Active Directory 인증서 서비스란?
AD CS(Active Directory Certificate Services)는 보안 통신 및 인증 프로토콜에 사용되는 PKI(공개 키 인프라) 인증서를 발급하고 관리하기 위한 Windows Server 역할입니다.
인증서 발급 및 관리
디지털 인증서는 전자 문서 및 메시지를 암호화하고 디지털 서명하는 데 사용할 수 있을 뿐만 아니라 네트워크의 컴퓨터, 사용자 또는 디바이스 계정 인증에도 사용할 수 있습니다. 예를 들어 디지털 인증서는 다음을 제공하는 데 사용됩니다.
- 암호화를 통해 기밀을 유지 합니다.
- 디지털 서명 통한 무결성입니다.
- 컴퓨터 네트워크의 컴퓨터, 사용자 또는 디바이스 계정과 인증서 키를 연결하여 인증합니다.
주요 기능
AD CS는 다음과 같은 중요한 기능을 제공합니다.
인증 기관: 루트 및 하위 CA(인증 기관)는 사용자, 컴퓨터 및 서비스에 인증서를 발급하고 인증서 유효성을 관리하는 데 사용됩니다.
웹 등록: 웹 등록을 통해 사용자는 인증서를 요청하고 CRL(인증서 해지 목록)을 검색하기 위해 웹 브라우저를 사용하여 CA에 연결할 수 있습니다.
온라인 응답자: 온라인 응답자 서비스는 특정 인증서에 대한 해지 상태 요청을 디코딩하고, 이러한 인증서의 상태 평가하고, 요청된 인증서 상태 정보가 포함된 서명된 응답을 다시 보냅니다.
네트워크 디바이스 등록 서비스: 네트워크 디바이스 등록 서비스를 사용하면 라우터 및 계정이 없는 다른 네트워크 디바이스를 기본 인증서를 가져올 수 있습니다.
TPM 키 증명: 인증 기관에서 프라이빗 키가 하드웨어 기반 TPM에 의해 보호되고 TPM이 CA가 신뢰하는 키인지 확인할 수 있습니다. TPM 키 증명은 인증서를 권한이 없는 디바이스로 내보내는 것을 방지하고 사용자 ID를 디바이스에 바인딩할 수 있습니다.
인증서 등록 정책 웹 서비스: 인증서 등록 정책 웹 서비스를 사용하면 사용자와 컴퓨터가 인증서 등록 정책 정보를 가져올 수 있습니다.
인증서 등록 웹 서비스: 인증서 등록 웹 서비스를 사용하면 사용자와 컴퓨터가 웹 서비스를 통해 인증서 등록을 수행할 수 있습니다. 인증서 등록 정책 웹 서비스와 함께 클라이언트 컴퓨터가 do기본 멤버가 아니거나 할 일기본 멤버가 할 일기본 연결되지 않은 경우 정책 기반 인증서 등록을 사용할 수 있습니다.
이점
AD CS를 사용하여 개인, 컴퓨터 또는 서비스의 ID를 해당 프라이빗 키에 바인딩하여 보안을 강화할 수 있습니다. 이는 인증서의 배포와 사용을 관리할 수 있는 비용 효율적이고, 효과적이며, 안전한 방법이 됩니다. AD CS에는 ID 및 프라이빗 키 바인딩 외에도 인증서 등록 및 해지를 관리할 수 있는 기능이 포함되어 있습니다.
Active Directory의 기존 엔드포인트 ID 정보를 사용하여 인증서를 등록할 수 있습니다. 즉, 정보가 인증서에 자동으로 삽입될 수 있습니다. AD CS를 사용하여 어떤 유형의 인증서가 허용되는 사용자 및 컴퓨터를 지정하도록 Active Directory 그룹 정책을 구성할 수도 있습니다. 그룹 정책 구성을 사용하면 역할 기반 또는 특성 기반 액세스 제어가 가능합니다.
AD CS에서 지원하는 애플리케이션에는 S/MIME(보안/다목적 인터넷 메일 확장), 보안 무선 네트워크, VPN(가상 사설망), IPsec(인터넷 프로토콜 보안), EFS(파일 시스템 암호화), 스마트 카드 로그인, SSL/TLS(Secure Socket Layer/Transport Layer Security) 및 디지털 서명이 포함됩니다.