인증서 신뢰 관리
인증서는 인증 및 기타 보안 관련 작업을 보호하고 유효성을 검사하는 데 중요한 역할을 합니다. 이러한 기능을 사용하도록 설정하는 핵심 원칙 중 하나가 인증서 신뢰입니다. 인증서를 효과적으로 사용하려면 해당 인증서를 사용하는 모든 사용자, 디바이스 또는 애플리케이션에서 해당 인증서를 발급한 CA를 신뢰해야 합니다.
인증서 신뢰란?
인증서를 사용하는 경우 신뢰성과 유효성을 평가하는 데 필요할 수 있는 사용자 또는 대상을 고려하는 것이 중요합니다. 사용할 수 있는 세 가지 유형의 인증서는 다음과 같습니다.
- AD CS 역할을 호스트하는 서버와 같은 조직 CA의 내부 인증서.
- 상용 사이버 보안 소프트웨어나 ID 서비스를 제공하는 조직과 같은 공용 CA의 외부 인증서.
- 자체 서명된 인증서.
엔터프라이즈 루트 CA를 배포하고 사용하여 도메인에 조인된 사용자의 디바이스에 인증서를 등록하는 경우 이러한 디바이스는 등록된 인증서를 신뢰할 수 있는 것으로 승인합니다. 그러나 모든 작업 그룹 디바이스는 동일한 인증서를 신뢰할 수 없는 것으로 고려합니다. 이 문제를 해결하려면 다음을 수행하세요.
- 작업 그룹 디바이스에 대한 외부 CA에서 퍼블릭 인증서를 가져옵니다. 이 작업은 추가로 퍼블릭 인증서 비용이 듭니다.
- 엔터프라이즈 루트 CA를 신뢰하도록 작업 그룹 디바이스를 구성합니다. 이 작업은 추가 구성이 필요합니다.
Windows에서 인증서 및 인증서 신뢰 관리
Windows Admin Center, 인증서 Microsoft Management Console 스냅인, Windows PowerShell, certutil 명령줄 도구를 비롯한 다양한 도구를 사용하여 Windows 운영 체제 내에 저장된 인증서를 관리할 수 있습니다. 각 항목을 통해 현재 사용자, 로컬 컴퓨터, 해당 서비스의 인증서 저장소에 액세스할 수 있습니다. 각 저장소는 다음과 같은 여러 폴더로 구성됩니다.
스토어 | 설명 |
---|---|
Personal | 선택한 저장소에 따라 로컬 사용자, 로컬 컴퓨터 또는 해당 서비스에 발급된 인증서를 포함합니다. |
신뢰할 수 있는 루트 인증 기관 | 신뢰할 수 있는 루트 CA의 인증서를 포함합니다. |
엔터프라이즈 신뢰 | 다른 조직에서 자체 서명된 인증서의 신뢰를 구현하는 인증서 신뢰 목록을 포함합니다. |
중간 인증 기관 | 인증 계층 구조의 하위 CA에 발급된 인증서를 포함합니다. |
작업 그룹 디바이스가 엔터프라이즈 루트 CA를 신뢰하는지 확인하려면 도메인에 조인된 컴퓨터의 신뢰할 수 있는 루트 인증 기관 폴더에서 해당 인증서를 내보낸 후 이러한 디바이스의 동일한 폴더로 가져옵니다.
참고
또는 해당 역할을 호스트하는 서버의 CertEnroll 공유에서 엔터프라이즈 루트 CA의 인증서를 가져올 수 있습니다.
테스트용으로 자체 서명된 인증서 생성
자체 서명된 인증서는 프로덕션 시나리오에 적합하지 않지만 테스트에는 유용할 수 있습니다. Windows PowerShell New-SelfSignedCertificate
cmdlet을 사용하여 자체 서명된 인증서를 만들 수 있습니다. CloneCert
매개 변수를 포함하고 기존 인증서를 제공하는 경우 새 인증서의 설정은 퍼블릭 키를 제외하고 일치합니다. 대신 cmdlet은 알고리즘 및 길이가 동일한 새 키를 생성합니다.
다음 예에서는 주체 대체 이름이 www.fabrikam.com, www.contoso.com으로 설정되고 주체 및 발급자 이름이 www.fabrikam.com으로 설정된 로컬 머신 개인 저장소에 자체 서명된 SSL 서버 인증서를 생성합니다.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"