Share via

하이브리드 인증서 신뢰 모델에서 PKI 구성 및 유효성 검사

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

비즈니스용 Windows Hello 인증서 신뢰 모델을 사용할 때 PKI(공개 키 인프라)가 있어야 합니다. 도메인 컨트롤러에는 클라이언트에 대한 신뢰의 루트 역할을 하는 인증서가 있어야 합니다. 인증서는 클라이언트가 불량 도메인 컨트롤러와 통신하지 않도록 합니다.

하이브리드 인증서 신뢰 배포는 사용자에게 로그인 인증서를 발급하여 비즈니스용 Windows Hello 자격 증명을 사용하여 Active Directory에 인증할 수 있도록 합니다. 또한 하이브리드 인증서 신뢰 배포는 등록 기관에 인증서를 발급하여 사용자 인증 인증서를 발급할 때 심층 방어 보안을 제공합니다.

엔터프라이즈 인증 기관 배포

이 가이드에서는 대부분의 엔터프라이즈에 기존 공개 키 인프라가 있다고 가정합니다. 비즈니스용 Windows Hello Windows Server Active Directory 인증서 서비스 역할을 실행하는 엔터프라이즈 PKI에 따라 달라집니다.
기존 PKI가 없는 경우 인증 기관 지침을 검토하여 인프라를 올바르게 디자인합니다. 그런 다음, 디자인 세션의 정보를 사용하여 PKI를 구성하는 방법에 대한 지침은 테스트 랩 가이드: AD CS Two-Tier PKI 계층 구조 배포 를 참조하세요.

랩 기반 PKI

다음 지침은 랩 환경에 적합한 간단한 공개 키 인프라를 배포하는 데 사용할 수 있습니다.

CA(인증 기관)를 설치하려는 Windows Server에서 엔터프라이즈 관리자 와 동등한 자격 증명을 사용하여 로그인합니다.

참고

프로덕션 환경의 도메인 컨트롤러에 인증 기관을 설치하지 마세요.

  1. 관리자 권한 Windows PowerShell 프롬프트 열기
  2. 다음 명령을 사용하여 Active Directory 인증서 서비스 역할을 설치합니다. 
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
  3. 다음 명령을 사용하여 기본 인증 기관 구성을 사용하여 CA를 구성합니다.
    Install-AdcsCertificationAuthority

엔터프라이즈 PKI 구성

도메인 컨트롤러 인증서 구성

클라이언트는 도메인 컨트롤러를 신뢰해야 하며, 트러스트를 사용하도록 설정하는 가장 좋은 방법은 각 도메인 컨트롤러에 Kerberos 인증 인증서가 있는지 확인하는 것입니다. 도메인 컨트롤러에 인증서를 설치하면 KDC(키 배포 센터)가 도메인의 다른 멤버에게 해당 ID를 증명할 수 있습니다. 인증서는 클라이언트에게 도메인 외부의 신뢰 루트, 즉 엔터프라이즈 인증 기관을 제공합니다.

도메인 컨트롤러는 엔터프라이즈 CA가 Active Directory에 추가되는 것을 발견하면 도메인 컨트롤러 인증서 (게시된 경우)를 자동으로 요청합니다. 도메인 컨트롤러도메인 컨트롤러 인증 인증서 템플릿을 기반으로 하는 인증서에는 나중에 Kerberos RFC에 추가된 KDC OID(인증 개체 식별자)가 포함되지 않습니다. 따라서 도메인 컨트롤러는 Kerberos 인증 인증서 템플릿을 기반으로 인증서를 요청해야 합니다.

기본적으로 Active Directory CA는 Kerberos 인증 인증서 템플릿을 제공하고 게시합니다. 템플릿에 포함된 암호화 구성은 이전 및 덜 성능이 낮은 암호화 API를 기반으로 합니다. 도메인 컨트롤러가 사용 가능한 최상의 암호화를 사용하여 적절한 인증서를 요청하도록 하려면 Kerberos 인증 인증서 템플릿을 기준으로 사용하여 업데이트된 도메인 컨트롤러 인증서 템플릿을 만듭니다.

중요

도메인 컨트롤러에 발급된 인증서는 다음 요구 사항을 충족해야 합니다.

  • CRL(인증서 해지 목록) 배포 지점 확장은 유효한 CRL 또는 OCSP(온라인 인증서 상태 프로토콜) 응답자를 가리키는 AIA(기관 정보 액세스) 확장을 가리킵니다.
  • 필요에 따라 인증서 주체 섹션에는 서버 개체의 디렉터리 경로(고유 이름)가 포함될 수 있습니다.
  • 인증서 키 사용 섹션에는 디지털 서명키 암호화가 포함되어야 합니다.
  • 필요에 따라 인증서 기본 제약 조건 섹션에는 다음이 포함되어야 합니다. [Subject Type=End Entity, Path Length Constraint=None]
  • 인증서 확장 키 사용 섹션에는 클라이언트 인증(), 서버 인증(1.3.6.1.5.5.7.3.21.3.6.1.5.5.7.3.1) 및 KDC 인증(1.3.6.1.5.2.3.5)이 포함되어야 합니다.
  • 인증서 주체 대체 이름 섹션에는 DNS(도메인 이름 시스템) 이름이 포함되어야 합니다.
  • 인증서 템플릿에는 BMPstring으로 인코딩된 값DomainController이 있는 확장이 있어야 합니다. Windows Server Enterprise Certificate Authority를 사용하는 경우 이 확장은 도메인 컨트롤러 인증서 템플릿에 이미 포함되어 있습니다.
  • 도메인 컨트롤러 인증서는 로컬 컴퓨터의 인증서 저장소에 설치해야 합니다.

도메인 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.

  2. 인증서 템플릿 관리를 마우스 오른쪽 단추로 클릭합니다.>

  3. 인증서 템플릿 콘솔의 세부 정보 창에서 Kerberos 인증 템플릿을 마우스 오른쪽 단추로 클릭하고 템플릿 중복을 선택합니다.

  4. 다음 표를 사용하여 템플릿을 구성합니다.

    탭 이름 구성
    호환성
    • 결과 변경 내용 표시 검사 상자 지우기
    • 인증 기관 목록에서Windows Server 2016 선택합니다.
    • 인증 받는 사람 목록에서Windows 10/Windows Server 2016 선택합니다.
    General
    • 템플릿 표시 이름 지정(예: 도메인 컨트롤러 인증(Kerberos)
    • 유효 기간을 원하는 값으로 설정
    • 템플릿 표시 이름에서 공백을 뺀 값과 동일해야 하는 나중에 사용할 템플릿 이름을 기록해 둡
    주체 이름
    • 이 Active Directory 정보에서 빌드를 선택합니다.
    • 주체 이름 형식 목록에서 없음을 선택합니다.
    • 대체 제목 목록에 이 정보 포함 목록에서DNS 이름을 선택합니다.
    • 다른 모든 항목 지우기
    Cryptography
    • 공급자 범주키 스토리지 공급자로 설정
    • 알고리즘 이름을RSA로 설정
    • 최소 키 크기를2048로 설정
    • 요청 해시SHA256으로 설정

  5. 확인을 선택하여 변경 내용을 마무리하고 새 템플릿을 만듭니다.

  6. 콘솔 닫기

참고

Microsoft Entra 하이브리드 조인 디바이스에는 도메인 컨트롤러 인증서에 KDC 인증 OID를 포함할 필요가 없습니다. 조인된 디바이스를 Microsoft Entra 온-프레미스 리소스에 비즈니스용 Windows Hello 인증을 사용하도록 설정하려면 OID가 필요합니다.

중요

Microsoft Entra 조인된 디바이스가 온-프레미스 리소스에 인증하려면 다음을 수행합니다.

  • 디바이스의 신뢰할 수 있는 루트 인증서 저장소에 루트 CA 인증서를 설치합니다. Intune 통해 신뢰할 수 있는 인증서 프로필을 배포하는 방법을 참조하세요.
  • 웹 기반 URL과 같이 Microsoft Entra 조인된 디바이스에서 사용할 수 있는 위치에 인증서 해지 목록을 게시합니다.

기존 도메인 컨트롤러 인증서 대체

도메인 컨트롤러에는 기존 도메인 컨트롤러 인증서가 있을 수 있습니다. Active Directory 인증서 서비스는 도메인 컨트롤러 인증서라는 도메인 컨트롤러에 대한 기본 인증서 템플릿을 제공합니다. 이후 릴리스에서 Windows Server는 도메인 컨트롤러 인증 인증서라는 새 인증서 템플릿을 제공했습니다. 이러한 인증서 템플릿은 KDC 인증 확장을 포함하는 데 필요한 인증서 인증을 수행하는 KDC(키 배포 센터)를 명시한 Kerberos 사양을 업데이트하기 전에 제공되었습니다.

Kerberos 인증 인증서 템플릿은 도메인 컨트롤러에 대해 지정된 최신 인증서 템플릿이며 모든 도메인 컨트롤러에 배포하는 인증서 템플릿이어야 합니다.
자동 등록 기능을 사용하면 도메인 컨트롤러 인증서를 바꿀 수 있습니다. 다음 구성을 사용하여 Kerberos 인증 인증서 템플릿을 사용하여 이전 도메인 컨트롤러 인증서를 새 인증서로 바꿉니다.

엔터프라이즈 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.
  2. 인증서 템플릿 관리를 마우스 오른쪽 단추로 클릭합니다.>
  3. 인증서 템플릿 콘솔의 세부 정보 창에서 도메인 컨트롤러 인증(Kerberos) (또는 이전 섹션에서 만든 인증서 템플릿의 이름) 템플릿을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  4. 대체된 템플릿 탭을 선택합니다. 추가 선택
  5. 대체 템플릿 추가 대화 상자에서 도메인 컨트롤러 인증서 템플릿을 선택하고 확인 > 추가를 선택합니다.
  6. 대체 템플릿 추가 대화 상자에서 도메인 컨트롤러 인증 인증서 템플릿을 선택하고 확인을 선택합니다.
  7. 대체 템플릿 추가 대화 상자에서 Kerberos 인증 인증서 템플릿을 선택하고 확인을 선택합니다.
  8. 이전에 도메인 컨트롤러에 대해 구성된 다른 엔터프라이즈 인증서 템플릿을 대체된 템플릿 탭에 추가합니다.
  9. 확인을 선택하고 인증서 템플릿 콘솔을 닫습니다.

인증서 템플릿은 대체된 템플릿 목록에 제공된 모든 인증서 템플릿을 대체하도록 구성됩니다.
그러나 인증서 템플릿 및 인증서 템플릿의 대체는 템플릿이 하나 이상의 인증 기관에 게시될 때까지 활성화되지 않습니다.

참고

도메인 컨트롤러의 인증서는 NTAuth 저장소의 루트에 연결해야 합니다. 기본적으로 Active Directory 인증 기관의 루트 인증서는 NTAuth 저장소에 추가됩니다. 비 Microsoft CA를 사용하는 경우 기본적으로 이 작업을 수행하지 않을 수 있습니다. 도메인 컨트롤러 인증서가 NTAuth 저장소의 루트에 연결되지 않으면 사용자 인증이 실패합니다. NTAuth 저장소의 모든 인증서를 보려면 다음 명령을 사용합니다.

Certutil -viewstore -enterprise NTAuth

등록 에이전트 인증서 템플릿 구성

CRA(인증 등록 기관)는 인증서 요청의 유효성을 검사하는 신뢰할 수 있는 기관입니다. 요청의 유효성을 검사하면 발급을 위해 CA(인증 기관)에 요청을 표시합니다. CA는 인증서를 발급하고, 인증서를 CRA로 반환하며, 요청 중인 사용자에게 인증서를 반환합니다. 비즈니스용 Windows Hello 인증서 신뢰 배포는 AD FS를 CRA로 사용합니다.

CRA는 등록 에이전트 인증서를 등록합니다. CRA가 인증서 요청을 확인하면 등록 에이전트 인증서를 사용하여 인증서 요청에 서명하고 CA로 보냅니다. 비즈니스용 Windows Hello 인증 인증서 템플릿은 등록 에이전트 인증서로 서명된 인증서 요청에 대해서만 인증서를 발급하도록 구성됩니다. CA는 등록 기관이 인증서 요청에 서명하는 경우에만 해당 템플릿에 대한 인증서를 발급합니다.

중요

사용자 환경에서 사용되는 AD FS 서비스 계정에 따라 아래 절차를 따르세요.

GMSA(그룹 관리 서비스 계정)에 대한 등록 에이전트 인증서 만들기

도메인 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.

  2. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.

  3. 인증서 템플릿 콘솔에서 Exchange 등록 에이전트(오프라인 요청) 템플릿 세부 정보 창을 마우스 오른쪽 단추로 클릭하고 템플릿 중복을 선택합니다.

  4. 다음 표를 사용하여 템플릿을 구성합니다.

    탭 이름 구성
    호환성
    • 결과 변경 내용 표시 검사 상자 지우기
    • 인증 기관 목록에서Windows Server 2016 선택합니다.
    • 인증 받는 사람 목록에서Windows 10/Windows Server 2016 선택합니다.
    General
    • 템플릿 표시 이름 지정(예: WHFB 등록 에이전트)
    • 유효 기간을 원하는 값으로 설정
    주체 이름 요청에서 공급 선택

    참고: GMSA(그룹 관리 서비스 계정)는 이 Active Directory 정보에서 빌드 옵션을 지원하지 않으며 AD FS 서버가 등록 에이전트 인증서를 등록하지 못합니다. AD FS 서버가 등록 에이전트 인증서의 자동 등록 및 갱신을 수행할 수 있도록 요청에 Supply 를 사용하여 인증서 템플릿을 구성해야 합니다.
    Cryptography
    • 공급자 범주키 스토리지 공급자로 설정
    • 알고리즘 이름을RSA로 설정
    • 최소 키 크기를2048로 설정
    • 요청 해시SHA256으로 설정
    보안
    • 추가 선택
    • 개체 유형을 선택하고 서비스 계정 검사 상자를 선택합니다.
    • 확인을 선택합니다.
    • 개체 이름을 입력하여 텍스트 상자를 입력adfssvc 하고 확인을 선택합니다.
    • 그룹 또는 사용자 이름 목록에서 adfssvc를 선택합니다. adfssvc에 대한 권한 섹션에서 다음을 수행합니다.
      • adfssvc에 대한 사용 권한 섹션에서 등록 권한에 대한 검사 허용 상자를 선택합니다.
      • adfssvc 사용자를 제외하고 그룹 또는 사용자 이름 목록의 다른 모든 항목에 대한 등록자동 등록 권한에 대한 검사 허용 상자의 선택을 취소합니다.
    • 확인을 선택합니다.

  5. 확인을 선택하여 변경 내용을 마무리하고 새 템플릿을 만듭니다.

  6. 콘솔 닫기

표준 서비스 계정에 대한 등록 에이전트 인증서 만들기

도메인 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.

  2. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.

  3. 인증서 템플릿 콘솔에서 Exchange 등록 에이전트(오프라인 요청) 템플릿 세부 정보 창을 마우스 오른쪽 단추로 클릭하고 템플릿 중복을 선택합니다.

  4. 다음 표를 사용하여 템플릿을 구성합니다.

    탭 이름 구성
    호환성
    • 결과 변경 내용 표시 검사 상자 지우기
    • 인증 기관 목록에서 Windows Server 2016 선택합니다.
    • 인증서 수신자 목록에서 Windows 10/Windows Server 2016 선택합니다.
    General
    • 템플릿 표시 이름 지정(예: WHFB 등록 에이전트)
    • 유효 기간을 원하는 값으로 설정
    주체 이름
    • 이 Active Directory 정보에서 빌드를 선택합니다.
    • 주체 이름 형식 목록에서 완전히 구별된 이름을 선택합니다.
    • 대체 주체 이름에 이 정보 포함에서 UPN(사용자 계정 이름) 검사 상자를 선택합니다.
    Cryptography
    • 공급자 범주키 스토리지 공급자로 설정
    • 알고리즘 이름을RSA로 설정
    • 최소 키 크기를2048로 설정
    • 요청 해시SHA256으로 설정
    보안
    • 추가 선택
    • 개체 유형을 선택하고 서비스 계정 검사 상자를 선택합니다.
    • 확인을 선택합니다.
    • 개체 이름을 입력하여 텍스트 상자를 입력adfssvc 하고 확인을 선택합니다.
    • 그룹 또는 사용자 이름 목록에서 adfssvc를 선택합니다. adfssvc에 대한 권한 섹션에서 다음을 수행합니다.
      • adfssvc에 대한 사용 권한 섹션에서 등록 권한에 대한 검사 허용 상자를 선택합니다.
      • adfssvc 사용자를 제외하고 그룹 또는 사용자 이름 목록의 다른 모든 항목에 대한 등록자동 등록 권한에 대한 검사 허용 상자의 선택을 취소합니다.
    • 확인을 선택합니다.

  5. 확인을 선택하여 변경 내용을 마무리하고 새 템플릿을 만듭니다.

  6. 콘솔 닫기

비즈니스용 Windows Hello 인증 인증서 템플릿 구성

비즈니스용 Windows Hello 프로비저닝하는 동안 Windows 클라이언트는 사용자를 대신하여 인증 인증서를 요청하는 AD FS에서 인증 인증서를 요청합니다. 이 작업은 비즈니스용 Windows Hello 인증 인증서 템플릿을 구성합니다.

도메인 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.

  2. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.

  3. 인증서 템플릿 콘솔에서 스마트 카드 로그온 템플릿을 마우스 오른쪽 단추로 클릭하고 템플릿 중복을 선택합니다.

  4. 다음 표를 사용하여 템플릿을 구성합니다.

    탭 이름 구성
    호환성
    • 결과 변경 내용 표시 검사 상자 지우기
    • 인증 기관 목록에서Windows Server 2016 선택합니다.
    • 인증 받는 사람 목록에서Windows 10/Windows Server 2016 선택합니다.
    General
    • 템플릿 표시 이름 지정(예: WHFB 인증)
    • 유효 기간을 원하는 값으로 설정
    • 템플릿 표시 이름에서 공백을 뺀 값과 동일해야 하는 나중에 사용할 템플릿 이름을 기록해 둡
    주체 이름
    • 이 Active Directory 정보에서 빌드를 선택합니다.
    • 주체 이름 형식 목록에서 완전히 구별된 이름을 선택합니다.
    • 대체 주체 이름에 이 정보 포함에서 UPN(사용자 계정 이름) 검사 상자를 선택합니다.
    Cryptography
    • 공급자 범주키 스토리지 공급자로 설정
    • 알고리즘 이름을RSA로 설정
    • 최소 키 크기를2048로 설정
    • 요청 해시SHA256으로 설정
    확장명 애플리케이션 정책 확장에 스마트 카드 로그온이 포함되어 있는지 확인
    발급 요구 사항
    • 이 권한 있는 서명 수 검사 상자를 선택합니다. 텍스트 상자에 1 을 입력합니다.
    • 서명에 필요한 정책 유형에서애플리케이션 정책 선택
    • 애플리케이션 정책 목록에서 인증서 요청 에이전트를 선택합니다.
    • 기존 인증서 유효성 검사 옵션을 선택합니다.
    요청 처리 동일한 키 검사 사용하여 갱신 상자를 선택합니다.
    보안
    • 추가 선택
    • 비즈니스용 Windows Hello 등록하려는 사용자가 포함된 Active Directory 보안 그룹을 대상으로 지정합니다. 예를 들어 비즈니스용 Window Hello라는 그룹이 있는 경우 개체 이름 입력 텍스트 상자에 입력하고 확인을 선택합니다.
    • 그룹 또는 사용자 이름 목록에서 비즈니스용 Windows Hello 사용자를 선택합니다. 비즈니스용 Windows Hello 사용자에 대한 권한 섹션에서 다음을 수행합니다.
      • 등록 권한에 대한 검사 허용 상자를 선택합니다.
      • 위의 그룹(예: 비즈니스용 Window Hello)을 제외하고 검사 상자가 아직 선택 취소되지 않은 경우 그룹 또는 사용자 이름 섹션의 다른 모든 항목에 대한 등록자동 등록 권한에 대한 검사 허용 상자의 선택을 취소합니다.
    • 확인을 선택합니다.

  5. 확인을 선택하여 변경 내용을 마무리하고 새 템플릿을 만듭니다.

  6. 콘솔 닫기

템플릿을 Windows Hello 로그인 템플릿으로 표시합니다

엔터프라이즈 관리자에 해당하는 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인

관리자 권한 명령 프롬프트를 열고 다음 명령을 실행합니다.

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

템플릿이 성공적으로 변경된 경우 명령의 출력에는 템플릿 매개 변수의 이전 값과 새 값이 포함됩니다. 새 값에는 매개 변수가 CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY 포함되어야 합니다. 예제:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

참고

비즈니스용 Windows Hello 인증 인증서 템플릿에 다른 이름을 지정한 경우 위의 명령에서 를 인증서 템플릿의 이름으로 바꿉 WHFBAuthentication 있습니다. 템플릿 표시 이름이 아닌 템플릿 이름을 사용하는 것이 중요합니다. 인증서 템플릿 관리 콘솔(certtmpl.msc)을 사용하여 인증서 템플릿의 일반 탭에서 템플릿 이름을 볼 수 있습니다. 또는 인증 기관에서 ADCS 관리 Windows PowerShell cmdlet을 사용하여 Get-CATemplate 템플릿 이름을 볼 수 있습니다.

대체된 인증서 템플릿 게시 취소

인증 기관은 게시된 인증서 템플릿을 기반으로 인증서만 발급합니다. 보안을 위해 역할 설치에서 미리 게시된 템플릿 및 대체된 템플릿을 포함하여 CA가 발급하도록 구성되지 않은 인증서 템플릿을 게시 취소하는 것이 좋습니다.

새로 만든 도메인 컨트롤러 인증 인증서 템플릿은 이전 도메인 컨트롤러 인증서 템플릿을 대체합니다. 따라서 모든 발급 인증 기관에서 이러한 인증서 템플릿을 게시 취소해야 합니다.

엔터프라이즈 관리자와 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.
  2. 탐색 창 >인증서 템플릿에서 부모 노드 확장
  3. 도메인 컨트롤러 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 삭제를 선택합니다. 인증서 템플릿 사용 안 함 창에서 예를 선택합니다.
  4. 도메인 컨트롤러 인증Kerberos 인증 인증서 템플릿에 대해 3단계 반복

CA에 인증서 템플릿 게시

인증 기관은 인증서에 게시된 인증서 템플릿에 대해서만 인증서를 발급할 수 있습니다. CA가 둘 이상 있고 인증서 템플릿을 기반으로 인증서를 발급하는 CA가 더 많은 경우 인증서 템플릿을 게시해야 합니다.

엔터프라이즈 관리 동등한 자격 증명을 사용하여 CA 또는 관리 워크스테이션에 로그인합니다.

  1. 인증 기관 관리 콘솔 엽니다.
  2. 탐색 창에서 부모 노드 확장
  3. 탐색 창에서 인증서 템플릿 선택
  4. 인증서 템플릿 노드를 마우스 오른쪽 단추로 클릭합니다. 발급할 새 > 인증서 템플릿 선택
  5. 인증서 템플릿 사용 창에서 이전 단계에서 > 만든 도메인 컨트롤러 인증(Kerberos), WHFB 등록 에이전트WHFB 인증 템플릿을 선택합니다.
  6. 콘솔 닫기

중요

Microsoft Entra 조인된 디바이스를 배포하고 비즈니스용 Windows Hello 사용하여 로그인할 때 온-프레미스 리소스에 SSO(Single Sign-On)가 필요한 경우 절차에 따라 HTTP 기반 CRL 배포 지점을 포함하도록 CA를 업데이트합니다.

도메인 컨트롤러에 인증서 구성 및 배포

도메인 컨트롤러에 대한 자동 인증서 등록 구성

도메인 컨트롤러는 도메인 컨트롤러 인증서 템플릿에서 인증서를 자동으로 요청합니다. 그러나 도메인 컨트롤러는 인증서 템플릿의 최신 인증서 템플릿 또는 대체된 구성을 인식하지 못합니다. 도메인 컨트롤러가 인증서를 자동으로 등록하고 갱신하려면 자동 인증서 등록을 위해 GPO를 구성하고 도메인 컨트롤러 OU에 연결합니다.

  1. 그룹 정책 관리 콘솔(gpmc.msc)을 엽니다.
  2. 도메인을 확장하고 탐색 창에서 그룹 정책 개체 노드를 선택합니다.
  3. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택합니다.
  4. 이름 상자에 도메인 컨트롤러 자동 인증서 등록을 입력하고 확인을 선택합니다.
  5. 도메인 컨트롤러 자동 인증서 등록 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
  6. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.
  7. Windows 설정 > 보안 설정 > 공개 키 정책 확장
  8. 세부 정보 창에서 인증서 서비스 클라이언트 - 자동 등록을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  9. 구성 모델 목록에서 사용을 선택합니다.
  10. 만료된 인증서 갱신, 보류 중인 인증서 업데이트 및 해지된 인증서 제거 검사 확인란을 선택합니다.
  11. 인증서 템플릿을 사용하는 인증서 업데이트 검사 상자 선택
  12. 확인을 선택합니다.
  13. 그룹 정책 관리 편집기 닫습니다.

도메인 컨트롤러 자동 인증서 등록 GPO 배포

도메인 관리자에 해당하는 자격 증명을 사용하여 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

  1. 그룹 정책 관리 콘솔(gpmc.msc)을 시작합니다.
  2. 탐색 창에서 도메인을 확장하고 Active Directory 도메인 이름을 사용하여 노드를 확장합니다. 도메인 컨트롤러 조직 구성 단위를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결...을 선택합니다.
  3. GPO 선택 대화 상자에서 도메인 컨트롤러 자동 인증서 등록 또는 이전에 만든 도메인 컨트롤러 인증서 등록 그룹 정책 개체의 이름을 선택합니다.
  4. 확인을 선택합니다.

구성 유효성 검사

비즈니스용 Windows Hello는 표면상 복잡하고 어려워 보이는 분산 시스템입니다. 성공적인 배포의 핵심은 다음 단계로 이동하기 전에 작업 단계의 유효성을 검사하는 것입니다.

도메인 컨트롤러가 대체된 인증서 템플릿이 아닌 올바른 인증서를 등록했는지 확인합니다. 각 도메인 컨트롤러가 인증서 자동 등록을 완료되었는지 확인합니다.

이벤트 로그 사용

도메인 관리자에 해당하는 자격 증명을 사용하여 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

  1. 이벤트 뷰어 사용하여 애플리케이션 및 서비스>Microsoft>Windows>CertificateServices-Lifecycles-System 이벤트 로그로 이동합니다.
  2. 새 인증서 등록(자동 등록)을 나타내는 이벤트를 찾습니다.
    • 이벤트의 세부 정보에는 인증서가 발급된 인증서 템플릿이 포함됩니다.
    • 인증서를 발급하는 데 사용되는 인증서 템플릿의 이름은 이벤트에 포함된 인증서 템플릿 이름과 일치해야 합니다.
    • 인증서에 대한 인증서 지문 및 EKU도 이벤트에 포함됩니다.
    • 적절한 비즈니스용 Windows Hello 인증에 필요한 EKU는 인증서 템플릿에서 제공하는 다른 EKU 외에도 Kerberos 인증입니다.

새 도메인 컨트롤러 인증서로 대체된 인증서는 이벤트 로그에 보관 이벤트를 생성합니다. 보관 이벤트에는 인증서 템플릿 이름과 새 인증서로 대체된 인증서의 지문이 포함되어 있습니다.

인증서 관리자

인증서 관리자 콘솔을 사용하여 도메인 컨트롤러가 적절한 EKU가 있는 올바른 인증서 템플릿에 기반해 적절히 인증서를 등록했는지 확인할 수 있습니다. 로컬 컴퓨터 인증서 저장소에서 인증서를 보려면 certlm.msc를 사용합니다. 개인 저장소를 확장하여 컴퓨터에 등록된 인증서를 봅니다. 보관된 인증서는 인증서 관리자에 표시되지 않습니다.

certutil.exe

명령을 사용하여 certutil.exe 로컬 컴퓨터에서 등록된 인증서를 볼 수 있습니다. certutil은 로컬 컴퓨터에 등록되고 보관된 인증서를 표시합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.

certutil.exe -q -store my

저장소의 각 인증서에 대한 자세한 정보를 보고 적절한 인증서를 등록한 자동 인증서 등록의 유효성을 검사하려면 다음 명령을 사용합니다.

certutil.exe -q -v -store my

문제 해결

Windows는 부팅 도중 및 그룹 정책 업데이트 시 컴퓨터의 자동 인증서 등록을 트리거합니다. 관리자 권한 명령 프롬프트에서 gpupdate.exe /force를 사용하여 그룹 정책을 새로 고침할 수 있습니다.

또는 관리자 권한 명령 프롬프트에서 certreq.exe -autoenroll -q를 사용하여 강제로 자동 인증서 등록을 트리거할 수 있습니다.

인증서 등록 및 보관을 모니터링하려면 이벤트 로그를 사용합니다. 인증서 템플릿을 발급 인증 기관에 게시 하고 자동 등록 허용 권한과 같은 구성을 검토합니다.

섹션 검토 및 다음 단계

다음 섹션으로 이동하기 전에 다음 단계가 완료되었는지 확인합니다.

  • 도메인 컨트롤러 인증서 구성
  • 기존 도메인 컨트롤러 인증서 대체
  • 대체된 인증서 템플릿 게시 취소
  • 등록 에이전트 인증서 템플릿 구성
  • 인증 인증서 템플릿 구성
  • CA에 인증서 템플릿 게시
  • 도메인 컨트롤러에 인증서 배포
  • 도메인 컨트롤러 구성의 유효성 검사

다음: AD FS 구성 >