인증서 등록 관리

  • 9분

CA의 목적은 사용자 및 디바이스에서 인증서를 등록하고 사용할 수 있도록 하는 것입니다. 그러나 CA 구현과 마찬가지로, CA에서 발급할 수 있는 인증서의 유형을 결정하는 신중한 계획과 준비가 필요합니다.

인증서란?

인증서는 해당 소유자에 대한 몇 가지 정보가 포함된 작은 파일입니다. 소유자의 메일 주소, 소유자 이름, 인증서 사용 유형, 유효 기간, AIA, CDP 위치 URL이 포함될 수 있습니다.

인증서에는 프라이빗 키와 해당 공개 키로 구성된 공개 키와 해당 메타데이터도 포함됩니다. ID, 디지털 서명 및 암호화의 유효성을 검사하는 프로세스에서 이러한 키를 사용할 수 있습니다. 각 인증서에서 생성된 키 쌍은 다음과 같은 조건이 있습니다.

  • 콘텐츠가 퍼블릭 키로 암호화된 경우 프라이빗 키로만 암호 해독할 수 있습니다.
  • 콘텐츠가 프라이빗 키로 암호화된 경우 퍼블릭 키로만 암호 해독할 수 있습니다.
  • 단일 키 쌍의 키 간 관계에는 다른 키가 포함되어 있지 않습니다.
  • 프라이빗 키는 적절한 시간 내에 퍼블릭 키에서 파생될 수 없으며, 그 반대의 경우도 마찬가지입니다.

인증서 등록 프로세스 중에 클라이언트가 퍼블릭/프라이빗 키 쌍을 생성합니다. 그런 다음 클라이언트가 클라이언트 퍼블릭 키를 CA에 보내면 CA가 클라이언트 정보를 확인하고 자체 프라이빗 키로 서명한 후 클라이언트 퍼블릭 키가 포함된 인증서를 클라이언트에게 다시 보냅니다.

참고

인증서를 운전면허증과 동일하게 생각할 수 있습니다. 대부분의 기업은 운전면허 발급 기관(정부 기관)을 신뢰할 수 있다고 간주하므로 운전면허증을 신분증으로 허용합니다. 기업은 운전면허증 취득 과정을 알고 있으므로 발급 기관이 면허증을 발급하기 전에 개인의 신원을 확인했다고 신뢰합니다. 따라서 운전면허증을 유효한 신분증으로 사용할 수 있습니다. 인증서 신뢰는 비슷한 방법으로 설정됩니다.

인증서 발급에 중점을 둔 CA 수명 주기의 여러 단계.

인증서 템플릿이란?

인증서 템플릿은 사용자 및 디바이스가 해당 템플릿을 기반으로 하여 엔터프라이즈 CA에서 발급한 인증서를 요청하고 사용하는 방법을 정의합니다. 예를 들어 파일 암호화 또는 메일 서명 기능을 제공하는 템플릿을 만들 수 있습니다. CA는 AD DS를 사용하여 사용자가 구성하는 템플릿을 저장합니다.

중요

인증서 템플릿은 엔터프라이즈 CA를 사용하는 경우에만 사용할 수 있습니다. 즉, 독립 실행형 CA를 사용하는 경우 모든 인증서 요청을 수동으로 만들고 인증서에 포함할 모든 필수 정보를 포함해야 합니다.

CA는 사용자와 컴퓨터에 템플릿을 제공합니다. 인증서 템플릿에 해당 템플릿을 관리할 수 있는 사용자, 등록 또는 자동 등록을 수행할 수 있는 사용자뿐만 아니라 유효성 및 갱신 기간을 정의할 권한을 할당할 수 있습니다. 미리 정의된 인증서 템플릿을 복제하여 추가 수정 사항을 적용할 수 있습니다. 사용자 및 디바이스에서 템플릿을 사용할 수 있도록 하려면 해당 사용을 명시적으로 허용해야 합니다.

템플릿 버전

Windows Server AD CS의 CA는 다음과 같은 기능상의 차이점이 있는 네 가지 버전의 인증서 템플릿을 지원합니다.

  • 버전 1 템플릿. 인증서 관련 권한만 수정할 수 있습니다. CA를 설치하면 버전 1 인증서 템플릿이 기본적으로 생성됩니다.
  • 버전 2 템플릿. 유효 기간 및 갱신 기간과 같은 추가 설정을 사용자 지정할 수 있습니다. 자동 등록을 지원하는 최소 버전이기도 합니다. AD CS의 기본 설치 옵션에서는 몇 가지 미리 구성된 버전 2 템플릿을 제공합니다. 버전 2 템플릿을 만들거나 버전 1 인증서 템플릿을 복제하여 새 버전 2 템플릿을 만들 수 있습니다.
  • 버전 3 템플릿. 버전 3 인증서 템플릿은 CNG(Cryptography Next Generation)를 지원합니다. CNG는 고급 암호화 알고리즘을 지원합니다. 기본 버전 1과 버전 2 템플릿을 복제하여 버전 3으로 업그레이드할 수 있습니다. 버전 3 인증서 템플릿을 사용하는 경우 키 교환 및 키 보관 시나리오에 인증서 요청, 발급된 인증서, 프라이빗 키 보호를 위해 CNG 암호화 및 해시 알고리즘을 사용할 수 있습니다.
  • 버전 4 템플릿. 버전 4 인증서 템플릿은 CSP(암호화 서비스 공급자)와 키 저장소 공급자를 모두 지원합니다. 동일한 키를 사용하여 갱신을 요구하도록 구성할 수도 있습니다.

데모

다음 비디오에서는 다음과 같은 방법을 설명합니다.

  • 웹 서버 템플릿을 기반으로 새 템플릿을 생성합니다.
  • 템플릿을 실행할 수 있도록 구성합니다.

프로세스의 주요 단계는 다음과 같습니다.

  1. AD DS 환경을 생성합니다. 단일 도메인 AD DS 포리스트를 생성합니다.
  2. 엔터프라이즈 루트 CA를 배포합니다.
  3. 사용자 지정 인증서 템플릿을 생성합니다. 인증서 템플릿 콘솔을 사용하여 웹 서버 템플릿을 복제합니다.
  4. 템플릿을 실행할 수 있도록 구성합니다. 인증 기관 콘솔을 사용하여 템플릿을 사용할 수 있도록 생성합니다.

지식 점검

1.

이미 구성된 템플릿을 사용하여 인증서 등록을 허용하는 데 사용할 수 있는 도구는 무엇입니까?