Share via

원격 데스크톱 수신기 인증서 구성

  • 아티클

이 문서에서는 RDS(원격 데스크톱 서비스) 배포의 일부가 아닌 Windows Server 2012 기반 또는 Windows Server 2012 기반 서버에서 수신기 인증서를 구성하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 3042780

원격 데스크톱 서버 수신기 가용성 정보

수신기 구성 요소는 원격 데스크톱 서버에서 실행되며 새 RDP(원격 데스크톱 프로토콜) 클라이언트 연결을 수신 대기하고 수락해야 합니다. 이렇게 하면 사용자가 원격 데스크톱 서버에서 새 원격 세션을 설정할 수 있습니다. 원격 데스크톱 서버에 있는 각 원격 데스크톱 서비스 연결에 대해 수신기가 있습니다. 원격 데스크톱 서비스 구성 도구를 사용하여 연결을 만들어 구성할 수 있습니다.

수신기 인증서를 구성하는 방법

Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2에서 원격 데스크톱 Configuration Manager MMC 스냅인을 사용하면 RDP 수신기에 직접 액세스할 수 있습니다. 스냅인에서 인증서를 수신기에 바인딩하고 RDP 세션에 SSL 보안을 적용할 수 있습니다.

Windows Server 2012 또는 Windows Server 2012 R2에서는 이 MMC 스냅인이 존재하지 않습니다. 따라서 시스템은 RDP 수신기에 대한 직접 액세스를 제공하지 않습니다. Windows Server 2012 또는 Windows Server 2012 R2에서 수신기 인증서를 구성하려면 다음 방법을 사용합니다.

  • 방법 1: WMI(Windows Management Instrumentation) 스크립트 사용

    RDS 수신기에 대한 구성 데이터는 네임스페이스 아래의 Win32_TSGeneralSetting WMI 클래스에 Root\CimV2\TerminalServices 저장됩니다.

    RDS 수신기에 대한 인증서는 SSLCertificateSHA1Hash 속성에서 해당 인증서의 지문 값을 통해 참조됩니다. 지문 값은 각 인증서에 고유합니다.

    참고

    wmic 명령을 실행하기 전에 사용하려는 인증서를 컴퓨터 계정의 개인 인증서 저장소로 가져와야 합니다. 인증서를 가져오지 않으면 잘못된 매개 변수 오류가 발생합니다.

    WMI를 사용하여 인증서를 구성하려면 다음 단계를 수행합니다.

    1. 인증서에 대한 속성 대화 상자를 열고 세부 정보 탭을 선택합니다.

    2. 지문 필드까지 아래로 스크롤하여 공백으로 구분된 16진수 문자열을 메모장과 같은 항목으로 복사합니다.

      다음 스크린샷은 인증서 속성의 인증서 지문 예입니다.

      인증서 속성의 인증서 지문 예제입니다.

      문자열을 메모장에 복사하는 경우 다음 스크린샷과 유사합니다.

      지문 문자열을 복사하여 메모장에 붙여넣습니다.

      문자열에서 공백을 제거한 후에도 명령 프롬프트에만 표시되는 보이지 않는 ASCII 문자가 계속 포함됩니다. 다음 스크린샷은 예제입니다.

      명령 프롬프트에만 표시되는 보이지 않는 ASCII 문자입니다.

      인증서를 가져오는 명령을 실행하기 전에 이 ASCII 문자가 제거되었는지 확인합니다.

    3. 문자열에서 모든 공백을 제거합니다. 복사되는 보이지 않는 ACSII 문자도 있을 수 있습니다. 메모장에 표시되지 않습니다. 유효성을 검사하는 유일한 방법은 명령 프롬프트 창에 직접 복사하는 것입니다.

    4. 명령 프롬프트에서 다음 wmic 명령을 3단계에서 가져온 지문 값과 함께 실행합니다.

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      다음 스크린샷은 성공적인 예제입니다.

      3단계에서 가져온 지문 값과 함께 wmic 명령을 실행하는 성공적인 예제입니다.

  • 방법 2: 레지스트리 편집기 사용

    중요

    주의를 기울여 이 절의 단계를 수행하십시오. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 수정하기 전에 문제가 발생할 경우 Windows에서 레지스트리를 백업하고 복원하는 방법입니다 .

    레지스트리 편집기를 사용하여 인증서를 구성하려면 다음 단계를 수행합니다.

    1. 컴퓨터 계정을 사용하여 개인 인증서 저장소에 서버 인증 인증서를 설치합니다.

    2. 기본 자체 서명된 인증서를 사용하는 대신 TLS를 지원하도록 이 사용자 지정 인증서를 구성할 수 있도록 인증서의 SHA1 해시가 포함된 다음 레지스트리 값을 만듭니다.

      • 레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • 값 이름: SSLCertificateSHA1Hash
      • 값 형식: REG_BINARY
      • 값 데이터: 인증서 지문

      값은 인증서의 지문이어야 하며 빈 공간 없이 쉼표(,)로 구분해야 합니다. 예를 들어 해당 레지스트리 키를 내보내는 경우 SSLCertificateSHA1Hash 값은 다음과 같습니다.

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. 원격 데스크톱 호스트 서비스는 NETWORK SERVICE 계정으로 실행됩니다. 따라서 RDS에서 네트워크 서비스를 읽기 권한과 함께 포함하기 위해 사용하는 키 파일의 SACL(시스템 액세스 제어 목록)을 설정해야 합니다.

      권한을 변경하려면 로컬 컴퓨터의 인증서 스냅인에서 다음 단계를 수행합니다.

      1. 시작, 실행을 차례로 클릭하고 mmc를 입력한 다음 확인을 클릭합니다.
      2. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
      3. 스냅인 추가 또는 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 클릭한 다음 추가를 클릭합니다.
      4. 인증서 스냅인 대화 상자에서 컴퓨터 계정을 클릭한 다음 다음을 클릭합니다.
      5. 컴퓨터 선택 대화 상자에서 로컬 컴퓨터: (이 콘솔이 실행 중인 컴퓨터)를 클릭한 다음 마침을 클릭합니다.
      6. 스냅인 추가 또는 제거 대화 상자에서 확인을 클릭합니다.
      7. 인증서 스냅인의 콘솔 트리에서 인증서(로컬 컴퓨터)를 확장하고 개인을 확장한 다음 사용할 SSL 인증서를 선택합니다.
      8. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 프라이빗 키 관리를 선택합니다.
      9. 사용 권한 대화 상자에서 추가를 클릭하고, NETWORK SERVICE를 입력하고, 확인을 클릭하고, 검사 허용 상자에서 읽기를 선택한 다음, 확인을 클릭합니다.