인증서 인증을 사용하는 보호 설정

 

게시 날짜: 2016년 3월

적용 대상: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

작업 그룹 및 신뢰할 수 없는 도메인의 컴퓨터를 보호하도록 DPM을 배포할 수 있습니다. NTLM 또는 인증서를 사용하여 인증을 처리할 수 있습니다. 이 항목에서는 인증서 인증을 사용하여 보호를 설정하는 방법을 설명합니다.

시작하기 전에

• 보호하려는 각 컴퓨터에 .NET Framework 3.5 SP1 이상이 설치되어 있어야 합니다.

• 인증에 사용하는 인증서는 다음을 준수해야 합니다.

  • X.509 V3 인증서

  • EKU(확장된 키 사용)는 클라이언트 인증 및 서버 인증이 있어야 합니다.

  • 키 길이는 1024비트 이상이어야 합니다.

  • 키 유형은 exchange여야 합니다.

  • 인증서 및 루트 인증서의 주체 이름은 비워둘 수 없습니다.

  • 연결된 인증 기관의 해지 서버가 온라인 상태이고 보호된 서버와 DPM 서버에서 액세스할 수 있어야 합니다.

  • 인증서에 연결된 개인 키가 있어야 합니다.

  • DPM은 CNG 키를 가진 인증서를 지원하지 않습니다.

  • DPM는 자체 서명된 인증서를 지원하지 않습니다.

• 보호하려는 각 컴퓨터(가상 컴퓨터 포함)에는 자체 인증서가 있어야 합니다.

보호 설정

1. DPM 인증서 템플릿 만들기

2. DPM 서버에서 인증서 구성.

3. 에이전트 설치

4. 보호된 컴퓨터에 인증서 구성

5. 컴퓨터 연결

DPM 인증서 템플릿 만들기

필요에 따라 웹 등록을 위한 DPM 템플릿을 설정할 수 있습니다. 이를 원하지 않는 경우 목적에 따라 클라이언트 인증 및 서버 인증을 가진 템플릿을 선택합니다. 예를 들면 다음과 같습니다.

1. 인증서 템플릿 MMC 스냅인에서 RAS 및 IAS 서버 템플릿을 선택할 수 있습니다. 이를 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 선택합니다.

2. 템플릿 복제에서 기본 설정인 Windows Server 2003 Enterprise를 유지합니다.

3. 일반 탭에서 템플릿 표시 이름을 알아볼 수 있는 다른 이름으로 변경합니다. 예를 들어 DPM 인증으로 바꿀 수 있습니다.Active Directory에 인증서 게시를 사용하도록 설정했는지 확인합니다.

4. 요청 처리 탭에서 개인 키를 내보낼 수 있음을 사용하도록 설정했는지 확인합니다.

5. 템플릿을 만든 후 사용할 수 있도록 설정합니다. 인증 기관 스냅인을 엽니다.인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 선택하고 발급할 인증서 템플릿을 선택합니다.인증서 템플릿 사용에서 템플릿을 선택하고 확인을 클릭합니다. 이제 인증서를 받을 때 템플릿을 사용할 수 있습니다.

등록 또는 자동 등록을 사용하도록 설정

필요에 따라 등록 또는 자동 등록을 위한 템플릿을 구성하려는 경우 템플릿 속성에서 주체 이름 탭을 클릭합니다. 등록을 구성하는 경우 MMC에서 템플릿을 선택할 수 있습니다. 자동 등록을 구성하는 경우 인증서는 도메인의 모든 컴퓨터에 자동으로 할당됩니다.

• 등록의 경우 템플릿 속성의 주체 이름 탭에서 이 Active Directory 정보로 빌드 선택을 사용하도록 설정합니다.주체 이름 형식에서 일반 이름을 선택하고 DNS 이름을 사용하도록 설정합니다. 그런 다음 보안 탭으로 이동하여 인증된 사용자에게 등록 권한을 할당합니다.

• 자동 등록의 경우 보안 탭으로 이동하여 인증된 사용자에게 자동 등록 권한을 할당합니다. 이 설정을 사용하면 인증서가 도메인의 모든 컴퓨터에 자동으로 할당됩니다.

• 등록을 구성할 경우 MMC에서 템플릿을 기반으로 새 인증서를 요청할 수 있습니다. 이렇게 하려면 보호된 컴퓨터의 인증서(로컬 컴퓨터) > 개인에서 인증서를 마우스 오른쪽 단추로 클릭합니다.모든 작업 > 새 인증서 요청을 선택합니다. 마법사의 인증서 등록 정책 선택 페이지에서 Active Directory 등록 정책을 선택합니다.인증서 요청에 템플릿이 표시됩니다.세부 정보를 확장하고 속성을 클릭합니다.일반 탭을 선택하고 친숙한 이름을 입력합니다. 설정을 적용하면 인증서가 성공적으로 설치되었다는 메시지가 표시됩니다.

DPM 서버에서 인증서 구성

1. 웹 등록 또는 다른 방법을 통해 CA에서 DPM에 대한 인증서를 생성합니다. 웹 등록의 경우 고급 인증서 필요, **이 CA에 요청을 만들어 제출합니다.**를 선택합니다. 키 크기가 1024 이상인지 확인하고 키를 내보낼 수 있도록 표시를 선택합니다.

2. 인증서는 사용자 저장소에 배치됩니다. 이를 로컬 컴퓨터 저장소로 이동해야 합니다.

3. 이를 위해 사용자 저장소에서 인증서를 내보냅니다. 개인 키와 함께 내보내야 합니다. 기본 .pfx 형식으로 내보낼 수 있습니다. 내보내기에 대한 암호를 지정합니다.

4. Local Computer\Personal\Certificate에서 인증서 가져오기 마법사를 실행하여 내보낸 파일을 저장된 위치에서 가져옵니다. 내보내는 데 사용한 암호를 지정하고 이 키를 내보낼 수 있도록 표시가 선택되어 있는지 확인합니다. 인증서 저장소 페이지에서 기본 설정인 모든 인증서를 다음 저장소에 저장을 그대로 유지하고 개인이 표시되는지 확인합니다.

5. 가져오기 후 인증서 사용을 위해 DPM 자격 증명을 설정합니다.

   1. 인증서의 지문을 가져옵니다.인증서 저장소에서 인증서를 두 번 클릭합니다.세부 정보 탭을 선택하고 지문까지 아래로 스크롤합니다. 클릭하여 강조 표시하고 복사합니다. 지문을 메모장에 붙여넣고 모든 공백을 제거합니다.

   2. Set-DPMCredentials를 실행하여 다음 DPM 서버를 구성합니다.

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type - 인증의 유형을 나타냅니다. 값: certificate

   • -Action - 처음으로 명령을 수행할지, 자격 증명을 다시 생성할지 지정합니다. 가능한 값: regenerate 또는 configure

   • OutputFilePath - 보호된 컴퓨터의 Set-DPMServer에서 사용되는 출력 파일의 위치입니다.

   • –Thumbprint - 메모장 파일에서 복사합니다.

   • -AuthCAThumbprint - 인증서 신뢰 체인의 CA 지문입니다. 선택 사항입니다. 지정하지 않으면 Root가 사용됩니다.

6. 이는 신뢰할 수 없는 도메인에 각 에이전트 설치 시 필요한 메타 데이터 파일(.bin)를 생성합니다. 명령을 실행하기 전에 C:\Temp 폴더가 있는지 확인하십시오. 파일을 손실하거나 삭제한 경우 –action regenerate 옵션과 함께 스크립트를 실행하여 다시 생성할 수 있습니다.

7. .Bin 파일을 가져와 보호하려는 컴퓨터의 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 폴더에 복사합니다. 이 작업은 수행할 필요가 없지만 하지 않을 경우 다음의 경우 –DPMcredential 매개 변수에 대한 파일의 전체 경로를 지정해야 합니다.

8. 작업 그룹 또는 신뢰할 수 없는 도메인에 있는 컴퓨터를 보호하는 모든 DPM 서버에서 이러한 단계를 반복합니다.

에이전트 설치

1. 보호하려는 각 컴퓨터에서 DPM 설치 CD의 DPMAgentInstaller_X64.exe를 실행하여 에이전트를 설치합니다.

보호된 컴퓨터에 인증서 구성

1. 웹 등록 또는 다른 방법을 통해 CA에서 보호된 컴퓨터에 대한 인증서를 생성합니다. 웹 등록의 경우 고급 인증서 필요, **이 CA에 요청을 만들어 제출합니다.**를 선택합니다. 키 크기가 1024 이상인지 확인하고 키를 내보낼 수 있도록 표시를 선택합니다.

2. 인증서는 사용자 저장소에 배치됩니다. 이를 로컬 컴퓨터 저장소로 이동해야 합니다.

3. 이를 위해 사용자 저장소에서 인증서를 내보냅니다. 개인 키와 함께 내보내야 합니다. 기본 .pfx 형식으로 내보낼 수 있습니다. 내보내기에 대한 암호를 지정합니다.

4. Local Computer\Personal\Certificate에서 인증서 가져오기 마법사를 실행하여 내보낸 파일을 저장된 위치에서 가져옵니다. 내보내는 데 사용한 암호를 지정하고 이 키를 내보낼 수 있도록 표시가 선택되어 있는지 확인합니다. 인증서 저장소 페이지에서 기본 설정인 모든 인증서를 다음 저장소에 저장을 그대로 유지하고 개인이 표시되는지 확인합니다.

5. 가져오기 후 백업을 수행할 수 있도록 DPM 서버를 승인된 것으로 인식하도록 다음과 같이 컴퓨터를 구성합니다.

   1. 인증서의 지문을 가져옵니다.인증서 저장소에서 인증서를 두 번 클릭합니다.세부 정보 탭을 선택하고 지문까지 아래로 스크롤합니다. 클릭하여 강조 표시하고 복사합니다. 지문을 메모장에 붙여넣고 모든 공백을 제거합니다.

   2. C:\Program files\Microsoft Data Protection anager\DPM\bin 폴더로 이동합니다. 다음과 같이 setdpmserver를 실행합니다.

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      여기서 ClientThumbprintWithNoSpaces는 메모장 파일에서 복사됩니다.

   3. 구성이 성공적으로 완료되었음을 확인하려면 출력을 얻어야 합니다.

6. .bin 파일을 가져와 DPM 서버에 복사합니다. 연결 프로세스가 파일을 확인할 기본 경로(Windows\System32)에 복사하여 연결 명령을 실행할 때 전체 경로 대신 파일 이름을 지정할 수 있도록 하는 것이 좋습니다.

컴퓨터 연결

다음 구문을 통해 Attach-ProductionServerWithCertificate.ps1 PowerShell 스크립트를 사용하여 DPM 서버에 컴퓨터를 연결합니다.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DPMServerName - DPM 서버의 이름

• PSCredential - .bin 파일의 이름입니다. Windows\System32 폴더에 저장할 경우 파일 이름만 지정할 수 있습니다. 보호된 서버에 생성된 .bin 파일을 지정하도록 주의하십시오. DPM 서버에 생성된 .bin 파일을 지정하는 경우 인증서 기반 인증으로 구성된 모든 보호된 컴퓨터를 제거합니다.

연결 프로세스가 완료된 후 보호된 컴퓨터가 DPM 콘솔에 표시됩니다.

예

예 1

c:\CertMetaData\에 이름이 CertificateConfiguration_<DPM SERVER FQDN>.bin인 파일을 생성합니다.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

여기서 dpmserver.contoso.com은 DPM 서버의 이름이며 “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”은 DPM 서버 인증서의 지문입니다.

예 2

손실된 구성 파일을 c:\CertMetaData\에 다시 생성합니다.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate