AD CS(Active Directory Certificate Services)의 CA(인증 기관) 웹 등록은 인증서를 요청 및 갱신하고 CRL(인증서 해지 목록)을 검색하고 스마트 카드 인증서를 등록하는 브라우저 기반 인터페이스를 제공하여 인증서 관리를 간소화합니다. 이 역할 서비스는 특정 클라이언트 구성 없이도 인증서 등록을 위한 유연하고 대화형 메서드가 필요한 조직에 유용합니다. 이 문서에서는 CA 웹 등록의 기능, 기능 및 구성 옵션 및 인증서 등록 웹 서비스 역할 서비스와 비교하는 방법에 대해 알아봅니다.
기능 및 일반적인 작업
CA 웹 등록을 사용하면 사용자가 웹 브라우저 및 IIS(인터넷 정보 서비스) 웹 사이트를 통해 대화형으로 CA에 요청을 제출할 PKCS #10 수 있습니다. CA 웹 등록은 관련 인증서 등록 웹 서비스 역할 서비스와 다릅니다. CA 웹 등록 및 인증서 등록 웹 서비스는 모두 HTTPS를 사용하지만 기본적으로 다른 기술입니다.
CA 웹 등록은 독립 CA와 상호 작용할 때 유용합니다. 독립 CA와 상호 작용하는 데에는 인증서 MMC(Microsoft Management Console) 스냅인을 사용할 수 없기 때문입니다. 엔터프라이즈 CA는 인증서 스냅인 또는 CA 웹 등록 역할 서비스 페이지를 통해 인증서 요청을 받을 수 있습니다.
CA 웹 등록 역할 서비스에는 웹 기반 인증서 등록 작업을 위한 업데이트된 샘플 웹 페이지가 포함되어 있습니다. 이 웹페이지는 CertEnroll 구성 요소와 함께 작동합니다. 자세한 CertEnroll내용은 인증서 등록 API를 참조하세요.
다음 표에는 CA 웹 등록과 인증서 등록 웹 서비스 간의 주요 차이점이 요약되어 있습니다.
| 특징/역량 | CA 웹 등록 | 인증서 등록 웹 서비스 |
|---|---|---|
| Request Method | 웹 사이트를 통해 업로드된 요청자가 수동으로 만든 대화형 인증서 요청입니다. | 대규모 배포에 적합한 자동화된 등록 및 갱신 |
| Certificate Provisioning | 개별 인증서에 대한 브라우저 기반 대화형 방법입니다. | 추가 인증서에 대한 자동화된 프로비저닝 |
| Client Requirements | 특정 클라이언트 구성 요소 또는 구성이 필요하지 않습니다. | Windows 및 Windows Server를 사용하는 기본 제공 클라이언트입니다. |
| Forest Consolidation | Not supported. | 지원; 를 사용하면 포리스트별 CA 배포를 제거하여 여러 포리스트에서 PKI를 통합할 수 있습니다. |
| 경계 네트워크 등록 | Not supported. | 지원; 는 회사 네트워크 외부에서 인증서 등록을 허용합니다. |
포리스트 통합 및 경계 네트워크 사용에 대한 자세한 내용은 Active Directory 인증서 서비스의 인증서 등록 웹 서비스를 참조하세요.
Deployment topology
CA의 웹 트래픽과 구분하기 위해 CA가 아닌 서버에 CA 웹 등록을 설치할 수 있습니다. CA 웹 등록을 설치하면 컴퓨터가 등록 기관으로 구성됩니다. CA 웹 등록 페이지에서 사용할 CA를 선택해야 합니다. The CA that CA Web Enrollment uses is the Target CA in the user interface. CA 이름 또는 CA와 연결된 컴퓨터 이름을 사용하여 사용하려는 대상 CA를 선택할 수 있습니다.
대상 CA가 아닌 컴퓨터에 CA 웹 등록 페이지를 설치한 경우 CA 웹 등록 페이지를 설치한 컴퓨터 계정을 위임에 대해 신뢰할 수 있어야 합니다. 자세한 내용은 다른 컴퓨터에 웹 등록 지원 설치(선택 사항) 및 Windows Server 2008 CA 웹 등록 프록시를 구성하는 방법을 참조하세요.
Note
CA 웹 등록 페이지가 마이그레이션된 CA에 설치되지 않으면 레지스트리의 설정 상태가 제대로 구성되지 않을 수 있습니다. 자세한 내용은 인증 기관 웹 등록 구성 실패 0x80070057(WIN32: 87)을 참조하세요.
CA 웹 등록 역할 서비스 페이지에서는 SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안)를 사용하여 보안을 설정해야 합니다. 그렇지 않으면 다음 오류 메시지가 표시됩니다. 인증서 등록을 완료하려면 HTTPS 인증을 사용하도록 CA 웹 사이트를 구성해야 합니다. HTTPS 인증을 구성하는 방법에 대한 자세한 내용은 AD CS(Active Directory Certificate Services): 오류: "인증서 등록을 완료하려면 HTTPS 인증을 사용하도록 CA 웹 사이트를 구성해야 합니다.
CA 웹 등록 페이지 사용
액세스 권한이 부여된 경우 CA 웹 등록 페이지에서 다음 작업을 수행할 수 있습니다.
기본 인증서 요청
고급 옵션으로 인증서 요청 고급 옵션을 사용하여 요청하면 인증서 요청을 더욱 강력하게 제어할 수 있습니다. 고급 인증서 요청에서 사용할 수 있는 옵션은 다음과 같습니다.
CSP(암호화 서비스 공급자) 옵션에서 암호화 서비스 공급자의 이름, 키 크기(1024, 2048 등), 해시 알고리즘(예: SHA/RSA, SHA/DSA, MD2 또는 MD5) 및 키 사양(교환 또는 서명)을 구성할 수 있습니다.
키 생성 옵션을 사용하면 새 키 집합을 만들거나 기존 키 집합을 사용하고, 키를 내보내기 가능한 것으로 표시하고, 강력한 키 보호를 사용하도록 설정하고, 로컬 컴퓨터 저장소를 사용하여 키를 생성할 수 있습니다.
Additional options. 요청을 PKCS #10 파일에 저장하거나 인증서에 특정 특성 추가
보류 중인 인증서 요청 확인. 독립 실행형 인증 기관에 인증서 요청을 제출하는 경우 보류 중인 요청의 상태를 확인하여 인증 기관에서 인증서를 발급했는지 확인해야 합니다. 인증 기관에서 인증서를 발급한 경우 웹 페이지에서 설치할 수 있게 됩니다.
인증 기관의 인증서를 검색하여 신뢰할 수 있는 루트 저장소에 두거나, 인증서 저장소에 전체 인증서 체인 설치
현재 기준 및 델타 CRL 검색
PKCS #10 파일 또는 PKCS #7 파일을 사용하여 인증서 요청 제출 일반적으로 PKCS #10 파일은 새 인증서에 대한 요청을 제출하는 데 사용되고, PKCS #7 파일은 기존 인증서의 갱신 요청을 제출하는 데 사용됩니다. 파일로 요청을 제출하는 것은 인증서 요청자가 인증 기관에 온라인으로 요청을 제출할 수 없는 경우에 유용합니다.
웹 페이지는 https://<servername>/certsrv에 있습니다. 여기서 <servername>은 CA 웹 등록 페이지를 호스트하는 서버의 이름입니다. URL의 certsrv 부분은 항상 소문자로 되어야 합니다. 그렇지 않으면 사용자가 보류 중인 인증서를 확인하고 검색하는 데 어려움을 겪을 수 있습니다.
Next steps
웹 등록 및 일반적인 문제 해결에 대한 자세한 내용은 다음 문서를 참조하세요.