원격 액세스용 PKI 배포
Contoso는 디지털 인증서를 사용하여 전자 트랜잭션에 관련된 각 당사자의 ID를 확인하고 인증할 수 있습니다. 또한 디지털 인증서는 컴퓨터와 애플리케이션 서버에서 호스트되는 해당 애플리케이션 간에 신뢰를 설정하는 데 도움이 됩니다. 원격 액세스는 인증서를 사용하여 서버의 ID를 확인하고 암호화를 제공합니다. Contoso는 인증서를 사용하여 원격 액세스를 위해 로그인하는 사용자 또는 컴퓨터의 ID를 확인할 수도 있습니다.
인증서를 가져오는 방법
대부분의 경우 CA(인증 기관)에서 인증서를 얻습니다. CA에 대한 가장 중요한 고려 사항은 신뢰입니다. 신뢰할 수 있는 CA에서 인증서를 발급하는 경우 해당 인증서는 신뢰할 수 있으며 인증에 사용할 수 있습니다. CA를 신뢰할 수 없는 경우 해당 CA에서 발급한 인증서를 인증에 사용할 수 없습니다.
인증서를 얻으려면 다음을 수행할 수 있습니다.
- Windows Server를 사용하여 사용자 고유의 프라이빗 CA를 만듭니다. 프라이빗 CA에서 발급한 인증서는 도메인에 가입된 Windows 클라이언트 및 서버에서 자동으로 신뢰됩니다. 그러나 내부 CA에서 발급한 인증서는 도메인에 가입되지 않은 디바이스에서 자동으로 신뢰할 수 없습니다.
- 공용 CA에서 인증서를 구입합니다. 공용 CA에서 발급한 인증서는 도메인 가입 여부에 관계없이 거의 모든 디바이스에서 자동으로 신뢰할 수 있습니다. Windows에는 공용 CA에서 사용자 또는 컴퓨터에 인증서를 자동으로 배포하는 도구가 포함되어 있지 않습니다.
- 일부 애플리케이션 내에서 자체 서명된 인증서를 생성합니다. 기본적으로 이러한 인증서는 발급 서버에서만 신뢰할 수 있으며 조직의 다른 컴퓨터에서는 신뢰할 수 없습니다.
- PowerShell을 사용하여 자체 서명된 인증서를 생성합니다. cmdlet을
New-SelfSignedCertificate사용하여 자체 서명된 새 인증서를 생성할 수 있습니다.
비고
시작 마법사로 구성된 DirectAccess를 사용하는 중소 규모의 조직에서 자체 서명된 인증서를 사용하여 쉽게 설정 및 구성할 수 있습니다.
PKI를 계획할 때 고려 사항
원격 액세스를 위해 내부 PKI를 구현해야 하는지 여부를 확인하려면 인증서를 사용하는 방법을 계획해야 합니다. 일부 서버에서만 인증서를 사용하는 경우 공용 CA를 사용하는 비용이 낮습니다. 도메인에 가입되지 않은 디바이스가 서버에 액세스할 것으로 예상하는 경우에도 공용 CA의 인증서가 유용합니다.
프라이빗 CA는 인증을 위해 클라이언트 디바이스 및 개별 사용자에게 인증서를 발급할 때 주로 원격 액세스에 유용합니다. 예를 들어 사용자 이름 및 암호를 초과하는 두 번째 인증 수준으로 VPN 액세스를 허용하려면 유효한 컴퓨터 인증서를 요구하는 것이 일반적입니다. 여러 컴퓨터에 인증서를 발급하는 경우 프라이빗 CA에서 제공하는 자동 등록이 중요합니다. 또한 프라이빗 CA에서 발급한 인증서에 대해 비용을 지불할 필요가 없으므로 상당한 비용 절감이 가능합니다.
다음 표에는 프라이빗 및 퍼블릭 CA에서 발급한 인증서의 장점과 단점이 요약되어 있습니다.
| CA 유형 | 장점 | 단점 |
|---|---|---|
| 프라이빗 CA | 프라이빗 CA는 인증서 관리에 대한 더 큰 제어를 제공하며 공용 CA에 비해 비용이 더 낮습니다. 인증서당 비용은 없습니다. 사용자 지정된 템플릿 및 자동 등록을 사용할 수도 있습니다. | 기본적으로 프라이빗 CA의 인증서는 외부 클라이언트(웹 브라우저 및 운영 체제)에서 신뢰할 수 없으며 더 많은 관리가 필요합니다. |
| 공용 CA | 공용 CA에서 발급한 인증서는 많은 외부 클라이언트(웹 브라우저 및 운영 체제)에서 신뢰할 수 있으며 최소한의 관리가 필요합니다. | 프라이빗 CA에 비해 비용이 더 높습니다. 비용은 인증서당 기준입니다. 인증서 조달도 느립니다. |