인증서 전파 서비스
인증서 전파 서비스(CertPropSvc)는 사용자가 디바이스에 연결된 판독기에서 스마트 카드 삽입할 때 활성화되는 Windows 서비스입니다. 이 작업을 수행하면 스마트 카드 인증서를 읽을 수 있습니다. 그러면 인증서가 사용자의 개인 저장소에 추가됩니다. 인증서 전파 서비스 작업은 그룹 정책 사용하여 제어됩니다. 자세한 내용은 스마트 카드 그룹 정책 및 레지스트리 설정을 참조하세요.
참고
스마트 카드 플러그 앤 플레이 작동하려면 인증서 전파 서비스를 실행해야 합니다.
다음 그림에서는 인증서 전파 서비스의 흐름을 보여줍니다. 로그인한 사용자가 스마트 카드 삽입하면 작업이 시작됩니다.
- 레이블이 1인 화살표는 사용자가 로그인할 때 SCM(서비스 제어 관리자)이 인증서 전파 서비스(CertPropSvc)에 알리고 CertPropSvc가 사용자 세션에서 스마트 카드를 모니터링하기 시작함을 나타냅니다.
- R 레이블이 지정된 화살표는 원격 세션의 가능성과 스마트 카드 리디렉션의 사용 가능성을 나타냅니다.
- 레이블이 2인 화살표는 판독기 인증을 나타냅니다.
- 레이블이 3인 화살표는 클라이언트 세션 중에 인증서 저장소에 대한 액세스를 나타냅니다.
- 로그인한 사용자가 스마트 카드 삽입합니다.
- CertPropSvc에 스마트 카드 삽입되었다는 알림이 표시됩니다.
- CertPropSvc는 삽입된 모든 스마트 카드에서 모든 인증서를 읽습니다. 인증서는 사용자의 개인 인증서 저장소에 기록됩니다.
참고
인증서 전파 서비스는 원격 데스크톱 서비스 종속성으로 시작됩니다.
인증서 전파 서비스의 속성은 다음과 같습니다.
-
CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES사용자의 개인 저장소에 인증서 추가 - 인증서에 속성이 있는
CERT_ENROLLMENT_PROP_ID경우(에서 정의wincrypt.h한 대로) 빈 요청을 필터링하고 현재 사용자의 요청 저장소에 배치하지만 사용자의 개인 저장소에 전파되지는 않습니다. - 이 서비스는 컴퓨터 인증서를 사용자의 개인 저장소에 전파하거나 컴퓨터 저장소에 사용자 인증서를 전파하지 않습니다.
- 서비스는 다음을 포함할 수 있는 설정된 그룹 정책 옵션에 따라 인증서를 전파합니다.
- 스마트 카드 인증서 전파 설정은 사용자의 인증서를 전파해야 하는지 여부를 지정합니다.
- 스마트 카드 루트 인증서 전파 켜기에서 루트 인증서 전파 여부를 지정합니다.
- 루트 인증서 정리 구성 은 루트 인증서를 제거하는 방법을 지정합니다.
루트 인증서 전파 서비스
루트 인증서 전파는 PKI(공개 키 인프라) 트러스트가 아직 설정되지 않은 경우 다음과 같은 스마트 카드 배포 시나리오를 담당합니다.
- 도메인 가입
- 원격으로 네트워크 액세스
두 경우 모두 컴퓨터가 도메인에 가입되지 않으므로 트러스트가 그룹 정책에 의해 관리되지 않습니다. 그러나 목표는 도메인 컨트롤러와 같은 원격 서버에 인증하는 것입니다. 루트 인증서 전파는 스마트 카드 사용하여 누락된 신뢰 체인을 포함하는 기능을 제공합니다.
스마트 카드 삽입되면 인증서 전파 서비스는 카드 모든 루트 인증서를 신뢰할 수 있는 스마트 카드 루트 컴퓨터 인증서 저장소로 전파합니다. 이 프로세스는 엔터프라이즈 리소스와 트러스트 관계를 설정합니다. 사용자의 스마트 카드 판독기에서 제거되거나 사용자가 로그아웃할 때 후속 정리 작업을 사용할 수도 있습니다. 그룹 정책을 사용하여 구성할 수 있습니다. 자세한 내용은 스마트 카드 그룹 정책 및 레지스트리 설정을 참조하세요.
루트 인증서 요구 사항에 대한 자세한 내용은 도메인 로그인에 사용하기 위한 스마트 카드 루트 인증서 요구 사항을 참조하세요.