Windows Server 및 System Center Operations Manager에서 사용할 인증서 가져오기

아티클
04/10/2024

이 문서에서는 Windows 플랫폼에서 Stand-Alone 또는 AD CS(Enterprise Active Directory Certificate Services) CA(인증 기관) 서버를 사용하여 인증서를 획득하고 Operations Manager 관리 서버, 게이트웨이 또는 에이전트와 함께 사용하는 방법을 설명합니다.

인증서를 요청하고 수락하려면 certreq 명령줄 유틸리티를 사용합니다. 인증서를 제출하고 검색하려면 웹 인터페이스를 사용합니다.

사전 요구 사항

다음이 있는지 확인합니다.

웹 서비스 또는 타사 인증 기관이 표시된 필수 설정과 일치하는 인증서를 사용하여 환경에 설치 및 구성된 AD-CS입니다.
HTTPS 바인딩 및 연결된 인증서가 설치되었습니다. HTTPS 바인딩을 만드는 방법에 대한 자세한 내용은 Windows Server CA에 대한 HTTPS 바인딩을 구성하는 방법을 참조하세요.
핵심 서버가 아닌 일반적인 데스크톱 환경입니다.

중요

KSP(암호화 API 키 스토리지 공급자)는 Operations Manager 인증서에 대해 지원되지 않습니다.

참고

organization AD CS를 사용하지 않거나 외부 인증 기관을 사용하는 경우 해당 애플리케이션에 제공된 지침을 사용하여 인증서를 만들고 Operations Manager에 대한 다음 요구 사항을 충족하는지 확인하고 제공된 가져오기 및 설치 단계를 따릅니다.

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

중요

이 항목의 경우 AD-CS에 대한 기본 설정은 다음과 같습니다.

표준 키 길이: 2048
암호화 API: CSP(암호화 서비스 공급자)
보안 해시 알고리즘: 256(SHA256) 회사의 보안 정책 요구 사항에 대해 이러한 선택을 평가합니다.

인증서를 가져오는 개략적인 프로세스:

엔터프라이즈 CA
독립 실행형 CA

CA에서 루트 인증서를 다운로드합니다.
루트 인증서를 클라이언트 서버로 가져옵니다.
인증서 템플릿을 만듭니다.
인증서 템플릿 폴더에 템플릿을 추가합니다.
명령줄 유틸리티와 함께 <certreq> 사용할 설치 정보 파일을 만듭니다.
요청 파일을 만들거나 웹 포털을 사용합니다.
CA에 요청을 제출합니다.
인증서 저장소로 인증서를 가져옵니다.
를 사용하여 <MOMCertImport>인증서를 Operations Manager로 가져옵니다.

CA에서 루트 인증서를 다운로드합니다.
루트 인증서를 클라이언트 서버로 가져옵니다.
명령줄 유틸리티와 함께 <certreq> 사용할 설치 정보 파일을 만듭니다.
요청 파일을 만들거나 웹 포털을 사용합니다.
요청 파일을 사용하여 CA에 요청을 제출합니다.
대기 중인 인증서 요청을 승인합니다.
CA에서 인증서를 검색합니다.
인증서 저장소로 인증서를 가져옵니다.
를 사용하여 <MOMCertImport>인증서를 Operations Manager로 가져옵니다.

CA에서 루트 인증서 다운로드 및 가져오기

Enterprise 또는 Stand-Alone CA에서 만든 인증서를 신뢰하고 유효성을 검사하려면 대상 컴퓨터에 신뢰할 수 있는 루트 저장소에 루트 인증서의 복사본이 있어야 합니다. 대부분의 도메인에 가입된 컴퓨터는 엔터프라이즈 CA를 신뢰해야 합니다. 그러나 루트 인증서가 설치되지 않은 Stand-Alone CA의 인증서를 신뢰하는 컴퓨터는 없습니다.

타사 CA를 사용하는 경우 다운로드 프로세스가 다릅니다. 그러나 가져오기 프로세스는 동일하게 유지됩니다.

CA에서 신뢰할 수 있는 루트 인증서 다운로드

신뢰할 수 있는 루트 인증서를 다운로드하려면 다음 단계를 수행합니다.

인증서를 설치하려는 컴퓨터에 로그인합니다. 예를 들어 게이트웨이 서버 또는 관리 서버입니다.
웹 브라우저를 열고 인증서 서버 웹 주소에 연결합니다. https://<servername>/certsrv)을 입력합니다.
시작 페이지에서 CA 인증서, 인증서 체인 또는 CRL다운로드를 선택합니다.

a. 웹 액세스 확인 메시지가 표시되면 서버 및 URL을 확인하고 예를 선택합니다.

b. CA 인증서에서 여러 옵션을 확인하고 선택을 확인합니다.
인코딩 방법을 Base 64 로 변경한 다음 CA 인증서 체인 다운로드를 선택합니다.
인증서를 저장하고 친숙한 이름을 제공합니다.

클라이언트의 CA에서 신뢰할 수 있는 루트 인증서 가져오기

참고

신뢰할 수 있는 루트 인증서를 가져오려면 대상 컴퓨터에 대한 관리 권한이 있어야 합니다.

신뢰할 수 있는 루트 인증서를 가져오려면 다음 단계를 수행합니다.

이전 단계에서 생성된 파일을 클라이언트에 복사합니다.
인증서 관리자를 엽니다.
1. 명령줄, PowerShell 또는 실행에서 certlm.msc를 입력하고 Enter 키를 누릅니다.
2. 실행 시작을 > 선택하고 mmc 를 입력하여 Microsoft 관리 콘솔(mmc.exe)을 찾습니다.
  1. 파일>스냅인 추가/제거...로 이동합니다.
  2. 스냅인 추가 또는 제거 대화 상자에서 인증서를 선택한 다음, 추가를 선택합니다.
  3. 인증서 스냅인 대화 상자에서
    1. 컴퓨터 계정을 선택하고 다음을 선택합니다. 컴퓨터 선택 대화 상자가 열립니다.
    2. 로컬 컴퓨터를 선택하고 마침을 선택합니다.
  4. 확인을 선택합니다.
  5. 콘솔 루트에서 인증서(로컬 컴퓨터)를 확장합니다.
신뢰할 수 있는 루트 인증 기관을 확장한 다음 인증서를 선택합니다.
모든 작업을 선택합니다.
인증서 가져오기 마법사에서 첫 번째 페이지를 기본값으로 두고 다음을 선택합니다.
1. CA 인증서 파일을 다운로드한 위치로 이동하고 CA에서 복사한 신뢰할 수 있는 루트 인증서 파일을 선택합니다.
2. 다음을 선택합니다.
3. 인증서 저장소 위치에서 신뢰할 수 있는 루트 인증 기관을 기본값으로 그대로 둡니다.
4. 다음 및 마침을 선택합니다.
성공하면 CA의 신뢰할 수 있는 루트 인증서가 신뢰할 수 있는 루트 인증 기관>인증서 아래에 표시됩니다.

인증서 템플릿 만들기: 엔터프라이즈 CA

엔터프라이즈 CA:

AD-DS(Active Directory Domain Services)와 통합됩니다.
인증서 및 CRL(인증서 해지 목록)을 AD-DS에 게시합니다.
AD-DS에 저장된 사용자 계정 및 보안 그룹 정보를 사용하여 인증서 요청을 승인하거나 거부합니다.
인증서 템플릿을 사용합니다.

인증서를 발급하기 위해 엔터프라이즈 CA는 인증서 템플릿의 정보를 사용하여 해당 인증서 유형에 대한 적절한 특성을 가진 인증서를 생성합니다.

독립 실행형 CA:

AD-DS가 필요하지 않습니다.
인증서 템플릿을 사용하지 마세요.

독립 실행형 CA를 사용하는 경우 인증서 요청에 요청된 인증서 유형에 대한 모든 정보를 포함합니다.

자세한 내용은 인증서 템플릿을 참조하세요.

System Center Operations Manager에 대한 인증서 템플릿 만들기

사용자 환경(CA)에서 AD CS를 사용하여 도메인에 가입된 서버에 로그인합니다.
Windows 데스크톱에서Windows 관리 도구>인증 기관시작을> 선택합니다.
오른쪽 탐색 창에서 CA를 확장하고 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택합니다.
IPSec(오프라인 요청)을 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 선택합니다.

새 템플릿의 속성 대화 상자가 열립니다. 아래와 같이 선택합니다.

탭	Description
호환성	1. 인증 기관: Windows Server 2008(또는 환경에서 가장 낮은 AD 기능 수준). 2. 인증서 수신자: Windows Server 2012(또는 환경에서 가장 낮은 버전 OS).
일반	1. 템플릿 표시 이름: Operations Manager와 같은 친숙한 이름을 입력합니다. 2. 템플릿 이름: 표시 이름과 동일한 이름을 입력합니다. 3. 유효 기간: organization 요구 사항에 맞게 유효 기간을 입력합니다. 4. Active Directory에서 인증서 게시를 선택하고 Active Directory에 중복 인증서가 있는 경우 자동으로 다시 등록하지 않음 확인란을 선택합니다.
요청 처리	1. 목적: 드롭다운에서 서명 및 암호화 를 선택합니다. 2. 프라이빗 키를 내보낼 수 있도록 허용 확인란을 선택합니다.
암호화	1. 공급자 범주: 레거시 암호화 서비스 공급자 2를 선택합니다. 알고리즘 이름: 드롭다운에서 CSP에 의해 결정됨을 선택합니다. 3. 최소 키 크기: 조직 보안 요구 사항에 따라 2048 또는 4096 4. 공급자: 드롭다운에서 Microsoft RSA 채널 암호화 공급자 및 Microsoft 고급 암호화 공급자 v1.0 을 선택합니다.
확장	1. 이 템플릿에 포함된 확장에서애플리케이션 정책을 선택한 다음 , 편집 2를 선택합니다. 애플리케이션 정책 확장 편집 대화 상자가 열립니다. 3. 애플리케이션 정책:에서 IP 보안 IKE 중간을 선택한 다음 제거 4를 선택합니다. 추가를 선택한 다음, 애플리케이션 정책에서 클라이언트 인증 및 서버 인증을 선택합니다. 5. 확인을 선택합니다. 6. 키 사용 및편집을 선택합니다. 7. 디지털 서명 및 키 암호화(키 암호화)로만 키 교환 허용이 선택되어 있는지 확인합니다. 8. 이 확장이 중요하게 만들기 확인란을 선택하고 확인을 선택합니다.
보안	1. 인증된 사용자 그룹(또는 컴퓨터 개체)에 읽기 및 등록 권한이 있는지 확인하고 적용 을 선택하여 템플릿을 만듭니다.

인증서 템플릿 폴더에 템플릿 추가

사용자 환경(CA)에서 AD CS를 사용하여 도메인에 가입된 서버에 로그인합니다.
Windows 데스크톱에서Windows 관리 도구>인증 기관시작을> 선택합니다.
오른쪽 탐색 창에서 CA를 확장하고 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 발급할 새>인증서 템플릿을 선택합니다.
위의 단계에서 만든 새 템플릿을 선택하고 확인을 선택합니다.

요청 파일을 사용하여 인증서 요청

설치 정보(.inf) 파일 만들기

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 텍스트 편집기에서 새 텍스트 파일을 엽니다.

다음 콘텐츠가 포함된 텍스트 파일을 만듭니다.


[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

.inf 파일 확장자를 사용하여 파일을 저장합니다. CertRequestConfig.inf)을 입력합니다.
텍스트 편집기를 닫습니다.

인증서 요청 파일 만들기

이 프로세스는 Base64의 구성 파일에 지정된 정보를 인코딩하고 새 파일에 출력합니다.

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 관리자 명령 프롬프트를 엽니다.
.inf 파일이 있는 동일한 디렉터리로 이동합니다.
아래 명령을 실행하여 .inf 파일 이름을 수정하여 앞에서 만든 파일 이름과 일치하는지 확인합니다. .req 파일 이름을 그대로 둡니다.
```
CertReq –New –f CertRequestConfig.inf CertRequest.req
```
새로 만든 파일을 열고 내용을 복사합니다.

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 웹 브라우저를 열고 인증서 서버 웹 주소를 호스팅하는 컴퓨터에 연결합니다. https://<servername>/certsrv)을 입력합니다.
Microsoft Active Directory 인증서 서비스 시작 페이지에서 인증서 요청을 선택합니다.
인증서 요청 페이지에서 고급 인증서 요청을 선택합니다.
고급 인증서 요청 페이지에서 base-64로 인코딩된 CMC 또는 PKCS #10 파일을 사용하여 인증서 요청 제출을 선택하거나 base-64로 인코딩된 PKCS #7 파일을 사용하여 갱신 요청을 제출합니다.
인증서 요청 또는 갱신 요청 제출 페이지의 저장된 요청 텍스트 상자에 이전 절차의 4단계에서 복사한 CertRequest.req 파일의 내용을 붙여넣습니다.
인증서 템플릿에서 만든 인증서 템플릿을 선택합니다. 예를 들어 OperationsManagerCert를 선택한 다음 제출을 선택합니다.
성공하면 인증서 발급 페이지에서 Base 64로 인코딩된인증서 다운로드를 > 선택합니다.
인증서를 저장하고 친숙한 이름을 제공합니다. 예를 들어 SCOM-MS01.cer 저장합니다.
웹 브라우저를 닫습니다.

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 웹 브라우저를 열고 인증서 서버 웹 주소를 호스트하는 컴퓨터에 연결합니다. https://<servername>/certsrv)을 입력합니다.
Microsoft Active Directory 인증서 서비스 시작 페이지에서 인증서 요청을 선택합니다.
인증서 요청 페이지에서 고급 인증서 요청을 선택합니다.
고급 인증서 요청 페이지에서 base-64로 인코딩된 CMC 또는 PKCS #10 파일을 사용하여 인증서 요청 제출 또는base-64로 인코딩된 PKCS #7 파일을 사용하여 갱신 요청 제출을 선택합니다.
인증서 요청 또는 갱신 요청 제출 페이지의 저장된 요청 텍스트 상자에 이전 절차의 4단계에서 복사한 CertRequest.req 파일의 내용을 붙여넣습니다.
인증서 템플릿에서 만든 인증서 템플릿을 선택합니다. 예를 들어 OperationsManagerCert를 선택한 다음 제출을 선택합니다.
이제 인증서를 다운로드하기 전에 수동 승인을 위해 요청이 CA에 제출됩니다.

Stand-Alone CA에서 보류 중인 인증서 요청 승인

사용자 환경에서 엔터프라이즈 인증 기관에 로그인합니다.
Windows 관리 도구>인증 기관시작을> 선택합니다.
왼쪽 탐색 창에서 CA를 확장하고 보류 중인 요청을 선택합니다.
오른쪽 탐색 창에서 Operations Manager 서버에 대한 보류 중인 요청을 찾아 선택합니다.
보류 중인 요청>모든 작업>문제를 마우스 오른쪽 단추로 클릭합니다.
왼쪽 탐색 영역에서 발급된 인증서를 선택하고 새로 발급된 인증서가 있는지 확인합니다.
인증 기관 콘솔을 닫습니다.

Stand-Alone CA에서 인증서 검색

인증서를 쉽게 설치하기 위해 Stand-Alone CA의 인증서가 대상 컴퓨터에서 검색됩니다. CA가 대상 컴퓨터에서 연결되지 않은 경우 아래와 같이 인증서를 내보내야 합니다.

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 웹 브라우저를 열고 인증서 서버 웹 주소를 호스트하는 컴퓨터에 연결합니다. https://<servername>/certsrv)을 입력합니다.
시작 페이지에서 보류 중인 인증서 요청의 상태 보기를 선택합니다.
발급된 인증서 페이지에서 Base 64 인코딩을 선택하고 인증서 다운로드를 선택합니다.
성공하면 인증서 발급 페이지가 열리고 이 인증서 설치 링크가 열립니다.
이 인증서 설치를 선택합니다.
서버에 개인 인증서 저장소는 인증서 를 저장합니다.
MMC 또는 CertMgr 콘솔을 로드하고 개인> 인증서로 이동하여 새로 만든 인증서를 찾습니다.
대상 서버에서 작업이 성공적으로 완료되면 다음 기본 단계를 계속 진행합니다. 그렇지 않으면 인증서를 내보냅니다.
1. 새 인증서 >모든 작업> 내보내기를 마우스 오른쪽 단추로 클릭합니다.
2. 인증서 내보내기 마법사에서 다음을 선택합니다.
3. 예를 선택하고 프라이빗 키를 내보내고 다음을 선택합니다.
4. 개인 정보 교환 – PKCS #12(를 선택합니다. PFX).
5. 가능하면 인증 경로에 모든 인증서 포함을 선택합니다.
6. 모든 확장 속성 내보내기 를 선택하고 다음을 선택합니다.
7. 미사용 인증서 파일을 암호화하는 암호를 제공하고 다음을 선택합니다.
8. 내보낸 파일을 저장하고 친숙한 이름을 제공합니다.
9. 다음을 선택하고 마침을 선택합니다.
10. 내보낸 인증서 파일을 찾아 파일의 아이콘을 검사합니다.
  1. 아이콘에 키가 포함된 경우 프라이빗 키가 연결되어 있어야 합니다.
  2. 아이콘에 키가 없는 경우 나중에 사용하기 위해 필요할 때 프라이빗 키로 인증서를 다시 내보냅니다.
11. 내보낸 파일을 대상 컴퓨터에 복사합니다.
웹 브라우저를 닫습니다.

AD-CS 웹 포털을 사용하여 인증서 요청

요청 파일 외에도 인증서 서비스 웹 포털을 통해 인증서 요청을 만들 수 있습니다. 이 단계는 인증서 설치의 용이성을 위해 대상 컴퓨터에서 완료됩니다. AD-CS 웹 포털을 사용하는 인증서 요청이 불가능한 경우 아래 표시된 대로 인증서를 내보내야 합니다.

인증서를 요청하는 Operations Manager 기능을 호스트하는 컴퓨터에서 웹 브라우저를 열고 인증서 서버 웹 주소를 호스팅하는 컴퓨터에 연결합니다. https://<servername>/certsrv)을 입력합니다.
Microsoft Active Directory 인증서 서비스 시작 페이지에서 인증서 요청을 선택합니다.
인증서 요청 페이지에서 고급 인증서 요청을 선택합니다.
만들기를 선택하고 이 CA에 요청을 제출합니다.
고급 인증서 요청이 열립니다. 다음을 수행합니다.
1. 인증서 템플릿: 이전에 만든 템플릿 또는 Operations Manager에 지정된 템플릿을 사용합니다.
2. 오프라인 템플릿에 대한 정보 식별:
  1. 이름: 서버의 FQDN 또는 DNS에 표시되는 FQDN
  2. organization 적절한 다른 정보 제공
3. 키 옵션:
  1. 키를 내보낼 수 있는 것으로 표시 확인란을 선택합니다.
4. 추가 옵션:
  1. 식별 이름: 서버의 FQDN 또는 DNS에 표시되는 FQDN
제출을 선택합니다.
작업이 성공적으로 완료되면 인증서 발급 페이지가 열리고 이 인증서 설치 링크가 열립니다.
이 인증서 설치를 선택합니다.
서버에서 개인 인증서 저장소는 인증서 를 저장합니다.
MMC 또는 CertMgr 콘솔을 로드하고 개인>인증서로 이동하여 새로 만든 인증서를 찾습니다.
대상 서버에서 이 작업이 완료되지 않으면 인증서를 내보냅니다.
1. 새 인증서 > 모든 작업 > 내보내기를 마우스 오른쪽 단추로 클릭합니다.
2. 인증서 내보내기 마법사에서 다음을 선택합니다.
3. 예를 선택하고 프라이빗 키를 내보내고다음을 선택합니다.
4. 개인 정보 교환 – PKCS #12(를 선택합니다. PFX).
5. 가능한 경우 인증 경로에 모든 인증서 포함 및 모든 확장 속성 내보내기 확인란을 선택하고 다음을 선택합니다.
6. 미사용 인증서 파일을 암호화하는 암호를 제공하고 다음을 선택합니다.
7. 내보낸 파일을 저장하고 친숙한 이름을 제공합니다.
8. 다음을 선택하고 마침을 선택합니다.
9. 내보낸 인증서 파일을 찾아 파일 아이콘을 검사합니다.
  1. 아이콘에 키가 포함된 경우 프라이빗 키가 연결되어 있어야 합니다.
  2. 아이콘에 키가 없는 경우 나중에 사용하기 위해 필요할 때 프라이빗 키로 인증서를 다시 내보냅니다.
10. 내보낸 파일을 대상 컴퓨터에 복사합니다.
웹 브라우저를 닫습니다.

인증서 관리자를 사용하여 인증서 요청

정의된 인증서 템플릿이 있는 엔터프라이즈 CA의 경우 인증서 관리자를 사용하여 도메인에 가입된 클라이언트 컴퓨터에서 새 인증서를 요청할 수 있습니다. 템플릿을 사용하므로 이 메서드는 Stand-Alone CA에 적용되지 않습니다.

관리자 권한(관리 서버, 게이트웨이, 에이전트 등)을 사용하여 대상 컴퓨터에 로그인합니다.
관리자 명령 프롬프트 또는 PowerShell 창을 사용하여 인증서 관리자를 엽니다.
1. certlm.msc – 로컬 머신 인증서 저장소를 엽니다.
2. mmc.msc – Microsoft 관리 콘솔을 엽니다.
  1. 인증서 관리자 스냅인을 로드합니다.
  2. 파일>스냅인 추가/제거로 이동합니다.
  3. 인증서를 선택합니다.
  4. 추가를 선택합니다.
  5. 메시지가 표시되면 컴퓨터 계정을 선택하고 다음을 선택합니다.
  6. 로컬 컴퓨터를 선택하고 마침을 선택합니다.
  7. 확인을 선택하여 마법사를 닫습니다.
인증서 요청을 시작합니다.
1. 인증서 아래에서 개인 폴더를 확장합니다.
2. 인증서>모든 작업>요청 새 인증서를 마우스 오른쪽 단추로 클릭합니다.

인증서 등록 마법사

시작하기 전에 페이지에서 다음을 선택합니다.
해당하는 인증서 등록 정책(기본값은 Active Directory 등록 정책일 수 있음)을 선택하고 다음을 선택합니다.
원하는 등록 정책 템플릿을 선택하여 인증서를 만듭니다.
1. 템플릿을 즉시 사용할 수 없는 경우 목록 아래의 모든 템플릿 표시 상자를 선택합니다.
2. 필요한 템플릿을 옆에 빨간색 X와 함께 사용할 수 있는 경우 Active Directory 또는 인증서 팀에 문의하세요.
대부분의 환경에서 인증서 템플릿 아래에 하이퍼링크가 있는 경고 메시지를 찾고, 링크를 선택하고, 인증서에 대한 정보를 계속 채울 수 있습니다.

인증서 속성 마법사:

탭	Description
제목	1. 주체 이름에서 일반 이름 또는 전체 DN을 선택하고 대상 서버의 호스트 이름 또는 BIOS 이름인 추가를 선택합니다.
일반	1. 생성된 인증서에 친숙한 이름을 입력합니다. 2. 원하는 경우 이 티켓의 목적에 대한 설명을 제공합니다.
확장	1. 키 사용에서 디지털 서명 및 키 암호화 옵션을 선택하고 이러한 키 사용을 중요하게 만들기 확인란을 선택합니다. 2. 확장 키 사용에서 서버 인증 및 클라이언트 인증 옵션을 선택해야 합니다.
프라이빗 키	1. 키 옵션에서 키 크기가 1024 또는 2048 이상인지 확인하고 프라이빗 키를 내보낼 수 있도록 설정 확인란을 선택합니다. 2. 키 유형에서 Exchange 옵션을 선택해야 합니다.
인증 기관 탭	CA 확인란을 선택해야 합니다.
서명	organization 등록 기관이 필요한 경우 이 요청에 대한 서명 인증서를 제공합니다.

인증서 속성 마법사에 정보가 제공되면 이전의 경고 하이퍼링크가 사라집니다.
등록을 선택하여 인증서를 만듭니다. 오류가 있는 경우 AD 또는 인증서 팀에 문의하세요.
성공하면 상태 성공됨을 읽고 새 인증서가 개인/인증서 저장소에 배치됩니다.

인증서의 의도된 수신자에 대해 이러한 작업이 수행된 경우 다음 단계를 진행합니다.
그렇지 않으면 컴퓨터에서 새 인증서를 내보내고 다음 인증서로 복사합니다.
1. 인증서 관리자 창을 열고 개인>인증서로 이동합니다.
2. 내보낼 인증서를 선택합니다.
3. 모든 작업> 내보내기를 마우스 오른쪽 단추로 클릭합니다.
4. 인증서 내보내기 마법사에서
  1. 시작 페이지에서 다음을 선택합니다.
  2. 예를 선택하고 프라이빗 키를 내보냅니다.
  3. 개인 정보 교환 – PKCS #12(를 선택합니다. 형식 옵션의 PFX)
    1. 가능한 경우 인증 경로에 모든 인증서 포함 및 모든 확장 속성 내보내기 확인란을 선택합니다.
  4. 다음을 선택합니다.
  5. 인증서 파일을 암호화하는 알려진 암호를 제공합니다.
  6. 다음을 선택합니다.
  7. 인증서에 대한 액세스 가능한 경로와 인식 가능한 파일 이름을 제공합니다.
5. 새로 만든 인증서 파일을 대상 컴퓨터에 복사합니다.

대상 컴퓨터에 인증서 설치

새로 만든 인증서를 사용하려면 클라이언트 컴퓨터의 인증서 저장소로 가져옵니다.

인증서 저장소에 인증서 추가

관리 서버, 게이트웨이 또는 에이전트에 대한 인증서가 만들어진 컴퓨터에 로그인합니다.
위에서 만든 인증서를 이 컴퓨터의 액세스 가능한 위치에 복사합니다.
관리자 명령 프롬프트 또는 PowerShell 창을 열고 인증서 파일이 있는 폴더로 이동합니다.
아래 명령을 실행하여 NewCertificate.cer 파일의 올바른 이름/경로로 바꿔야 합니다.

CertReq -Accept -Machine NewCertificate.cer
이 인증서는 이제 이 컴퓨터의 로컬 컴퓨터 개인 저장소에 있어야 합니다.

또는 인증서 파일 > 로컬 컴퓨터 설치 > 를 마우스 오른쪽 단추로 클릭하고 개인 저장소의 대상을 선택하여 인증서를 설치합니다.

참고

프라이빗 키를 사용하여 인증서 저장소에 인증서를 추가하고 나중에 저장소에서 삭제하는 경우 인증서를 다시 가져올 때 더 이상 프라이빗 키가 포함되지 않습니다. 나가는 데이터를 암호화해야 하므로 Operations Manager 통신에는 프라이빗 키가 필요합니다. certutil을 사용하여 인증서를 복구할 수 있습니다. 인증서의 일련 번호를 제공해야 합니다. 예를 들어 프라이빗 키를 복원하려면 관리자 명령 프롬프트 또는 PowerShell 창에서 아래 명령을 사용합니다.

certutil -repairstore my <certificateSerialNumber>

Operations Manager로 인증서 가져오기

시스템에 인증서를 설치하는 것 외에도 사용하려는 인증서를 인식하도록 Operations Manager를 업데이트해야 합니다. 아래 작업은 Microsoft Monitoring Agent 서비스를 다시 시작합니다.

Operations Manager 설치 미디어의 SupportTools 폴더에 포함된 MOMCertImport.exe 유틸리티를 사용합니다. 파일을 서버에 복사합니다.

MOMCertImport를 사용하여 인증서를 Operations Manager로 가져오려면 다음 단계를 수행합니다.

대상 컴퓨터에 로그인합니다.
관리자 명령 프롬프트 또는 PowerShell 창을 열고 MOMCertImport.exe 유틸리티 폴더로 이동합니다.
MomCertImport.exe 유틸리티 실행
1. CMD에서: MOMCertImport.exe
2. PowerShell에서: .\MOMCertImport.exe
인증서 선택에 GUI 창이 나타납니다.
1. 인증서 목록을 볼 수 있습니다. 목록이 즉시 표시되지 않으면 추가 선택 항목을 선택합니다.
목록에서 컴퓨터에 대한 새 인증서를 선택합니다.
1. 인증서를 선택하여 확인할 수 있습니다. 선택한 후에는 인증서 속성을 볼 수 있습니다.
확인을 선택합니다.
성공하면 팝업 창에 다음 메시지가 표시됩니다.

Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
유효성을 검사하려면이벤트 ID 20053에 대한이벤트 뷰어>애플리케이션 및 서비스 로그> Operations Manager로 이동합니다. 이는 인증 인증서가 성공적으로 로드되었음을 나타냅니다.
이벤트 ID 20053 이 시스템에 없는 경우 다음 이벤트 ID 중 하나를 찾아 오류를 확인하고 그에 따라 수정합니다.
- 20049
- 20050
- 20052
- 20066
- 20069
- 20077
MOMCertImport 는 인증서에 표시된 일련 번호의 역과 일치하는 값을 포함하도록 이 레지스트리 위치를 업데이트합니다.
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
```

인증서 갱신

Operations Manager는 관리 서버 및 게이트웨이에 대해 가져온 인증서가 만료될 때 경고를 생성합니다. 경고가 수신되면 만료 날짜 전에 서버에 대한 새 인증서를 갱신하거나 만듭니다. 인증서에 엔터프라이즈 CA의 템플릿 정보가 포함된 경우에만 작동합니다.

만료된 인증서를 사용하여 서버에 로그인하고 인증서 구성 관리자(certlm.msc)를 시작합니다.
만료되는 Operations Manager 인증서를 찾습니다.
인증서를 찾을 수 없는 경우 인증서 저장소가 아닌 파일을 통해 인증서를 제거하거나 가져왔을 수 있습니다. CA에서 이 컴퓨터에 대한 새 인증서를 발급해야 할 수 있습니다. 이렇게 하려면 위의 지침을 참조하세요.
인증서를 찾으면 인증서를 갱신하는 옵션은 다음과 같습니다.
1. 새 키를 사용하여 인증서 요청
2. 새 키를 사용하여 인증서 갱신
3. 동일한 키를 사용하여 인증서 갱신
수행하려는 내용에 가장 적합한 옵션을 선택하고 마법사를 따릅니다.
완료되면 도구를 실행 MOMCertImport.exe 하여 변경된 경우 Operations Manager에 인증서의 새 일련 번호(역방향)가 있는지 확인합니다. 자세한 내용은 위의 섹션을 참조하세요.

이 방법을 통한 인증서 갱신을 사용할 수 없는 경우 이전 단계를 사용하여 새 인증서를 요청하거나 organization 인증 기관에 요청합니다. Operations Manager에서 사용할 새 인증서를 설치하고 가져옵니다(MOMCertImport).

선택 사항: 인증서 자동 등록 및 갱신 구성

엔터프라이즈 CA를 사용하여 인증서가 만료되면 인증서 자동 등록 및 갱신을 구성합니다. 그러면 신뢰할 수 있는 루트 인증서가 모든 도메인에 가입된 시스템에 배포됩니다.

인증서 자동 등록 및 갱신 구성은 Stand-Alone 또는 타사 CA에서 작동하지 않습니다. 작업 그룹 또는 별도의 도메인에 있는 시스템의 경우 인증서 갱신 및 등록은 여전히 수동 프로세스입니다.

자세한 내용은 Windows Server 가이드를 참조하세요.

참고

자동 등록 및 갱신은 새 인증서를 사용하도록 Operations Manager를 자동으로 구성하지 않습니다. 인증서가 동일한 키로 자동 갱신되는 경우 지문도 동일하게 유지되며 관리자가 아무런 조치도 필요하지 않습니다. 새 인증서가 생성되거나 지문이 변경되면 위에서 설명한 대로 MOMCertImport 도구를 사용하여 업데이트된 인증서를 Operations Manager로 가져와야 합니다.