하여 자식 추가 노드의 값이 ACS 관리 포털의 신뢰 당사자 편집 페이지의 영역 속성 필드에 입력한 값과 같은지 확인합니다.

    1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

    2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

    3. 신뢰 당사자 응용 프로그램을 클릭합니다.

    4. 신뢰 당사자 응용 프로그램 페이지에서 원하는 응용 프로그램을 클릭합니다.

    5. 신뢰 당사자 응용 프로그램 편집 페이지에서 Realm 특성을 검토합니다.

참고 항목

개념

ACS 사용 방법