Active Directory 인증서 서비스에 대한 네트워크 디바이스 등록 서비스란?

적용 대상: Windows Server(지원되는 모든 버전)

NDES(네트워크 디바이스 등록 서비스)는 AD CS(Active Directory Certificate Services)의 역할 서비스 중 하나입니다. NDES가 등록 기관의 역할을 하면 도메인 자격 증명 없이 실행되는 라우터 및 기타 네트워크 디바이스의 소프트웨어에서 SCEP(단순 인증서 등록 프로토콜)를 기반으로 인증서를 가져올 수 있습니다.

SCEP는 네트워크 디바이스와 인증서 등록을 위한 등록 기관 간의 통신 프로토콜을 정의합니다. 기존 기술을 사용하여 신뢰할 수 있는 엔드포인트가 있는 폐쇄형 네트워크에서 확장 가능한 방식으로 네트워크 디바이스에 대한 인증서를 안전하게 발급할 수 있도록 노력하고 있습니다. SCEP에 대한 자세한 내용은 RFC 8894 단순 인증서 등록 프로토콜을 참조하세요.

네트워크 디바이스 등록 서비스 이해

SCEP는 CA(인증 기관)의 x509 버전 3 인증서에 등록하기 위해 도메인 자격 증명으로 실행되지 않는 네트워크 디바이스를 사용하도록 설정하는 문제에 대한 솔루션입니다. NDES는 모든 네트워크 디바이스에 CA에서 발급한 프라이빗 키 및 연결된 인증서를 제공합니다. 디바이스의 애플리케이션은 키 및 연결된 인증서를 사용하여 네트워크의 다른 엔티티와 상호 작용할 수 있습니다. 네트워크 디바이스에서 NDES 발급 인증서의 가장 일반적인 용도는 IPSec 세션에서 디바이스를 인증하는 것입니다.

SCEP는 기존 CA(인증 기관)를 사용하여 네트워크 디바이스에 안전하고 확장 가능한 방식으로 인증서를 발급하도록 지원하기 위해 개발되었습니다. 이 프로토콜은 CA 및 등록 기관 공개 키 배포, 등록 및 인증서 해지 쿼리를 지원합니다.

NDES는 다음 기능을 수행합니다.

• 일회용 등록 암호를 생성하고 관리자에게 제공합니다.

• CA에 등록 요청을 제출합니다.

• CA에서 등록된 인증서를 검색하여 네트워크 디바이스로 전달합니다.

NDES는 ISAPI(인터넷 서버 API) 확장으로 구현됩니다. 동일한 컴퓨터에 IIS(인터넷 정보 서비스) 역할을 설치해야 합니다. CA를 동일한 컴퓨터에 설치할 필요가 없습니다. ISAPI 확장은 자체 애플리케이션 풀, 즉 SCEP에서 실행됩니다. 이 애플리케이션 풀은 설치 중에 만들어지고 설치 중에 제공된 자격 증명을 사용하여 실행되도록 구성됩니다.

SCEP 사양은 디바이스가 TLS를 지원할 필요가 없습니다. 그러나 서비스에서 일회성 암호를 검색하는 프로세스는 TLS를 사용하여 보호되어야 합니다. 설치 프로그램에서 디바이스용과 관리자용의 두 가지 가상 애플리케이션을 만듭니다.

• 디바이스 통신 위치https://<hostname>/certsrv/mscep
• 관리자 등록 암호 검색 위치 https://<hostname>/certsrv/mscep_admin

암호는 등록 요청을 CA에 전달하기 전에 서비스에서 디바이스를 인증하는 데 사용됩니다. 암호는 관리 가상 애플리케이션에 대한 호출을 통해 가져올 수 있습니다.

네트워크 디바이스 등록 서비스를 통한 인증서 등록은 간단한 프로세스입니다.

1. 디바이스는 /certsrv/mscep 웹 엔드포인트에서 RSA 퍼블릭-프라이빗 키 쌍을 가져옵니다.

2. 관리자는 네트워크 디바이스 등록 서비스에서 암호를 가져옵니다.

3. 관리자는 암호를 사용하여 디바이스를 설정하고 엔터프라이즈 PKI /certserv/mscep_admin 웹 엔드포인트를 신뢰하도록 설정합니다.

4. 디바이스가 NDES에 등록 요청을 보내도록 구성됩니다.

5. NDES는 등록 에이전트 인증서를 사용하여 등록 요청에 서명하고 이를 CA에 보냅니다.

6. CA가 인증서를 발급합니다.

7. 디바이스는 NDES에서 발급된 인증서를 검색합니다.

NDES 구성 설정

NDES는 NDES 역할 서비스를 설치한 후 다음 중 하나로 실행되도록 구성될 수 있습니다.

• 서비스 계정으로 지정된 사용자 계정

• IIS(인터넷 정보 서비스) 컴퓨터의 기본 제공 애플리케이션 풀 ID

다음 단계

NDES에 대해 알아보았습니다. 다음은 NDES를 구성하고 실행하는 데 도움이 되는 문서입니다.

• Active Directory 인증서 서비스에 대한 네트워크 디바이스 등록 서비스 구성

• 모바일 디바이스에 대한 무선 등록이 필요한 경우 Using a Policy Module with the Network Device Enrollment Service을 참조하세요.

• NDES 구성 및 작업에 대한 자세한 내용은 AD CS(Active Directory 인증서 서비스)의 NDES(네트워크 디바이스 등록 서비스)를 참조하세요.