네트워크 액세스를 위한 EAP(확장 가능 인증 프로토콜)
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1
EAP(확장 가능 인증 프로토콜)는 보안 네트워크 액세스 기술에 다양한 인증 방법을 사용할 수 있는 인증 프레임워크입니다. 이러한 기술의 예로는 IEEE 802.1X를 사용한 무선 액세스, IEEE 802.1X를 사용한 유선 액세스, VPN(가상 사설망)과 같은 PPP(지점 간 프로토콜) 연결 등이 있습니다. EAP는 MS-CHAP v2와 같은 특정 인증 방법이 아니라 네트워킹 공급업체가 액세스 클라이언트 및 인증 서버에 EAP 메서드라고 하는 새로운 인증 방법을 개발하고 설치할 수 있도록 하는 프레임워크입니다. EAP 프레임워크는 원래 RFC 3748에 의해 정의되고 다양한 다른 RFC 및 표준에 의해 확장됩니다.
인증 방법
터널된 EAP 메서드 내에서 사용되는 EAP 인증 방법을 일반적으로 내부 메서드 또는 EAP 유형이라고 합니다. 내부 메서드로 설정된 메서드는 외부 메서드 로 사용될 때와 동일한 구성 설정을 가집니다. 이 문서에는 EAP의 다음 인증 방법과 관련된 구성 정보가 포함되어 있습니다.
EAP-TLS(EAP-전송 계층 보안): 상호 인증을 위해 인증서와 함께 TLS를 사용하는 표준 기반 EAP 메서드입니다. Windows에서 스마트 카드 또는 기타 인증서(EAP-TLS)로 나타납니다. EAP-TLS는 다른 EAP 메서드의 내부 메서드 또는 독립 실행형 EAP 메서드로 배포할 수 있습니다.
팁
인증서 기반인 EAP-TLS를 사용하는 EAP 메서드는 일반적으로 최고 수준의 보안을 제공합니다. 예를 들어 EAP-TLS는 WPA3-Enterprise 192비트 모드에 허용되는 유일한 EAP 방법입니다.
EAP-Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(EAP-MSCHAP v2): 인증을 위해 사용자 이름과 암호를 사용하는 MSCHAP v2 인증 프로토콜을 캡슐화하는 Microsoft 정의 EAP 메서드입니다. Windows에서 보안 암호(EAP-MSCHAP v2)로 나타납니다. EAP-MSCHAPv2는 VPN에 대한 독립 실행형 메서드로 사용할 수 있지만 유선/무선의 내부 방법으로 만 사용할 수 있습니다.
Warning
MSCHAPv2 기반 연결은 NTLMv1과 유사한 공격을 받습니다. Windows 11 Enterprise 버전 22H2(빌드 22621)를 사용하면 MSCHAPv2 기반 연결에 문제가 발생할 수 있는 Windows Defender Credential Guard를 사용할 수 있습니다.
PEAP(보호된 EAP): TLS 터널 내에서 EAP를 캡슐화하는 Microsoft 정의 EAP 메서드입니다. TLS 터널은 내부 EAP 메서드를 보호하며, 그렇지 않으면 보호되지 않을 수 있습니다. Windows는 EAP-TLS 및 EAP-MSCHAP v2를 내부 메서드로 지원합니다.
EAP-TTLS(EAP 터널 전송 계층 보안): RFC 5281에서 설명한 내용은 다른 내부 인증 메커니즘을 사용하여 상호 인증을 수행하는 TLS 세션을 캡슐화합니다. 이 내부 메서드는 EAP-MSCHAP v2와 같은 EAP 프로토콜 또는 PAP(암호 인증 프로토콜)와 같은 비 EAP 프로토콜일 수 있습니다. Windows Server 2012에서 EAP-TTLS를 포함하면 클라이언트 쪽(Windows 8)에서만 지원됩니다. NPS는 현재 EAP-TTLS를 지원하지 않습니다. 클라이언트 지원을 사용하면 EAP-TTLS를 지원하는 일반적으로 배포된 RADIUS 서버와의 상호 운용이 가능합니다.
EAP-SIM(EAP-구독자 ID 모듈), EAP-AKA(EAP-인증 및 키 계약) 및 EAP-AKA 프라임(EAP-AKA'): 다양한 RFC에서 설명하고 SIM 카드 사용하여 인증을 사용하도록 설정하며 고객이 통신사로부터 무선 광대역 서비스 계획을 구매할 때 구현됩니다. 일반적으로 고객은 SIM 인증을 위해 미리 구성된 무선 프로필을 계획의 일부로 받습니다.
TEAP(터널 EAP): RFC 7170에서 설명하는 터널된 EAP 메서드는 보안 TLS 터널을 설정하고 해당 터널 내에서 다른 EAP 메서드를 실행합니다. EAP 체인을 지원합니다. 한 인증 세션 내에서 컴퓨터와 사용자를 인증합니다. Windows Server 2022에서 TEAP를 포함하면 클라이언트 쪽인 Windows 10 버전 2004(빌드 19041)만 지원됩니다. NPS는 현재 TEAP를 지원하지 않습니다. 클라이언트 지원을 사용하면 TEAP를 지원하는 일반적으로 배포된 RADIUS 서버와의 상호 운용이 가능합니다. Windows는 EAP-TLS 및 EAP-MSCHAP v2를 내부 메서드로 지원합니다.
다음 표에서는 몇 가지 일반적인 EAP 메서드와 IANA 할당 메서드 형식 번호를 나열합니다.
| EAP 메서드 | IANA 할당 형식 번호 | 네이티브 Windows 지원 |
|---|---|---|
| MD5-Challenge(EAP-MD5) | 4 | ❌ |
| 일회용 암호(EAP-OTP) | 5 | ❌ |
| 일반 토큰 카드(EAP-GTC) | 6 | ❌ |
| EAP-TLS | 13 | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| 보호된 일회용 암호(EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| 미리 공유된 키(EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA' | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
EAP 속성 구성
다음과 같은 방법으로 802.1X 인증 유선 및 무선 액세스에 대한 EAP 속성에 액세스할 수 있습니다.
- 그룹 정책에서 유선 네트워크(IEEE 802.3) 정책 및 무선 네트워크(IEEE 802.11) 정책 확장을 구성합니다.
- 컴퓨터 구성>정책>Windows 설정>Security 설정
- Intune(Wi-Fi/유선)과 같은 MDM(모바일 장치 관리) 소프트웨어 사용
- 클라이언트 컴퓨터에서 유선 또는 무선 연결을 수동으로 구성합니다.
다음과 같은 방법으로 VPN(가상 사설망) 연결에 대한 EAP 속성에 액세스할 수 있습니다.
- Intune과 같은 MDM(모바일 장치 관리) 소프트웨어 사용
- 클라이언트 컴퓨터에서 VPN 연결을 수동으로 구성합니다.
- CMAK(연결 관리자 관리Istration Kit)를 사용하여 VPN 연결을 구성합니다.
EAP 속성을 구성하는 방법에 대한 자세한 내용은 Windows에서 EAP 프로필 및 설정 구성을 참조 하세요.
EAP용 XML 프로필
다양한 연결 형식에 사용되는 프로필은 해당 연결에 대한 구성 옵션을 포함하는 XML 파일입니다. 각 연결 유형은 특정 스키마를 따릅니다.
그러나 EAP를 사용하도록 구성된 경우 각 프로필 스키마에는 자식 요소 EapHostConfig 요소가 있습니다.
- 유선/무선:
EapHostConfigEAPConfig 요소의 자식 요소입니다. MSM > 보안(유선/무선) >OneX> EAPConfig - VPN:
EapHostConfigNativeProfile > 인증 > Eap > 구성의 자식 요소입니다.
이 구성 구문은 그룹 정책: 무선/유선 프로토콜 확장 사양에 정의되어 있습니다.
참고 항목
다양한 구성 UI가 항상 기술적으로 가능한 모든 옵션을 표시하지는 않습니다. 예를 들어 Windows Server 2019 및 이전 버전에서는 UI에서 TEAP를 구성할 수 없습니다. 그러나 이전에 구성한 기존 XML 프로필을 가져올 수 있는 경우가 많습니다.
문서의 다시 기본은 그룹 정책/제어판 UI의 EAP 특정 부분과 XML 구성 옵션 간의 매핑을 제공하고 설정에 대한 설명을 제공하기 위한 것입니다.
XML 프로필 구성에 대한 자세한 내용은 XML 프로필에서 찾을 수 있습니다. EAP 설정이 포함된 XML 프로필을 사용하는 예제는 웹 사이트를 통해 Wi-Fi 프로필 프로비전에서 찾을 수 있습니다.
보안 설정
다음 표에서는 802.1X를 사용하는 프로필에 대한 구성 가능한 보안 설정을 설명합니다. 이러한 설정은 OneX에 매핑됩니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 네트워크 인증 방법을 선택합니다. | EAPConfig | 인증에 사용할 EAP 방법을 선택할 수 있습니다. 인증 방법 구성 설정 및 셀룰러 인증 구성 설정 참조 |
| 속성 | 선택한 EAP 메서드에 대한 속성 대화 상자를 엽니다. | |
| 인증 모드 | authMode | 인증에 사용되는 자격 증명 유형을 지정합니다. 지원되는 값은 다음과 같습니다. 1. 사용자 또는 컴퓨터 인증 2. 컴퓨터 인증 3. 사용자 인증 4. 게스트 인증 이 컨텍스트에서 "Computer"는 다른 참조에서 "컴퓨터"를 의미합니다. machineOrUser 은 Windows의 기본값입니다. |
| 최대 인증 실패 횟수 | maxAuthFailures | 자격 증명 집합에 허용되는 최대 인증 실패 횟수를 지정합니다. 기본값은 다음과 같습니다 1. |
| 이 네트워크에 대한 후속 연결에 대한 사용자 정보 캐시 | cacheUserData | 동일한 네트워크에 대한 후속 연결을 위해 사용자의 자격 증명을 캐시할지 여부를 지정합니다. 기본값은 다음과 같습니다 true. |
고급 보안 설정 > IEEE 802.1X
고급 802.1X 설정 적용이 검사 경우 다음 설정이 모두 구성됩니다. un검사ed이면 기본 설정이 적용됩니다. XML에서 모든 요소는 선택 사항이며, 기본값이 없는 경우 사용됩니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 최대 EAPOL-Start 메시지 수 | maxStart | 지원자(Windows 클라이언트)가 인증자가 없다고 가정하기 전에 인증자(RADIUS 서버)로 보낼 수 있는 최대 EAPOL 시작 메시지 수를 지정합니다. 기본값은 다음과 같습니다 3. |
| 시작 기간(초) | startPeriod | 802.1X 인증 프로세스를 시작하기 위해 EAPOL 시작 메시지가 전송되기 전에 대기할 기간(초)을 지정합니다. 기본값은 다음과 같습니다 5. |
| 대기 기간(초) | heldPeriod | 인증을 다시 시도하지 못한 후 대기할 기간(초)을 지정합니다. 기본값은 1.입니다. |
| 인증 기간(초) | authPeriod | 인증자가 없다고 가정하기 전에 인증자(RADIUS 서버)의 응답을 기다리는 기간(초)을 지정합니다. 기본값은 다음과 같습니다 18. |
| Eapol-Start 메시지 | supplicantMode | EAPOL-Start 메시지에 사용되는 전송 방법을 지정합니다. 지원되는 값은 다음과 같습니다. 1. 전송 안 함( inhibitTransmission)2. 전송( includeLearning)3. IEEE 802.1X당 전송( compliant)이 컨텍스트에서 "Computer"는 다른 참조에서 "컴퓨터"를 의미합니다. compliant 는 Windows의 기본값이며 무선 프로필에 대한 유일한 유효한 옵션입니다. |
고급 보안 설정 > Single Sign-On
다음 표에서는 이전에 PLAP(사전 로그온 액세스 공급자)로 알려진 SSO(Single Sign On)에 대한 설정을 설명합니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 이 네트워크에 SSO 사용 | singleSignOn | 이 네트워크에 대해 SSO를 사용할 수 있는지 여부를 지정합니다. 기본값은 .입니다 false. 네트워크에 필요하지 않은 경우 프로필에서 사용하지 singleSignOn 마세요. |
| 사용자 바로 앞에 수행 사용자 직후 수행 |
type | 사용자가 로그온하기 전이나 후에 SSO를 수행해야 하는 시기를 지정합니다. |
| 연결의 최대 지연 시간(초) | maxDelay | SSO 시도가 실패하기 전의 최대 지연 시간(초)을 지정합니다. 기본값은 .입니다 10. |
| Single Sign-On 중에 추가 대화 상자 표시 허용 | allowAdditionalDialogs | SSO 중에 EAP 대화 상자를 표시할 수 있도록 허용할지 여부를 지정하고 기본값은 .입니다 false. |
| 이 네트워크에서 컴퓨터와 사용자 자격 증명 인증에 다른 VLAN 사용 | userBasedVirtualLan | 디바이스에서 사용하는 VLAN(가상 LAN)이 사용자의 자격 증명에 따라 변경되는지 여부를 지정합니다. 기본값은 다음과 같습니다 false. |
인증 방법 구성 설정
주의
터널된 EAP 방법(예: PEAP) 및 터널되지 않은 EAP 메서드(예: EAP-MSCHAP v2)에 대해 동일한 유형의 인증 방법을 허용하도록 네트워크 액세스 서버가 구성된 경우 잠재적인 보안 취약성이 있습니다. 터널된 EAP 메서드와 EAP(보호되지 않음)를 모두 배포하는 경우 동일한 인증 유형을 사용하지 마세요. 예를 들어 PEAP-TLS를 배포하는 경우 EAP-TLS도 배포하지 마세요. 터널의 보호가 필요한 경우 터널 외부에서도 메서드를 실행할 수 있도록 허용하는 용도가 없기 때문입니다.
다음 표에서는 각 인증 방법에 대한 구성 가능한 설정을 설명합니다.
UI의 EAP-TLS 설정은 EapTls커넥트ionPropertiesV1에 매핑되며 EapTls커넥트ionPropertiesV2 및 EapTls커넥트ionPropertiesV3로 확장됩니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 스마트 카드 사용 | CredentialsSource>SmartCard | 인증 요청을 한 클라이언트가 네트워크 인증을 위해 스마트 카드 인증서를 제공하도록 지정합니다. |
| 이 컴퓨터에서 인증서 사용 | CredentialsSource>CertificateStore | 인증 클라이언트가 현재 사용자 또는 로컬 컴퓨터 인증서 저장소에 있는 인증서를 사용해야 하도록 지정합니다. |
| 간단한 인증서 선택 사용(권장) | SimpleCertSelection | Windows에서 사용자 상호 작용 없이 인증을 위해 인증서를 자동으로 선택할지(가능한 경우) 또는 Windows에서 사용자가 인증서를 선택할 수 있는 드롭다운을 표시할지 여부를 지정합니다. |
| 고급 | Configure Certificate Selection(인증서 선택 구성) 대화 상자를 엽니다. | |
| 서버 유효성 검사 옵션 | ||
| 연결에 다른 사용자 이름 사용 | DifferentUsername | 인증 시에 인증서에 나와 있는 사용자 이름과 다른 사용자 이름을 사용할지 여부를 지정합니다. |
다음은 인증서 선택 구성에 대한 구성 설정을 나열합니다. 이러한 설정은 클라이언트가 인증에 적합한 인증서를 선택하는 데 사용하는 조건을 정의합니다. 이 UI는 TLSExtensions>FilteringInfo에 매핑됩니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 인증서 발급자 | CAHashListEnabled="true" |
인증서 발급자 필터링을 사용할지 여부를 지정합니다. 인증서 발급자와EKU(확장 키 사용)를 모두 사용하는 경우 두 조건을 모두 충족하는 인증서만 서버에 클라이언트를 인증하는 데 유효한 것으로 간주됩니다. |
| 루트 인증 기관 | IssuerHash | 해당 CA(인증 기관) 인증서가 로컬 컴퓨터 계정의 신뢰할 수 있는 루트 인증 기관 또는 중간 인증 기관 인증서 저장소에 있는 모든 발급자의 이름을 나열합니다. 다음 내용이 포함됩니다. 1. 모든 루트 인증 기관 및 중간 인증 기관. XML에서 인증서의 SHA-1 지문(해시)입니다. |
| EKU(확장 키 사용) | 모든 용도, 클라이언트 인증, AnyPurpose 또는 이러한 조합을 선택할 수 있습니다. 조합을 선택하면 세 가지 조건 중 하나 이상을 만족하는 모든 인증서가 서버에 클라이언트를 인증하기 위한 유효한 인증서로 간주되도록 지정합니다. EKU 필터링을 사용하는 경우 선택 항목 중 하나를 선택해야 합니다. 그렇지 않으면 EKU(확장 키 사용량) 검사box가 해제됩니다검사. | |
| 모든 용도 | AllPurposeEnabled | 이 항목을 선택하면 모든 용도 EKU를 가진 인증서가 서버에 클라이언트를 인증하기 위한 유효한 인증서로 간주되도록 지정합니다. 모든 용도에 대한 OID(개체 식별자)가 0 있거나 비어 있습니다. |
| 클라이언트 인증 | ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) |
클라이언트 인증 EKU가 있는 인증서와 지정된 EKU 목록을 서버에 클라이언트를 인증하기 위한 유효한 인증서로 간주하도록 지정합니다. 클라이언트 인증에 대한 OID(개체 식별자)입니다1.3.6.1.5.5.7.3.2. |
| AnyPurpose | AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) |
AnyPurpose EKU 및 지정된 EKU 목록이 있는 모든 인증서가 서버에 클라이언트를 인증하기 위한 유효한 인증서로 간주되도록 지정합니다. AnyPurpose의 OID(개체 식별자)는 1.3.6.1.4.1.311.10.12.1. |
| 추가 | EKUMapping > EKUMap > EKUName/EKUOID | 클라이언트 인증 또는 AnyPurpose 목록에 표준, 사용자 지정 또는 공급업체별 EKU를 추가할 수 있는 EKU 선택 대화 상자를 엽니다. EKU 선택 대화 상자에서 추가 또는 편집을 선택하면 두 가지 옵션을 제공하는 EKU 추가/편집 대화 상자가 열립니다. 예를 들어 입력 |
| 편집 | 추가한 사용자 지정 EKU를 편집할 수 있습니다. 미리 정의된 기본 EKU는 편집할 수 없습니다. | |
| 제거 | 클라이언트 인증 또는 AnyPurpose 목록에서 선택한 EKU를 제거합니다. |
서버 유효성 검사
많은 EAP 메서드에는 클라이언트가 서버 인증서의 유효성을 검사하는 옵션이 포함되어 있습니다. 서버 인증서의 유효성이 검사되지 않으면 클라이언트가 올바른 서버와 통신하고 있는지 확인할 수 없습니다. 이렇게 하면 클라이언트가 무의식적으로 불량 네트워크에 연결할 수 있는 가능성을 포함하여 보안 위험에 클라이언트가 노출됩니다.
참고 항목
Windows에는 서버 인증서에 서버 인증 EKU가 있어야 합니다. 이 EKU의 OID(개체 식별자)는 .입니다 1.3.6.1.5.5.7.3.1.
다음 표에서는 각 EAP 메서드에 적용할 수 있는 서버 유효성 검사 옵션을 나열합니다. Windows 11은 서버 유효성 검사 논리를 보다 일관되게 업데이트했습니다(Windows 11의 업데이트된 서버 인증서 유효성 검사 동작 참조). 충돌하는 경우 다음 표의 설명은 Windows 10 이하의 동작에 대해 설명합니다.
| 설정 | XML 요소 | 설명 |
|---|---|---|
| 인증서의 유효성을 검사하여 서버 ID 확인 | EAP-TLS: PerformServerValidation Peap: PerformServerValidation |
이 항목은 클라이언트가 클라이언트 컴퓨터에 제공된 서버 인증서에 올바른 서명이 있고, 만료되지 않았으며, 신뢰할 수 있는 루트 CA(인증 기관)에서 발급되었는지를 클라이언트가 확인하도록 지정합니다. 이 검사 상자를 사용하지 않도록 설정하면 인증 프로세스 중에 클라이언트 컴퓨터가 서버의 ID를 확인할 수 없습니다. 서버 인증을 수행하지 않으면 사용자 자신도 모르는 사이에 악성 네트워크에 연결될 가능성을 포함하여 사용자가 심각한 보안 위험에 노출될 수 있습니다. |
| 이러한 서버에 커넥트 | EAP-TLS: ServerValidation>ServerNames Peap: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames |
네트워크 인증 및 권한 부여를 제공하는 RADIUS(Remote Authentication Dial-In User Service) 서버의 이름을 지정할 수 있습니다. 각 RADIUS 서버 인증서의 주체 필드에 표시되는 대로 이름을 정확하게 입력하거나 정규식(regex)을 사용하여 서버 이름을 지정해야 합니다. 정규식의 전체 구문을 사용하여 서버 이름을 지정할 수 있지만 정규식을 리터럴 문자열로 구분하려면 지정된 문자열에서 하나 여러 서버를 구분하여 포함 RADIUS 서버가 지정되지 않은 경우 클라이언트는 신뢰할 수 있는 루트 CA에서 RADIUS 서버 인증서를 발급했는지만 확인합니다. |
| 신뢰할 수 있는 루트 인증 기관 | EAP-TLS: ServerValidation>TrustedRootCA Peap: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes |
신뢰할 수 있는 루트 인증 기관을 나열합니다. 목록은 컴퓨터 및 사용자 인증서 저장소에 설치된 신뢰할 수 있는 루트 CA에서 빌드됩니다. NPS(네트워크 정책 서버)를 실행하는 서버나 Provisioning Server와 같이 신청자가 서버를 신뢰할 수 있는지 여부를 확인할 때 사용하는 신뢰할 수 있는 루트 CA 인증서를 지정할 수 있습니다. 신뢰할 수 있는 루트 CA를 선택하지 않은 경우 802.1X 클라이언트는 RADIUS 서버의 컴퓨터 인증서를 설치된 신뢰할 수 있는 루트 CA에서 발급했는지 검증합니다. 신뢰할 수 있는 루트 CA를 하나 또는 여러 개 선택한 경우 802.1X 클라이언트는 RADIUS 서버의 컴퓨터 인증서를 선택된 신뢰할 수 있는 루트 CA에서 발급했는지 검증합니다. 신뢰할 수 있는 루트 CA가 선택되지 않은 경우 클라이언트는 신뢰할 수 있는 루트 CA에서 RADIUS 서버 인증서를 발급했는지 확인합니다. 네트워크에 PKI(공개 키 인프라)가 있고 CA를 사용하여 RADIUS 서버에 인증서를 발급하는 경우 CA 인증서는 신뢰할 수 있는 루트 CA 목록에 자동으로 추가됩니다. 타사 공급업체에서 CA 인증서를 구입할 수도 있습니다. 타사의 일부 신뢰할 수 있는 루트 CA에서는 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 구입한 인증서를 자동으로 설치하는 소프트웨어를 구입한 인증서와 함께 제공합니다. 이 경우 신뢰할 수 있는 루트 CA는 신뢰할 수 있는 루트 CA 목록에 자동으로 나타납니다. 현재 사용자 및 로컬 컴퓨터에 대한 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 아직 나열되지 않은 신뢰할 수 있는 루트 CA 인증서를 지정하지 마세요. 클라이언트 컴퓨터에 설치되지 않은 인증서를 지정하면 인증이 실패합니다. XML에서 인증서의 SHA-1 지문(해시) 또는 TEAP용 SHA-256입니다. |
서버 유효성 검사 사용자 프롬프트
다음 표에서는 각 EAP 메서드에 적용할 수 있는 서버 유효성 검사 사용자 프롬프트 옵션을 나열합니다. 이러한 옵션은 신뢰할 수 없는 서버 인증서의 경우 다음 중 하나에 사용됩니다.
- 연결이 즉시 실패하거나
- 는 사용자가 연결을 수동으로 수락하거나 거부할 수 있도록 허용합니다.
| 설정 | XML 요소 |
|---|---|
| 사용자에게 새 서버 또는 신뢰할 수 있는 인증 기관에 권한을 부여하라는 메시지를 표시하지 마세요. | ServerValidation>DisableUserPromptForServerValidation |
인증서가 잘못 구성되었거나, 아직 신뢰할 수 없거나, 둘 다(사용하도록 설정된 경우) 서버 인증서를 신뢰하라는 메시지가 사용자에게 표시되지 않도록 합니다. 사용자 환경을 간소화하고 사용자가 공격자가 배포한 서버를 실수로 신뢰하지 않도록 하려면 이 검사box를 선택하는 것이 좋습니다.
셀룰러 인증 구성 설정
다음은 EAP-SIM, EPA-AKA 및 EPA-AKA의 구성 설정을 각각 나열합니다.
EAP-SIM은 RFC 4186에 정의되어 있습니다. EAP SIM(구독자 ID 모듈)은 2세대 GSM(모바일 통신용 글로벌 시스템) SIM(구독자 ID 모듈)을 사용하는 인증 및 세션 키 배포에 사용됩니다.
UI의 EAP-SIM 설정은 EapSim커넥트ionPropertiesV1에 매핑됩니다.
| Item | XML 요소 | 설명 |
|---|---|---|
| 강력한 암호화 키 사용 | UseStrongCipherKeys | 선택하면 프로필에서 강력한 암호화를 사용하도록 지정합니다. |
| 가명 ID를 사용할 수 있는 경우 서버에 실제 ID를 표시하지 마세요. | DontRevealPermanentID | 사용하도록 설정하면 클라이언트에 익명 ID가 있는 경우에도 서버에서 영구 ID를 요청하면 클라이언트에서 인증에 실패하게 됩니다. 가명 ID는 인증 중에 사용자의 실제 또는 영구 ID가 표시되지 않도록 ID 개인 정보에 사용됩니다. |
| ProviderName | 인증에 허용되는 공급자 이름을 나타내는 문자열인 XML에서만 사용할 수 있습니다. | |
| 영역 사용 설정 | Realm=true |
영역 이름을 입력할 위치를 제공합니다. 영역 사용이 선택된 상태에서 이 필드를 비워 두면 영역은 3GPP(3세대 파트너 관계 프로젝트) 표준 23.003 V6.8.0에 설명된 대로 영역 3gpp.org 사용하여 IMSI(International Mobile Subscriber Identity)에서 파생됩니다. |
| 영역 지정 | Realm | 영역 이름을 입력할 위치를 제공합니다. 영역 사용을 사용하도록 설정하면 이 문자열이 사용됩니다. 이 필드가 비어 있으면 파생 영역이 사용됩니다. |
WPA3-Enterprise 192비트 모드
WPA3-Enterprise 192비트 모드는 무선 연결에 대해 특정 높은 보안 요구 사항을 적용하여 최소 192비트 보안을 제공하는 WPA3-Enterprise의 특수 모드입니다. 이러한 요구 사항은 CNSA(상업용 국가 안보 알고리즘) 제품군인 CNSSP 15와 일치하며, 이는 미국 NSA(국가 안보국)의 기밀 및 일급 비밀 정보를 보호하기 위해 승인된 암호화 알고리즘 집합입니다. 192비트 모드는 2016년 CNSA로 대체된 NSA Suite B 암호화 사양에 대한 참조인 "Suite B 모드"라고도 합니다.
WPA3-Enterprise 및 WPA3-Enterprise 192비트 모드는 Windows 10 버전 2004(빌드 19041) 및 Windows Server 2022부터 사용할 수 있습니다. 그러나 WPA3-Enterprise는 Windows 11에서 별도의 인증 알고리즘으로 선정되었습니다. XML에서는 authEncryption 요소에 지정됩니다.
다음 표에서는 CNSA Suite에 필요한 알고리즘을 나열합니다.
| 알고리즘 | 설명 | 매개 변수 |
|---|---|---|
| AES(Advanced Encryption Standard) | 암호화에 사용되는 대칭 블록 암호화 | 256비트 키(AES-256) |
| ECDH(타원 곡선 Diffie-Hellman) 키 교환 | 공유 비밀(키)을 설정하는 데 사용되는 비대칭 알고리즘 | 384비트 소수 모듈러스 곡선(P-384) |
| ECDSA(타원 곡선 디지털 서명 알고리즘) | 디지털 서명에 사용되는 비대칭 알고리즘 | 384비트 소수 모듈러스 곡선(P-384) |
| SHA(Secure Hash Algorithm) | 암호화 해시 함수 | SHA-384 |
| DH(Diffie-Hellman) 키 교환 | 공유 비밀(키)을 설정하는 데 사용되는 비대칭 알고리즘 | 3072비트 모듈러스 |
| 리베스트 샤미르-애들먼(RSA) | 디지털 서명 또는 키 설정에 사용되는 비대칭 알고리즘 | 3072비트 모듈러스 |
CNSA에 맞게 WPA3-Enterprise 192비트 모드를 사용하려면 EAP-TLS를 다음 암호 그룹과 함께 사용해야 합니다.
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- 384비트 프라임 모듈러스 곡선 P-384를 사용하는 ECDHE 및 ECDSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384- 384비트 프라임 모듈러스 곡선 P-384를 사용하는 ECDHE
- RSA >= 3072비트 모듈러스
참고 항목
P-384는 또는 secp384r1nistp384. P-521과 같은 기타 타원 곡선은 허용되지 않습니다.
SHA-384는 해시 함수의 SHA-2 제품군에 있습니다. SHA-512 또는 SHA3-384와 같은 다른 알고리즘 및 변형은 허용되지 않습니다.
Windows는 WPA3-Enterprise 192비트 모드에 대한 암호화 도구 모음만 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 지원합니다. TLS_DHE_RSA_AES_256_GCM_SHA384 암호 그룹은 지원되지 않습니다.
TLS 1.3은 WPA3-Enterprise 192비트 모드와만 TLS_AES_256_GCM_SHA384 호환되는 새로운 간소화된 TLS 제품군을 사용합니다. TLS 1.3에는 (EC)DHE가 필요하고 AES-256 AEAD 및 SHA384 해시 TLS_AES_256_GCM_SHA384 와 함께 ECDSA 또는 RSA 인증서가 허용되므로 동일합니다 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. 그러나 RFC 8446 에서는 TLS 1.3 규격 애플리케이션이 CNSA에서 금지된 P-256을 지원해야 합니다. 따라서 WPA3-Enterprise 192비트 모드는 TLS 1.3을 완전히 준수할 수 없습니다. 그러나 TLS 1.3 및 WPA3-Enterprise 192비트 모드에는 알려진 상호 운용성 문제가 없습니다.
WPA3-Enterprise 192비트 모드에 대한 네트워크를 구성하려면 Windows에서 이전에 설명한 요구 사항을 충족하는 인증서와 함께 EAP-TLS를 사용해야 합니다.