NPS와 함께 사용되는 인증서 관리

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Stack HCI, versions 23H2 and 22H2

EAP-TLS(확장 인증 프로토콜-전송 계층 보안), PEAP-TLS(보호된 확장 인증 프로토콜-전송 계층 보안), PEAP-MS-CHAP v2(보호된 확장 인증 프로토콜 Microsoft 챌린지 핸드셰이크 인증 프로토콜 버전 2)과 같은 인증서 기반 인증 방법을 배포하는 경우, 모든 NPS에 서버 인증서를 등록해야 합니다. 서버 인증서는 반드시 다음을 따라야 합니다:

• PEAP 및 EAP 요구 사항을 위한 인증서 템플릿 구성에 설명된 최소 서버 인증서 요구 사항을 충족하십시오.

• 클라이언트 컴퓨터에서 신뢰할 수 있는 CA(인증 기관)에서 발급합니다. CA는 현재 사용자 및 로컬 컴퓨터에 대한 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 인증서가 있는 경우에 신뢰할 수 있습니다.

다음 지침은 신뢰할 수 있는 루트 CA가 Verisign과 같은 타사 CA이거나 Active Directory 인증서 서비스(AD CS)를 사용하여 공개 키 인프라(PKI)를 위해 배포한 CA인 배포 환경에서 NPS 인증서를 관리하는 데 도움이 됩니다.

캐시된 TLS 핸들 만료 변경

EAP-TLS, PEAP-TLS 및 PEAP-MS-CHAP v2에 대한 초기 인증 프로세스 중에 NPS는 연결 클라이언트의 TLS 연결 속성 일부를 캐시합니다. 또한 클라이언트는 NPS의 TLS 연결 속성 일부를 캐시합니다.

이러한 TLS 연결 속성의 각 개별 컬렉션을 TLS 핸들이라고 합니다.

클라이언트 컴퓨터는 여러 인증자에 대한 TLS 핸들을 캐시할 수 있지만 NPS는 많은 클라이언트 컴퓨터의 TLS 핸들을 캐시할 수 있습니다.

클라이언트 및 서버에서 캐시된 TLS 핸들을 사용하면 재인증 프로세스가 더 신속하게 수행될 수 있습니다. 예를 들어, 무선 컴퓨터가 NPS로 다시 인증하는 경우 NPS는 무선 클라이언트에 대한 TLS 핸들을 검사하고 클라이언트 연결이 다시 연결되었는지 신속히 확인할 수 있습니다. NPS는 전체 인증을 수행하지 않고 연결에 권한을 부여합니다.

이에 따라 클라이언트는 NPS에 대한 TLS 핸들을 검사하고, 재연결인지 확인하며, 서버 인증을 수행할 필요가 없습니다.

Windows 10 및 Windows Server 2016을 실행하는 컴퓨터에서 기본 TLS 핸들 만료는 10시간입니다.

경우에 따라 TLS 핸들 만료 시간을 늘리거나 줄일 수 있습니다.

예를 들어 관리자가 사용자 인증서를 해지하고 인증서가 만료된 경우 TLS 핸들 만료 시간을 줄일 수 있습니다. 이 시나리오에서는 NPS에 만료되지 않은 캐시된 TLS 핸들이 있는 경우에도 사용자가 네트워크에 연결할 수 있습니다. TLS 핸들 만료 시간을 줄이면 해지된 인증서를 가진 사용자가 다시 연결되지 않도록 방지할 수 있습니다.

참고 항목

이 시나리오의 가장 좋은 해결 방법은 Active Directory에서 사용자 계정을 사용하지 않도록 설정하거나 네트워크 정책에서 네트워크에 연결할 수 있는 권한이 부여된 Active Directory 그룹에서 사용자 계정을 제거하는 것입니다. 그러나 복제 대기 시간으로 인해 이러한 변경 내용이 모든 도메인 컨트롤러에 전파되는 것 또한 지연될 수 있습니다.

클라이언트 컴퓨터에서 TLS 핸들 만료 시간 구성

이 절차를 사용하여 클라이언트 컴퓨터가 NPS의 TLS 핸들을 캐시하는 시간을 변경할 수 있습니다. NPS를 성공적으로 인증한 후 클라이언트 컴퓨터는 NPS의 TLS 연결 속성을 TLS 핸들로 캐시합니다. TLS 핸들의 기본 기간은 10시간(36,000,000밀리초)입니다. 다음 절차를 사용하여 TLS 핸들 만료 시간을 늘리거나 줄일 수 있습니다.

멤버 자격이 관리자, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

Important

이 절차는 클라이언트 컴퓨터가 아닌 NPS에서 수행해야 합니다.

클라이언트 컴퓨터에서 TLS 핸들 만료 시간을 구성하려면

1. NPS에서 레지스트리 편집기를 엽니다.

2. 레지스트리 경로 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL로 이동하세요

3. 편집 메뉴에서 새로 만들기를 클릭한 다음 키를 클릭합니다.

4. ClientCacheTime를 입력한 다음 Enter 키를 누릅니다.

5. ClientCacheTime을 마우스 우 클릭하고, 새로 만들기를 클릭한 다음, DWORD (32비트) 값을 클릭합니다.

6. NPS의 첫 번째 인증 시도 후 클라이언트 컴퓨터에서 NPS의 TLS 핸들을 캐시할 시간(밀리초)을 입력합니다.

NPS에서 TLS 핸들 만료 시간 구성

이 절차를 사용하여 NPS가 클라이언트 컴퓨터의 TLS 핸들을 캐시하는 시간을 변경할 수 있습니다. 액세스 클라이언트를 성공적으로 인증한 후 NPS는 클라이언트 컴퓨터의 TLS 연결 속성을 TLS 핸들로 캐시합니다. TLS 핸들의 기본 기간은 10시간(36,000,000밀리초)입니다. 다음 절차를 사용하여 TLS 핸들 만료 시간을 늘리거나 줄일 수 있습니다.

멤버 자격이 관리자, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

Important

이 절차는 클라이언트 컴퓨터가 아닌 NPS에서 수행해야 합니다.

NPS에서 TLS 핸들 만료 시간 구성하려면

1. NPS에서 레지스트리 편집기를 엽니다.

2. 레지스트리 경로 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL로 이동하세요

3. 편집 메뉴에서 새로 만들기를 클릭한 다음 키를 클릭합니다.

4. ServerCacheTime를 입력한 다음 Enter 키를 누릅니다.

5. ServerCacheTime을 마우스 우 클릭하고 새로 만들기, DWORD(32비트) 값을 차례로 클릭합니다.

6. 클라이언트가 처음으로 인증에 성공한 후, NPS가 클라이언트 컴퓨터의 TLS 핸들을 캐시할 시간을 밀리초 단위로 입력합니다.

신뢰할 수 있는 루트 CA 인증서의 SHA-1 해시 가져오기

이 절차를 사용하여 로컬 컴퓨터에 설치된 인증서에서 신뢰할 수 있는 루트 CA(인증 기관)의 SHA-1(보안 해시 알고리즘) 해시를 가져옵니다. 그룹 정책을 배포하는 경우와 같은 경우에 인증서의 SHA-1 해시를 사용하여 인증서를 지정해야 합니다.

그룹 정책을 사용하는 경우 EAP 또는 PEAP와의 상호 인증 프로세스 중에 NPS를 인증하기 위해 클라이언트가 사용해야 하는 신뢰할 수 있는 루트 CA 인증서를 하나 이상 지정할 수 있습니다. 클라이언트가 서버 인증서의 유효성을 검사하는 데 사용해야 하는 신뢰할 수 있는 루트 CA 인증서를 지정하려면 인증서의 SHA-1 해시를 입력하면 됩니다.

이 절차에서는 인증서 MMC(Microsoft Management Console) 스냅인을 사용하여 신뢰할 수 있는 루트 CA 인증서의 SHA-1 해시를 가져오는 방법을 보여 줍니다.

이 절차를 완료하려면 로컬 컴퓨터의 사용자 그룹 구성원이어야 합니다.

신뢰할 수 있는 루트 CA 인증서의 SHA-1 해시를 가져오려면

1. 실행 대화 상자 또는 Windows PowerShell에서 mmc를 입력한 다음 Enter 키를 누릅니다. MMC(Microsoft Management Console)가 열립니다. MMC에서 파일을 클릭한 다음 Add/Remove Snap\in을 클릭합니다. 추가 / 제거 스냅인 대화 상자가 열립니다.

2. 스냅인 추가 또는 제거의 사용 가능한 스냅인에서 인증서를 더블 클릭합니다. 인증서 스냅인 마법사가 열립니다. 컴퓨터 계정을 클릭한 후 다음을 클릭합니다.

3. 컴퓨터 선택에서 로컬 컴퓨터(이 콘솔이 실행되고 있는 컴퓨터) 가 선택되어 있는지 확인한 다음 마침을 클릭하고, 확인을 클릭합니다.

4. 왼쪽 창에서 인증서(로컬 컴퓨터)를 더블 클릭한 다음 신뢰할 수 있는 루트 인증 기관 폴더를 더블 클릭합니다.

5. 인증서 폴더는 신뢰할 수 있는 루트 인증 기관 폴더의 하위 폴더입니다. 인증서 폴더를 클릭합니다.

6. 세부 정보 창에서 신뢰할 수 있는 루트 CA에 대한 인증서로 이동합니다. 인증서를 두 번 클릭합니다. 인증서 대화 상자가 열립니다.

7. 인증서 대화 상자에서 자세히 탭을 클릭합니다.

8. 필드 목록에서 스크롤하여 지문을 선택합니다.

9. 아래쪽 창에 인증서의 SHA-1 해시인 16진수 문자열이 표시됩니다. SHA-1 해시를 선택한 다음 복사 명령의 Windows 바로 가기 키(Ctrl+C)를 눌러 해시를 Windows 클립보드에 복사합니다.

10. SHA-1 해시를 붙여 넣을 위치를 열고 커서를 올바르게 찾은 다음 붙여넣기 명령의 Windows 바로 가기 키(Ctrl+V)를 누릅니다.

인증서 및 NPS에 대한 자세한 내용은 PEAP 및 EAP 요구 사항에 대한 인증서 템플릿 구성을 참조 하세요.

NPS에 대한 더 자세한 내용은 네트워크 정책 서버를 참조하세요.