WCF 어댑터에 대한 인증서 설치
WCF 어댑터에서는 메시지 암호화 및 암호 해독, 메시지 서명 및 확인(비거부), 클라이언트 인증 등의 용도로 PKI(공개 키 인프라) 디지털 인증서를 사용할 수 있습니다. 이 항목에서는 여러 가지 인증 사용 시나리오에 대해 설명하고 WCF 어댑터에서 디지털 인증서 사용을 위한 구성 옵션 지침을 소개합니다.
WCF 수신 위치에 대한 인증서 사용 시나리오
다음 표는 WCF 수신 위치에 대한 인증서 설치 방법을 보여 줍니다.
| 인증서 용도 | 사용자 컨텍스트 | 인증서 저장 위치 | 인증서 종류 | 인증서 설치 시기 |
|---|---|---|---|---|
| 수신 위치의 보안 설정에 따라 암호 해독 및 서명 | 수신 핸들러와 연결된 호스트 인스턴스에 사용되는 계정 | 수신 위치를 각 호스트 instance 서비스 계정으로 호스트하는 BizTalk Server 실행하는 각 컴퓨터에 로그온하고 서비스 인증서를 현재 사용자 \ 개인(내) 저장소로 가져옵니다. | 개인 인증서 | 다음 구성에서 서비스 인증서 - 지문 속성의 값을 지정합니다. - WCF-BasicHttp 수신 위치의 보안 모드 속성이 Message로 설정됩니다. - WCF-BasicHttp 수신 위치의 전송 클라이언트 자격 증명 형식 속성이 TransportCredentialOnly 보안 모드에 대한 인증서로 설정됩니다. - WCF-WSHttp 수신 위치의 메시지 클라이언트 자격 증명 유형 속성은 메시지 보안 모드에 대해 None, Certificate 또는 UserName으로 설정됩니다. - WCF-NetTcp 수신 위치의 전송 클라이언트 자격 증명 형식 속성이 전송 보안 모드에 대해 없음 또는 인증서로 설정됩니다. - WCF-NetTcp 수신 위치의 메시지 클라이언트 자격 증명 유형 속성은 메시지 보안 모드에 대해 None, UserName 또는 Certificate로 설정됩니다. - WCF-NetTcp 수신 위치의 메시지 클라이언트 자격 증명 형식 속성은 TransportWithMessageCredential 보안 모드에 대한 Windows, UserName 또는 인증서로 설정됩니다. - WCF-NetMsmq 보안 모드 속성이 Message 또는 Both로 설정됩니다. |
| 클라이언트 인증 | 해당 없음 | 수신 위치를 관리자로 호스트하는 BizTalk Server 실행하는 각 컴퓨터에 로그온하고 클라이언트 X.509 인증서에 대한 CA 인증서 체인을 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소로 가져와서 클라이언트가 이 수신 위치에 인증될 수 있도록 합니다. | 클라이언트 X.509 인증서에 대한 CA 인증서 체인 | 다음 구성을 사용하여 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 클라이언트 X.509 인증서에 대한 CA 인증서 체인을 설치합니다. - WCF-BasicHttp 수신 위치의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-WSHttp 수신 위치의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-NetTcp 수신 위치의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-NetMsmq 수신 위치의 메시지 클라이언트 자격 증명 유형 또는 MSMQ 인증 모드 속성이 인증서로 설정됩니다. |
참고
표준 WCF 수신 어댑터는 ChainTrust 모드를 사용하여 클라이언트 인증서의 유효성을 검사하므로 클라이언트 X.509 인증서에 대한 CA 인증서 체인을 설치해야 합니다. WCF-Custom 또는 WCF-CustomIsolated 어댑터를 사용하여 이 기본 동작을 변경할 수 있습니다.
참고
격리된 WCF 수신 어댑터의 경우 격리된 호스트 인스턴스와 해당 응용 프로그램 풀 사이의 사용자 계정이 일치해야 합니다. BizTalk 격리 호스트에 대한 자세한 내용은 웹 서비스 사용을 참조하세요.
참고
WCF-Custom 및 WCF-CustomIsolated 수신 위치의 경우 설치할 인증서의 사용자 컨텍스트, 인증서 저장소 위치 및 인증서 유형은 serviceCredentials 및 clientCredentials 동작 요소 설정에 따라 다릅니다.
참고
수신 위치에서 Endpoint Identity 속성에 대한 인증서 요소를 사용하는 경우 게시된 서비스 ID에 대한 인증서도 Endpoint Identity 속성에 지정된 인증서 저장소에 설치해야 합니다.
참고
호스트 인스턴스 서비스 계정 또는 관리자 계정을 사용하는 컴퓨터에 로그온하는 대신, 해당 계정에서 다음으로 실행 명령을 사용하여 동일한 작업을 수행할 수 있습니다.
WCF 송신 포트에 대한 인증서 사용 시나리오
다음 표는 WCF 송신 포트에 대한 인증서 설치 방법을 보여 줍니다.
| 인증서 용도 | 사용자 컨텍스트 | 인증서 저장 위치 | 인증서 종류 | 인증서 설치 시기 |
|---|---|---|---|---|
| 클라이언트 인증 | 송신 포트와 연결된 호스트 인스턴스에 사용되는 계정 | 송신 포트를 각 호스트 instance 서비스 계정으로 호스트하는 BizTalk Server 실행 중인 각 컴퓨터에 로그온하고 클라이언트 인증서를 현재 사용자 \ 개인(내) 저장소로 가져옵니다. | 개인 인증서 | 다음 구성에서 클라이언트 인증서 - 지문 속성의 값을 지정합니다. - WCF-BasicHttp 송신 포트의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-WSHttp 송신 포트의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-NetTcp 송신 포트의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - WCF-NetMsmq 송신 포트의 메시지 클라이언트 자격 증명 유형 또는 MSMQ 인증 모드 속성이 인증서로 설정됩니다. |
| 송신 포트의 보안 설정에 따른 서비스 인증, 서명 확인 및 암호화 | 해당 없음 | 송신 포트를 관리자로 호스트하는 BizTalk Server 실행 중인 각 컴퓨터에 로그온하고 서비스 인증서를 로컬 컴퓨터 \ 다른 사용자(AddressBook) 저장소로 가져옵니다. 또한 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 서비스 인증서에 대한 CA 인증서 체인을 설치해야 합니다. | - 서비스 공용 인증서 - 서비스 인증서에 대한 CA 인증서 체인 |
다음 구성에서 서비스 인증서 - 지문 속성의 값을 지정합니다. - WCF-BasicHttp 송신 포트의 메시지 클라이언트 자격 증명 유형 또는 전송 클라이언트 자격 증명 형식 속성이 인증서로 설정됩니다. - 서비스 자격 증명 협상 옵션을 선택 취소하면 WCF-WSHttp 송신 포트의 메시지 클라이언트 자격 증명 형식 속성이 None, UserName 또는 Certificate로 설정됩니다. - WCF-NetMsmq 송신 포트의 보안 모드 가 메시지 또는 둘 다로 설정됩니다. |
| 송신 포트의 보안 설정에 따른 서비스 인증, 서명 확인 및 암호화 | 해당 없음 | 송신 포트를 관리자로 호스트하는 BizTalk Server 실행하는 각 컴퓨터에 로그온하고 클라이언트 X.509 인증서의 CA 인증서 체인을 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소로 가져와서 서비스가 이 송신 포트에 인증될 수 있도록 합니다. | 서비스 인증서에 대한 CA 인증서 체인 | 서비스 인증서 - 지문 속성에 대한 서비스 인증서를 명시적으로 지정하지 않으면 다음 구성에서 서비스 X.509 인증서에 대한 CA 인증서 체인을 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 설치합니다. - WCF-BasicHttp 송신 포트의 보안 모드가 전송 또는 TransportWithMessageCredential로 설정됩니다. - WCF-WSHttp 송신 포트의 보안 모드가 전송 또는 TransportWithMessageCredential로 설정됩니다. - WCF-NetTcp 송신 포트의 보안 모드 가 TransportWithMessageCredential로 설정됩니다. - WCF-NetTcp 송신 포트의 전송 클라이언트 자격 증명 형식 속성이 없음 또는 인증서로 설정됩니다. - WCF-NetTcp 송신 포트의 메시지 클라이언트 자격 증명 형식 속성이 None, UserName 또는 Certificate로 설정됩니다. |
참고
표준 WCF 송신 어댑터는 ChainTrust 모드를 사용하여 서비스 인증서의 유효성을 검사하므로 서비스 X.509 인증서에 대한 CA 인증서 체인을 설치해야 합니다. WCF-Custom 또는 WCF-CustomIsolated 어댑터를 사용하여 이 기본 동작을 변경할 수 있습니다.
참고
WCF-Custom 및 WCF-CustomIsolated 송신 포트의 경우 설치할 인증서의 사용자 컨텍스트, 인증서 저장소 위치 및 인증서 유형 은 serviceCredentials 및 clientCredentials 동작 요소 설정에 따라 다릅니다.
참고
송신 포트가 Endpoint Identity 속성에 인증서 요소를 사용하는 경우 엔드 포인트 ID 속성에 지정된 인증서 저장소에 필요한 서비스 ID에 대한 인증서도 설치해야 합니다.
참고
호스트 인스턴스 서비스 계정 또는 관리자 계정을 사용하는 컴퓨터에 로그온하는 대신, 해당 계정에서 다음으로 실행 명령을 사용하여 동일한 작업을 수행할 수 있습니다.
인증서 관리 콘솔 표시
로컬 컴퓨터 및 현재 사용자에 대한 인증서 관리 콘솔 인터페이스를 표시하려면 다음 단계를 수행합니다.
시작을 클릭하고 실행을 클릭하고 MMC를 입력한 다음 확인을 클릭하여 Microsoft 관리 콘솔을 엽니다.
파일 메뉴에서 스냅인 추가/제거를 클릭하여 스냅인추가/제거 대화 상자를 표시합니다.
추가를 클릭하여 독립 실행형 스냅인 추가 대화 상자를 표시합니다.
스냅인 목록에서 인증서 를 선택한 다음 추가를 클릭합니다.
컴퓨터 계정을 선택하고 다음을 클릭한 후에 마침을 클릭합니다. 그러면 로컬 컴퓨터에 대한 인증서 관리 콘솔 인터페이스가 추가됩니다.
스냅인 목록에서 인증서 가 여전히 선택되어 있는지 확인하고 추가 를 다시 클릭합니다.
내 사용자 계정을 선택한 다음 마침을 클릭합니다. 그러면 현재 사용자에 대한 인증서 관리 콘솔 인터페이스가 추가됩니다.
참고
이렇게 하면 현재 로그온한 계정의 인증서 관리 콘솔이 표시됩니다. 인증서를 서비스 계정의 개인 저장소에 가져오려면 서비스 계정 자격 증명을 사용하여 로그온해야 합니다.
독립 실행형 스냅인 대화 상자에서 닫기를 클릭합니다.
스냅인 추가/제거 대화 상자에서 확인을 클릭합니다.