AD CS 설계 및 구현
최적의 방식으로 내부 CA를 설계하는 것이 중요합니다. 설계는 PKI 환경의 보안 및 운영 측면에 상당한 영향을 미칩니다.
AD CS 기반 계층 구조 설계
AD CS를 구현하기 전에 CA 계층 구조를 먼저 설계해야 합니다. 설계 과정의 일부로, 필요한 CA 계층 수와 각 계층에서 CA의 용도를 결정해야 합니다. 복잡하거나 매우 안전하거나 분산된 환경에 있지 않은 경우 세 수준 이상의 깊은 CA 계층 구조를 구축하지 않는 것이 좋습니다. 가장 일반적으로 CA 계층 구조에는 최상위 수준의 루트 CA와 두 번째 수준의 하위 발급 CA 등 두 가지 수준이 있습니다. 일반적으로 루트 CA를 사용하여 CA 계층 구조를 생성합니다. 이 경우 루트 CA는 하위 CA를 사용하여 인증서를 발급하고 관리하는 동안 오프라인 상태로 유지됩니다.
참고
다단계 CA 계층 구조는 필수가 아닙니다. 더 작고 복잡한 환경에서는 루트 CA만 구현할 수 있습니다. 이러한 경우 루트 CA도 인증서 발급 및 관리 기능을 제공합니다.
더 복잡한 CA 설계는 다음과 같습니다.
- 정책 CA를 사용하는 CA 계층 구조. 정책 CA는 루트 CA 바로 아래와 CA 계층 구조에 있는 다른 하위 CA 바로 위에 있는 하위 CA입니다. 정책 CA를 사용하여 CA 인증서를 해당 하위 CA에 발급합니다. CA 인증서는 PKI를 보호하기 위해 조직에서 구현하는 정책 및 절차, 인증서 소유자의 신분을 확인하는 프로세스 및 인증서를 관리하는 절차를 적용하는 프로세스를 반영합니다. 정책 CA는 다른 CA에만 인증서를 발급합니다. 이러한 인증서를 받는 CA는 정책 CA가 정의한 정책을 따르고 적용해야 합니다. 조직의 다른 부서, 섹터 또는 위치에 다른 발급 정책 및 절차가 필요한 경우가 아니면 반드시 정책 CA를 사용하지 않아도 됩니다. 예를 들어 조직에서 내부적으로 직원에게 발급하는 모든 인증서에 대해 하나의 정책 CA를 구현하고 계약자에게 발급하는 모든 인증서에 대해 다른 정책 CA를 구현할 수 있습니다.
- 상호 인증 신뢰가 있는 CA 계층 구조. 이 시나리오에서는 한 계층 구조에 있는 CA가 다른 계층 구조에 있는 CA에 상호 인증된 CA 인증서를 발급하는 경우 두 개의 독립된 CA 계층 구조가 상호 운용됩니다. 이 작업을 수행하는 경우 다른 CA 계층 구조 간에 상호 신뢰를 설정합니다.
독립 실행형 CA와 엔터프라이즈 CA
AD CS를 사용하는 경우 두 가지 유형의 CA(독립 실행형 CA와 엔터프라이즈 CA)를 배포할 수 있습니다. 이러한 유형의 CA는 계층 구조에 대한 것이 아니라 AD DS와의 통합 및 기능에 대한 것입니다. 독립 실행형 CA는 AD DS에 종속되지 않습니다. 엔터프라이즈 CA는 자동 등록과 같은 추가 기능을 제공하기 위해 AD DS가 필요합니다. 자동 등록을 사용하면 그룹 정책를 통해 자동 인증서 등록을 사용하도록 설정한 후 도메인 사용자 및 도메인 가입 디바이스에서 인증서를 자동으로 등록할 수 있습니다.
다음 표에서는 독립 실행형 CA와 엔터프라이즈 CA의 가장 중요한 차이점을 자세히 설명합니다.
| 특성 | 독립 CA | 엔터프라이즈 CA |
|---|---|---|
| 일반적인 용도 | 일반적으로 오프라인 CA에 독립 실행형 CA를 사용합니다. | 일반적으로 엔터프라이즈 CA를 사용하여 사용자, 컴퓨터, 서비스에 인증서를 발급합니다. 엔터프라이즈 CA를 오프라인 CA로 사용할 수 없습니다. |
| AD DS 종속성 | 독립 실행형 CA는 AD DS에 종속되지 않습니다. | 엔터프라이즈 CA는 AD DS를 구성 및 등록 데이터베이스로 사용합니다. 또한 엔터프라이즈 CA는 AD DS를 사용하여 인증서와 해당 메타데이터를 게시합니다. |
| 인증서 요청 방법 | 사용자는 수동 절차 또는 웹 등록을 사용하는 방식으로만 독립 실행형 CA에서 인증서를 요청할 수 있습니다. | 사용자는 수동 등록, 웹 등록, 자동 등록, 대신 등록 및 웹 서비스를 사용하여 엔터프라이즈 CA에서 인증서를 요청할 수 있습니다. |
| 인증서 발급 방법 | CA 관리자가 모든 요청을 수동으로 승인해야 합니다. | CA는 CA 관리자가 정의한 사용자 지정 구성에 따라 인증서를 발급하거나 인증서 발급을 자동으로 거부할 수 있습니다. |
엔터프라이즈 루트 CA는 AD DS 환경에 단일 CA를 배포할 때 가장 일반적으로 선택하는 항목입니다. 하위 CA를 사용하는 2계층 계층 구조를 AD DS 환경에 배포하는 경우 독립 실행형 루트 CA를 루트 CA로 사용하는 것이 좋습니다. 이렇게 하면 도메인 사용자 및 도메인에 가입된 디바이스의 인증서를 관리하는 프로세스에 영향을 주지 않고 오프라인으로 전환할 수 있습니다.
또한 운영 체제 설치 유형을 고려합니다. 데스크톱 환경 및 Server Core 설치 시나리오는 모두 AD CS를 지원합니다. Server Core는 잠재적 악성 해커 노출과 운영 체제 유지 관리 오버헤드를 최소화하므로 엔터프라이즈 환경의 AD CS에 최적의 선택입니다.
또한 해당 컴퓨터에 모든 유형의 CA를 배포한 후에는 컴퓨터 이름, 도메인 이름 또는 컴퓨터 도메인 구성원 자격을 변경할 수 없다는 점을 유념해야 합니다. 따라서 배포 전에 이러한 설정을 구성하는 것이 중요합니다.
또한 오프라인 상태의 독립 실행형 루트 CA 배포와 관련된 몇 가지 고려 사항이 있습니다.
- 루트 CA에서 하위 인증서를 발급하기 전에 모든 클라이언트에서 사용할 수 있는 하나 이상의 인증서 해지 목록 배포 지점(CDP), AIA 위치를 제공해야 합니다. 기본적으로 독립 실행형 루트 CA에는 CDP 및 AIA가 자체에 있기 때문입니다. 따라서 오프라인 상태로 루트 CA를 사용하는 경우 CDP 및 AIA 위치에 액세스할 수 없기 때문에 해지 확인이 실패합니다. 이러한 위치를 정의할 때 해당 위치에 CRL 및 AIA 정보를 수동으로 복사해야 합니다.
- 루트 CA가 게시하는 CRL의 유효 기간을 장기간(예: 1년)으로 설정합니다. 즉, 1년에 한 번씩 새 CRL을 게시하도록 루트 CA를 켠 다음 클라이언트에서 사용할 수 있는 위치에 해당 루트 CA를 복사해야 합니다. 이렇게 하지 않으면 루트 CA의 CRL이 만료된 후에 모든 인증서에 대한 해지 확인도 실패합니다.
- 그룹 정책를 사용하여 루트 CA 인증서를 모든 서버 및 클라이언트 컴퓨터의 신뢰할 수 있는 루트 CA 저장소에 게시합니다. 독립 실행형 CA는 엔터프라이즈 CA와 달리 이 작업을 자동으로 수행할 수 없기 때문에 수동으로 수행해야 합니다. certutil 명령줄 도구를 사용하여 AD DS에 루트 CA 인증서를 게시할 수도 있습니다.
데모
다음 비디오에서는 다음과 같은 방법을 설명합니다.
- 엔터프라이즈 루트 CA에 대한 필수 구성 요소를 구성합니다.
- 엔터프라이즈 루트 CA를 배포합니다.
프로세스의 주요 단계는 다음과 같습니다.
- AD DS 환경을 생성합니다. 단일 도메인 AD DS 포리스트를 생성합니다.
- 엔터프라이즈 루트 CA에 대한 필수 구성 요소를 구성합니다. 필요한 서버 역할 및 서버 역할 서비스를 설치합니다.
- 엔터프라이즈 루트 CA를 배포합니다. 엔터프라이즈 루트 CA 설정을 구성합니다.