PEAP 및 EAP 요구 사항에 대한 인증서 템플릿 구성

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

EAP-TLS(Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS(Protected Extensible Authentication Protocol-Transport Layer Security), PEAP-Microsoft Challenge Handshake Authentication Protocol 버전 2(MS-CHAP v2)를 사용하여 네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서에 대한 요구 사항을 충족하고 SSL/TLS(Secure Socket Layer/Transport Level Security)를 사용하는 연결에서 작동해야 합니다. 클라이언트 인증서와 서버 인증서 모두 아래에 자세히 설명된 추가 요구 사항이 있습니다.

Important

이 항목에서는 인증서 템플릿을 구성하기 위한 지침을 제공합니다. 이러한 지침을 사용하려면 AD CS(Active Directory Certificate Services)와 함께 고유한 PKI(공개 키 인프라)를 배포해야 합니다.

최소 서버 인증서 요구 사항

인증 방법으로 PEAP-MS-CHAP v2, PEAP-TLS 또는 EAP-TLS를 사용하는 경우 NPS는 최소 서버 인증서 요구 사항을 충족하는 서버 인증서를 사용해야 합니다.

클라이언트 컴퓨터 또는 그룹 정책에서 서버 인증서 유효성 검사 옵션을 사용하여 서버 인증서 의 유효성을 검사하도록 클라이언트 컴퓨터를 구성할 수 있습니다.

클라이언트 컴퓨터는 서버 인증서가 다음 요구 사항을 충족하는 경우 서버의 인증 시도를 허용합니다.

  • 주체 이름에 값이 포함됩니다. 빈 주체 이름이 있는 NPS(네트워크 정책 서버)를 실행하는 서버에 인증서를 발급하는 경우 인증서를 사용하여 NPS를 인증할 수 없습니다. 주체 이름으로 인증서 템플릿을 구성하려면 다음을 수행합니다.

    1. 인증서 템플릿을 엽니다.
    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 제목 이름 탭을 클릭한 다음 이 Active Directory 정보에서 빌드를 클릭합니다.
    4. 주체 이름 형식에서 None 이외의 값을 선택합니다.

  • 서버의 컴퓨터 인증서:

    • 은 신뢰할 수 있는 루트 CA(인증 기관)에 체인을 연결합니다.
    • 에는 Server Authentication EKU 확장의 용도(OID(개체 식별자) Server Authentication )가 포함됩니다 1.3.6.1.5.5.7.3.1.
    • 다음을 전달합니다.
      • CryptoAPI에서 수행하는 검사 및
      • 원격 액세스 정책 또는 네트워크 정책에 지정된 검사

  • 필요한 암호화 설정을 사용하여 서버 인증서를 구성합니다.

    1. 인증서 템플릿을 엽니다.
    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 암호화 탭을 클릭하고 다음을 구성해야 합니다.
      • 공급자 범주: 예: 키 스토리지 공급자
      • 알고리즘 이름: 예: RSA
      • 공급자: 예를 들어 Microsoft 소프트웨어 키 스토리지 공급자
      • 최소 키 크기: 예: 2048
      • 해시 알고리즘: 예를 들어 SHA256
    4. 다음을 클릭합니다.

  • 주체 대체 이름(SubjectAltName) 확장이 사용되는 경우 서버의 DNS 이름을 포함해야 합니다. 등록 서버의 DNS(Do기본 이름 시스템) 이름으로 인증서 템플릿을 구성하려면 다음을 수행합니다.

    1. 인증서 템플릿을 엽니다.
    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 제목 이름 탭을 클릭한 다음 이 Active Directory 정보에서 빌드를 클릭합니다.
    4. 대체 주체 이름에 이 정보를 포함하려면 DNS 이름을 선택합니다.

PEAP 및 EAP-TLS를 사용하는 경우 NPS는 다음 예외를 제외하고 컴퓨터 인증서 저장소에 설치된 모든 인증서 목록을 표시합니다.

  • EKU 확장의 용도를 Server Authentication 포함하지 않는 인증서는 표시되지 않습니다.

  • 주체 이름을 포함하지 않는 인증서는 표시되지 않습니다.

  • 레지스트리 기반 및 스마트 카드 로그온 인증서는 표시되지 않습니다.

자세한 내용은 802.1X 유선 및 무선 배포용 서버 인증서 배포를 참조하세요.

최소 클라이언트 인증서 요구 사항

EAP-TLS 또는 PEAP-TLS를 사용하면 인증서가 다음 요구 사항을 충족하는 경우 서버에서 클라이언트 인증 시도를 수락합니다.

  • 클라이언트 인증서는 엔터프라이즈 CA에서 발급되거나 AD DS(Active Directory 도메인 Services)의 사용자 또는 컴퓨터 계정에 매핑됩니다.

  • 클라이언트의 사용자 또는 컴퓨터 인증서:

    • 은 신뢰할 수 있는 루트 CA에 연결합니다.
    • 에는 Client Authentication EKU 확장의 용도(OID for Client Authentication is)가 포함됩니다 1.3.6.1.5.5.7.3.2.
    • 다음을 전달합니다.
      • CryptoAPI에서 수행하는 검사
      • 원격 액세스 정책 또는 네트워크 정책에 지정된 검사 및
      • NPS 네트워크 정책에 지정된 인증서 개체 식별자 검사.

  • 802.1X 클라이언트는 스마트 카드 로그온 또는 암호로 보호된 인증서인 레지스트리 기반 인증서를 사용하지 않습니다.

  • 사용자 인증서의 경우 인증서의 주체 대체 이름(SubjectAltName) 확장에는 UPN(사용자 계정 이름)이 포함됩니다. 인증서 템플릿에서 UPN을 구성하려면 다음을 수행합니다.

    1. 인증서 템플릿을 엽니다.
    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 제목 이름 탭을 클릭한 다음 이 Active Directory 정보에서 빌드를 클릭합니다.
    4. 대체 주체 이름에 이 정보를 포함하려면 UPN(사용자 계정 이름)을 선택합니다.

  • 컴퓨터 인증서의 경우 인증서의 주체 대체 이름(SubjectAltName) 확장에는 DNS 이름이라고도 하는 클라이언트의 FQDN(정규화된 do기본 이름)이 포함되어야 합니다. 인증서 템플릿에서 이 이름을 구성하려면 다음을 수행합니다.

    1. 인증서 템플릿을 엽니다.
    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 제목 이름 탭을 클릭한 다음 이 Active Directory 정보에서 빌드를 클릭합니다.
    4. 대체 주체 이름에 이 정보를 포함하려면 DNS 이름을 선택합니다.

PEAP-TLS 및 EAP-TLS를 사용하면 클라이언트는 다음 예외를 제외하고 인증서 스냅인에 설치된 모든 인증서 목록을 표시합니다.

  • 무선 클라이언트는 레지스트리 기반 및 스마트 카드 로그온 인증서를 표시하지 않습니다.

  • 무선 클라이언트 및 VPN 클라이언트는 암호로 보호된 인증서를 표시하지 않습니다.

  • EKU 확장의 용도를 Client Authentication 포함하지 않는 인증서는 표시되지 않습니다.

NPS에 대한 자세한 내용은 NPS(네트워크 정책 서버)를 참조하세요.

EAP에 대한 자세한 내용은 네트워크 액세스에 대한 EAP(Extensible Authentication Protocol)를 참조하세요.

NPS의 인증서 문제 해결에 대한 자세한 내용은 EAP-TLS 또는 PEAP를 EAP-TLS와 함께 사용하는 경우 인증서 요구 사항을 참조 하세요.