클라이언트 인증서 매핑 인증 <clientCertificateMappingAuthentication>

아티클
07/19/2023

개요

<clientCertificateMappingAuthentication> 요소의 요소는 Active Directory를 <authentication> 사용하여 클라이언트 인증서 매핑을 IIS(인터넷 정보 서비스) 7에 사용할 수 있는지 여부를 지정합니다.

참고

Active Directory를 사용한 클라이언트 인증서 매핑 인증은 다음과 같은 방법으로 IIS를 사용하는 클라이언트 인증서 매핑 인증 과 다릅니다.

Active Directory를 사용한 클라이언트 인증서 매핑 인증 - 이 인증 방법을 사용하려면 IIS 7 서버가 Active Directory 도메인의 멤버이고 사용자 계정이 Active Directory에 저장되어야 합니다. 이 클라이언트 인증서 인증 방법은 Active Directory 서버로의 왕복으로 인해 성능이 저하되었습니다.
IIS 클라이언트 인증서 매핑 인증 - 이 인증 방법에는 Active Directory가 필요하지 않으므로 독립 실행형 서버에서 작동합니다. 이 클라이언트 인증서 인증 방법은 성능을 향상했지만 더 많은 구성이 필요하며 매핑을 만들기 위해 클라이언트 인증서에 액세스해야 합니다.

자세한 내용은 Microsoft TechNet 웹 사이트에서 IIS 7.0에서 인증 구성 을 참조하세요.

호환성

버전	참고
IIS 10.0	`<clientCertificateMappingAuthentication>` 요소가 IIS 10.0에서 수정되지 않았습니다.
IIS 8.5	`<clientCertificateMappingAuthentication>` 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0	`<clientCertificateMappingAuthentication>` 요소가 IIS 8.0에서 수정되지 않았습니다.
IIS 7.5	`<clientCertificateMappingAuthentication>` 요소가 IIS 7.5에서 수정되지 않았습니다.
IIS 7.0	`<clientCertificateMappingAuthentication>` 요소의 `<authentication>` 요소는 IIS 7.0에서 도입되었습니다.
IIS 6.0	해당 없음

설치 프로그램

<clientCertificateMappingAuthentication> 요소는 IIS 7 이상의 기본 설치에서 사용할 수 없습니다. 설치하려면 다음 단계를 사용합니다.

Windows Server 2012 또는 Windows Server 2012 R2

작업 표시줄에서 서버 관리자를 클릭합니다.
서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.
역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.
서버 역할 페이지에서 웹 서버(IIS)를 확장하고 웹 서버를 확장하고 보안을 확장한 다음 클라이언트 인증서 매핑 인증을 선택합니다. 다음을 클릭합니다.
.
기능 선택 페이지에서 다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.
제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
인터넷 정보 서비스를 확장하고 World Wide Web Services를 확장하고 보안을 확장한 다음 클라이언트 인증서 매핑 인증을 선택합니다.
확인을 클릭합니다.
닫기를 클릭합니다.

Windows Server 2008 또는 Windows Server 2008 R2

작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.
서버 관리자 계층 구조 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.
웹 서버(IIS) 창에서 Role Services 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.
역할 서비스 추가 마법사의 역할 서비스 선택 페이지에서 클라이언트 인증서 매핑 인증을 선택하고 다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows Vista 또는 Windows 7

작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
인터넷 정보 서비스를 확장한 다음 클라이언트 인증서 매핑 인증을 선택한 다음 확인을 클릭합니다.

방법

서버에 대해 클라이언트 인증서 매핑 인증을 사용하도록 설정하는 방법

IIS(인터넷 정보 서비스) 관리자를 엽니다.
- Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:
  - 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.
- Windows 8 또는 Windows 8.1 사용하는 경우:
  - Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
  - 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.
- Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:
  - 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.
- Windows Vista 또는 Windows 7을 사용하는 경우:
  - 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
  - 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.
연결 창에서 서버 이름을 클릭합니다.
서버의 홈 창에서 인증을 두 번 클릭합니다.
인증 페이지의 작업 창에서 사용을 클릭합니다.

구성

특성

attribute Description

enabled 선택적 부울 특성입니다.

Active Directory를 사용하여 클라이언트 인증서 매핑 인증을 사용할 수 있는지 여부를 지정합니다. 이 설정을 적용하려면 IIS 관리자를 사용하여 이 특성을 설정해야 합니다. 다른 메서드를 사용하여 이 특성을 설정하는 경우 설정이 적용되려면 웹 서버를 다시 시작해야 합니다.

기본값은 false입니다.

attribute	Description
`enabled`	선택적 부울 특성입니다. Active Directory를 사용하여 클라이언트 인증서 매핑 인증을 사용할 수 있는지 여부를 지정합니다. 이 설정을 적용하려면 IIS 관리자를 사용하여 이 특성을 설정해야 합니다. 다른 메서드를 사용하여 이 특성을 설정하는 경우 설정이 적용되려면 웹 서버를 다시 시작해야 합니다. 기본값은 `false`입니다.

자식 요소

없음

구성 샘플

다음 구성 샘플에서는 기본 웹 사이트에 대해 Active Directory를 사용하여 클라이언트 인증서 매핑 인증을 사용하도록 설정하고 SSL을 요구하고 클라이언트 인증서를 협상하도록 사이트를 구성합니다.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
          <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <clientCertificateMappingAuthentication enabled="true" />
         </authentication>
     </security>
   </system.webServer>
</location>

샘플 코드

다음 코드 샘플은 기본 웹 사이트에 대해 Active Directory를 사용하여 클라이언트 인증서 매핑 인증을 사용하도록 설정하고 SSL을 요구하고 클라이언트 인증서를 협상하도록 사이트를 구성합니다.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/access /sslFlags:"Ssl, SslNegotiateCert" /commit:apphost

참고

AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection clientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site");
         clientCertificateMappingAuthenticationSection["enabled"] = true;

         ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
         accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim clientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site")
      clientCertificateMappingAuthenticationSection("enabled") = True

      Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
      accessSection("sslFlags") = "Ssl, SslNegotiateCert"

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;

var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True

Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"

adminManager.CommitChanges()

다음을 통해 공유