다음을 통해 공유


네트워크 액세스를 위한 확장 가능 인증 프로토콜 (EAP)

확장 가능 인증 프로토콜 (EAP)는 보안 네트워크 액세스 기술에 다양한 인증 방법을 사용할 수 있는 인증 프레임워크입니다. 이러한 기술의 예로는 IEEE 802.1X를 사용한 무선 액세스, IEEE 802.1X를 사용한 유선 액세스, 가상 사설망 (VPN)과 같은 지점 간 프로토콜 (PPP) 연결 등이 있습니다. EAP는 MS-CHAP v2와 같은 특정 인증 방식이 아닌, 네트워크 공급업체가 EAP 방식으로 알려진 새로운 인증 방식을 개발하여 액세스 클라이언트 및 인증 서버에 설치할 수 있도록 지원하는 프레임워크입니다. EAP 프레임워크는 원래 RFC 3748에 의해 정의되고 다양한 다른 RFC 및 표준에 의해 확장됩니다.

인증 방법

터널링된 EAP 방법 내에서 사용되는 EAP 인증 방법은 일반적으로 내부 방법 또는 EAP 종류 라고 합니다 . 내부 메서드로 설정된 메서드는 외부 메서드 로 사용될 때와 동일한 구성 설정을 가집니다. 이 문서에는 EAP의 다음 인증 방법과 관련된 구성 정보가 포함되어 있습니다.

EAP-전송 계층 보안 (EAP-TLS): 상호 인증을 위해 인증서와 함께 TLS를 사용하는 표준 기반 EAP 메서드입니다. Windows에서 스마트 카드 또는 기타 인증서(EAP-TLS)로 나타납니다. EAP-TLS는 다른 EAP 방법의 내부 방법 또는 설치형 EAP 방법으로 배포할 수 있습니다.

인증서 기반인 EAP-TLS를 사용하는 EAP 메서드는 일반적으로 최고 수준의 보안을 제공합니다. 예를 들어 EAP-TLS는 WPA3-Enterprise 192비트 모드에 허용되는 유일한 EAP 방법입니다.

EAP-Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(EAP-MSCHAP v2): 인증을 위해 사용자 이름과 암호를 사용하는 MSCHAP v2 인증 프로토콜을 캡슐화하는 Microsoft 정의 EAP 메서드입니다. Windows에서 보안 암호(EAP-MSCHAP v2)로 나타납니다. EAP-MSCHAPv2는 VPN의 설치형 방법으로 사용할 수 있지만 유선/무선의 내부 방법 으로만 사용할 수 있습니다.

경고

MSCHAPv2 기반 연결은 NTLMv1과 유사한 공격을 받습니다. Windows 11 Enterprise 버전 22H2(빌드 22621)를 사용하면 MSCHAPv2 기반 연결에 문제가 발생할 수 있는 Windows Defender Credential Guard를 사용할 수 있습니다.

보호된 EAP (PEAP): TLS 터널 내에서 EAP를 캡슐화하는 Microsoft 정의 EAP 메서드입니다. TLS 터널은 내부 EAP 메서드를 보호하며, 그렇지 않으면 보호되지 않을 수 있습니다. Windows는 EAP-TLS 및 EAP-MSCHAP v2를 내부 메서드로 지원합니다.

EAP 터널 전송 계층 보안 (EAP-TTLS): RFC 5281에서 설명한 내용은 다른 내부 인증 메커니즘을 사용하여 상호 인증을 수행하는 TLS 세션을 캡슐화합니다. 이 내부 메서드는 EAP-MSCHAP v2와 같은 EAP 프로토콜 또는 암호 인증 프로토콜 (PAP)와 같은 비 EAP 프로토콜일 수 있습니다. Windows Server 2012에서 EAP-TTLS를 포함하면 클라이언트 쪽(Windows 8)에서만 지원됩니다. 현재 NPS는 EAP-TTLS을 지원하지 않습니다. 클라이언트 지원을 사용하면 EAP-TTLS를 지원하는 일반적으로 배포된 RADIUS 서버와의 상호 운용이 가능합니다.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication 및 키 계약 (EAP-AKA) 및 EAP-AKA 프라임(EAP-AKA'): 다양한 RFC에서 설명하고 SIM 카드를 사용하여 인증을 사용하도록 설정하며 고객이 통신사로부터 무선 광대역 서비스 계획을 구매할 때 구현됩니다. 일반적으로 고객은 SIM 인증을 위해 미리 구성된 무선 프로필을 계획의 일부로 받습니다.

터널 EAP (TEAP): RFC 7170에서 설명하는 터널된 EAP 메서드는 보안 TLS 터널을 설정하고 해당 터널 내에서 다른 EAP 메서드를 실행합니다. EAP 체인을 지원합니다. 한 인증 세션 내에서 컴퓨터와 사용자를 인증합니다. Windows Server 2022에서 TEAP를 포함하면 클라이언트 쪽인 Windows 10 버전 2004(빌드 19041)만 지원됩니다. 현재 NPS는 TEAP을 지원하지 않습니다. 클라이언트 지원을 사용하면 TEAP를 지원하는 일반적으로 배포된 RADIUS 서버와의 상호 운용이 가능합니다. Windows는 EAP-TLS 및 EAP-MSCHAP v2를 내부 메서드로 지원합니다.

다음 표에서는 몇 가지 일반적인 EAP 메서드와 IANA 할당 메서드 형식 번호를 나열합니다.

EAP 메서드 IANA 할당 형식 번호 네이티브 Windows 지원
MD5-과제 (EAP-MD5) 4
일회용 암호 (EAP-OTP) 5
일반 토큰 카드 (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
보호된 일회용 암호 (EAP-POTP) 32
EAP-FAST 43
미리 공유한 키 (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

EAP 속성 구성하기

다음과 같은 방법으로 802.1X 인증 유선 및 무선 액세스에 대한 EAP 속성에 액세스할 수 있습니다.

  • 그룹 정책에서 유선 네트워크(IEEE 802.3) 정책 및 무선 네트워크(IEEE 802.11) 정책 확장 구성
    • 컴퓨터 구성>정책>Windows 설정>보안 설정
  • Intune(Wi-Fi/유선)과 같은 모바일 장치 관리 (MDM) 소프트웨어 사용
  • 클라이언트 컴퓨터에서 유선 또는 무선 연결을 수동으로 구성합니다.

다음과 같은 방법으로 가상 사설망 (VPN) 연결에 대한 EAP 속성에 액세스할 수 있습니다.

  • Intune과 같은 모바일 장치 관리 (MDM) 소프트웨어 사용
  • 클라이언트 컴퓨터에서 VPN 연결을 수동으로 구성합니다.
  • 연결 관리자 관리 키트 (CMAK)를 사용하여 VPN 연결을 구성합니다.

EAP 속성을 구성하는 방법에 대한 자세한 내용은 Windows에서 EAP 프로필 및 설정 구성하기를 참조 하세요.

EAP용 XML 프로필

다양한 연결 형식에 사용되는 프로필은 해당 연결에 대한 구성 옵션을 포함하는 XML 파일입니다. 각 연결 유형은 특정 스키마를 따릅니다.

그러나 EAP를 사용하도록 구성된 경우 각 프로필 스키마에는 자식 요소 EapHostConfig 요소가 있습니다.

  • 유선/무선: EapHostConfigEAPConfig 요소의 자식 요소입니다. MSM > 보안(유선/무선) > OneX > EAPConfig
  • VPN: EapHostConfigNativeProfile > 인증 > Eap > 구성의 자식 요소입니다.

이 구성 구문은 그룹 정책: 무선/유선 프로토콜 확장 사양에 정의되어 있습니다.

참고

다양한 구성 UI가 항상 기술적으로 가능한 모든 옵션을 표시하지는 않습니다. 예를 들어 Windows Server 2019 및 이전 버전에서는 UI에서 TEAP를 구성할 수 없습니다. 그러나 이전에 구성한 기존 XML 프로필을 가져올 수 있는 경우가 많습니다.

문서의 나머지 부분은 그룹 정책/제어판 UI의 EAP 특정 부분과 XML 구성 옵션 간의 매핑을 제공하고 설정에 대한 설명을 제공하기 위한 것입니다.

XML 프로필 구성에 대한 자세한 내용은 XML 프로필에서 찾을 수 있습니다. EAP 설정이 포함된 XML 프로필을 사용하는 예제는 웹 사이트를 통해 Wi-Fi 프로필 프로비전에서 찾을 수 있습니다.

보안 설정

다음 표에서는 802.1X를 사용하는 프로필에 대한 구성 가능한 보안 설정을 설명합니다. 이러한 설정은 OneX에 매핑됩니다.

설정 XML 요소 설명
네트워크 인증 방법 선택: EAPConfig 인증에 사용할 EAP 방법을 선택할 수 있습니다. 인증 방법 구성 설정셀룰러 인증 구성 설정 참조
속성 선택한 EAP 메서드에 대한 속성 대화 상자를 엽니다.
인증 모드 authMode 인증에 사용되는 자격 증명의 형식을 지정합니다. 지원되는 값은 다음과 같습니다:

1. 사용자 또는 컴퓨터 인증
2. 컴퓨터 인증
3. 사용자 인증
4. 게스트 인증.

이 컨텍스트에서 "Computer"는 다른 참조에서 "컴퓨터"를 의미합니다. machineOrUser 은 Windows에서 기본값입니다.
최대 인증 실패 횟수 maxAuthFailures 자격 증명 집합에 허용되는 최대 인증 실패 횟수를 지정합니다. 기본값은 다음과 같습니다 1.
이 네트워크에 대한 후속 연결에 대한 사용자 정보 캐시 cacheUserData 동일한 네트워크에 대한 후속 연결을 위해 사용자의 자격 증명을 캐시할지 여부를 지정합니다. 기본값은 다음과 같습니다 true.

고급 보안 설정 > IEEE 802.1X

고급 802.1X 설정 적용을 선택하면 다음 설정이 모두 구성됩니다. 선택 취소된 경우 기본 설정이 적용됩니다. XML에서 모든 요소는 선택 사항이며, 기본값이 없는 경우 사용됩니다.

설정 XML 요소 설명
최대 EAPOL-Start 메시지 수 maxStart 지원자(Windows 클라이언트)가 인증자가 없다고 가정하기 전에 인증자(RADIUS 서버)로 보낼 수 있는 최대 EAPOL 시작 메시지 수를 지정합니다. 기본값은 다음과 같습니다 3.
시작 기간(초) startPeriod 802.1X 인증 프로세스를 시작하기 위해 EAPOL 시작 메시지가 전송되기 전에 대기할 기간(초)을 지정합니다. 기본값은 다음과 같습니다 5.
대기 기간(초) heldPeriod 인증을 다시 시도하지 못한 후 대기할 기간(초)을 지정합니다. 기본값은 1.입니다.
인증 기간(초) authPeriod 인증자가 없다고 가정하기 전에 인증자(RADIUS 서버)의 응답을 기다리는 기간(초)을 지정합니다. 기본값은 다음과 같습니다 18.
Eapol-Start 메시지 supplicantMode EAPOL-Start 메시지에 사용되는 전송 방법을 지정합니다. 지원되는 값은 다음과 같습니다:

1. 전송 안 함(inhibitTransmission)
2. 수신 (includeLearning)
3. IEEE 802.1X당 전송 (compliant)

이 컨텍스트에서 "Computer"는 다른 참조에서 "컴퓨터"를 의미합니다. compliant 는 Windows의 기본값이며 무선 프로필에 대한 유일한 유효한 옵션입니다.

고급 보안 설정 > Single Sign-On

다음 표에서는 이전에 사전 로그온 액세스 공급자 (PLAP)로 알려진 Single Sign On (SSO)에 대한 설정을 설명합니다.

설정 XML 요소 설명
이 네트워크에 SSO 사용 singleSignOn 이 네트워크에 대해 SSO를 사용할 수 있는지 여부를 지정합니다. 기본값은 .입니다 false. 네트워크에 필요하지 않은 경우 프로필에서 사용하지 singleSignOn 마세요.
사용자 직전에 수행

사용자 직후 수행
type 사용자가 로그온하기 전이나 후에 SSO를 수행해야 하는 시기를 지정합니다.
연결 최대 지연 시간(초) maxDelay SSO 시도가 실패하기 전의 최대 지연 시간(초)을 지정합니다. 기본값은 10입니다.
Single Sign-On 중에 추가 대화 상자 표시 허용 allowAdditionalDialogs SSO 중에 EAP 대화 상자를 표시할 수 있도록 허용할지 여부를 지정하고 기본값은 false.입니다.
이 네트워크에서 컴퓨터와 사용자 자격 증명 인증에 다른 VLAN 사용 userBasedVirtualLan 디바이스에서 사용하는 VLAN(가상 LAN)이 사용자의 자격 증명에 따라 변경되는지 여부를 지정합니다. 기본값은 다음과 같습니다 false.

인증 방법 구성 설정

주의

터널된 EAP 방법(예: PEAP) 및 터널되지 않은 EAP 메서드(예: EAP-MSCHAP v2)에 대해 동일한 유형의 인증 방법을 허용하도록 네트워크 액세스 서버가 구성된 경우 잠재적인 보안 취약성이 있습니다. 터널링된 EAP 방법과 EAP(보호되지 않음)를 모두 배포하는 경우 동일한 인증 유형을 사용하지 마세요. 예를 들어 PEAP-TLS를 배포하는 경우 EAP-TLS도 배포하지 마세요. 터널의 보호가 필요한 경우 터널 외부에서도 메서드를 실행할 수 있도록 허용하는 용도가 없기 때문입니다.

다음 표에서는 각 노드의 구성 방식에 대한 구성 가능한 설정에 대해 설명합니다.

UI의 EAP-TLS 설정은 EapTlsConnectionPropertiesV1에 매핑되며 EapTlsConnectionPropertiesV2EapTlsConnectionPropertiesV3에 의해 확장됩니다.

설정 XML 요소 설명
내 스마트 카드 사용 CredentialsSource > SmartCard 인증 요청을 한 클라이언트가 네트워크 인증을 위해 스마트 카드 인증서를 제공하도록 지정합니다.
이 컴퓨터의 인증서 사용 CredentialsSource > CertificateStore 인증 클라이언트가 현재 사용자 또는 로컬 컴퓨터 인증서 저장소에 있는 인증서를 사용해야 하도록 지정합니다.
간단한 인증서 선택 사용(권장) SimpleCertSelection Windows에서 사용자 상호 작용 없이 인증을 위해 인증서를 자동으로 선택할지(가능한 경우) 또는 Windows에서 사용자가 인증서를 선택할 수 있는 드롭다운을 표시할지 여부를 지정합니다.
고급 인증서 선택 구성 대화 상자를 엽니다.
서버 유효성 검사 옵션
연결에 다른 사용자 이름 사용 DifferentUsername 인증 시에 인증서에 나와 있는 사용자 이름과 다른 사용자 이름을 사용할지 여부를 지정합니다.

다음은 인증서 선택 구성에 대한 구성 설정을 나열합니다. 이러한 설정은 클라이언트가 인증에 적합한 인증서를 선택하는 데 사용하는 조건을 정의합니다. 이 UI는 TLSExtensions > FilteringInfo에 매핑됩니다.

설정 XML 요소 설명
인증서 발급자 CAHashList Enabled="true" 인증서 발급자 필터링을 사용할지 여부를 지정합니다.

인증서 발급자확장 키 사용 (EKU) 를 모두 사용하는 경우 두 조건을 모두 충족하는 인증서만 클라이언트를 서버에 인증하는 데 유효한 것으로 간주됩니다.

루트 인증 기관 IssuerHash 해당 CA(인증 기관) 인증서가 로컬 컴퓨터 계정의 신뢰할 수 있는 루트 인증 기관 또는 중간 인증 기관 인증서 저장소에 있는 모든 발급자의 이름을 나열합니다. 다음 내용이 포함됩니다.

1. 모든 루트 인증 기관 및 중간 인증 기관.
2. 컴퓨터에 해당하는 유효한 인증서(예: 만료되지 않았거나 해지되지 않은 인증서)가 있는 발급자만 포함합니다.
3. 인증에 허용되는 최종 인증서 목록에는 이 목록에서 선택한 발급자가 발급한 인증서만 포함됩니다.

XML에서 인증서의 SHA-1 지문(해시)입니다.

확장된 키 사용 (EKU) 모든 용도 , 클라이언트 인증 , 모든 목적 또는 이들의 조합을 선택할수 있습니다. 조합을 선택할 때 세 가지 조건 중 하나 이상을 충족하는 모든 인증서가 서버에 클라이언트를 인증하는 데 유효한 인증서로 간주되도록 지정합니다. EKU 필터링을 사용하는 경우 선택 항목 중 하나를 선택해야 합니다. 그렇지 않으면 확장 키 사용 (EKU) 확인란이 선택 취소됩니다.
모든 용도 AllPurposeEnabled 이 항목을 선택하면 다용도 EKU가 있는 인증서가 서버에 클라이언트를 인증하는 데 유효한 인증서로 간주되도록 지정합니다. 모든 용도에 대한 개체 식별자 (OID)가 0 있거나 비어 있습니다.
클라이언트 인증 ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) 클라이언트 인증 EKU 및 지정된 EKU 목록이 있는 인증서가 서버에 클라이언트를 인증하는 데 유효한 인증서로 간주되도록 지정합니다. 클라이언트 인증에 대한 개체 식별자 (OID)입니다.1.3.6.1.5.5.7.3.2
모든용도 AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) 모든용도 EKU 및 지정된 EKU 목록이 있는 모든 인증서는 서버에 클라이언트를 인증하는 데 유효한 인증서로 간주되도록 지정합니다. 모든용도의 개체 식별자 (OID)는 1.3.6.1.4.1.311.10.12.1.
추가 EKUMapping > EKUMap > EKUName/EKUOID EKU 선택 대화 상자를 열면 표준, 사용자 지정 또는 공급업체 특정 EKU를 클라이언트 인증 또는 모든용도 목록에 추가하실 수 있습니다.

EKU 선택 대화 상자에서 추가 또는 편집을 선택하면 두 가지 옵션을 제공하는 EKU 추가/편집 대화 상자가 열립니다.
1.EKU 의 이름 입력 - 사용자 지정 EKU 의 이름을 입력할 수 있는 위치를 제공합니다.
2. EKU OID 입력하기 - EKU에 대한 OID를 입력할 수 있는 위치를 제공합니다. 숫자, 구분 기호 . 만 사용할 수 있습니다. 와일드카드는 계층의 모든 하위 OID가 허용되는 경우에 허용됩니다.

예를 들어 입력 1.3.6.1.4.1.311.* 은 허용 및 1.3.6.1.4.1.311.42.1.3.6.1.4.1.311.42.2.1

편집 추가한 사용자 지정 EKU를 편집할 수 있습니다. 미리 정의된 기본 EKU는 편집할 수 없습니다.
제거 클라이언트 인증 또는 모든용도 목록에서 선택한 EKU 를 제거합니다.

서버 유효성 검사

많은 EAP 메서드에는 클라이언트가 서버 인증서의 유효성을 검사하는 옵션이 포함되어 있습니다. 서버 인증서의 유효성이 검사되지 않으면 클라이언트가 올바른 서버와 통신하고 있는지 확인할 수 없습니다. 이렇게 하면 클라이언트가 무의식적으로 불량 네트워크에 연결할 수 있는 가능성을 포함하여 보안 위험에 클라이언트가 노출됩니다.

참고

Windows에는 서버 인증서에 서버 인증 EKU가 있어야 합니다. 이 EKU의 개체 식별자 (OID)는 1.3.6.1.5.5.7.3.1 입니다.

다음 표에서는 각 EAP 메서드에 적용할 수 있는 서버 유효성 검사 옵션을 나열합니다. Windows 11은 서버 유효성 검사 논리를 보다 일관되게 업데이트했습니다(Windows 11의 업데이트된 서버 인증서 유효성 검사 동작 참조). 충돌하는 경우 다음 표의 설명은 Windows 10 이하의 동작에 대해 설명합니다.

설정 XML 요소 설명
인증서 유효성 검사를 통해 서버의 ID 검증 EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation
이 항목은 클라이언트가 클라이언트 컴퓨터에 제공된 서버 인증서에 올바른 서명이 있는지, 만료되지 않았는지, 신뢰할 수 있는 루트 인증 기관 (CA)에서 발급되었는지 확인하도록 지정합니다.

이 확인란을 사용하지 않도록 설정하면 클라이언트 컴퓨터가 인증 프로세스 중에 서버의 ID를 확인할 수 없게 됩니다. 서버 인증을 수행하지 않으면 사용자 자신도 모르는 사이에 악성 네트워크에 연결될 가능성을 포함하여 사용자가 심각한 보안 위험에 노출될 수 있습니다.

다음 서버에 연결 EAP-TLS:
ServerValidation > ServerNames

PEAP:
ServerValidation > ServerNames

EAP-TTLS:
서버 유효성 검사>
ServerNames

TEAP:
서버 유효성 검사>
ServerNames
네트워크 인증 및 권한 부여를 제공하는 Remote Authentication Dial-In User Service (RADIUS) 서버의 이름을 지정할 수 있습니다.

각 RADIUS 서버 인증서의 주체 필드에 표시되는 대로 이름을 정확하게 입력하거나 정규식(regex)을 사용하여 서버 이름을 지정해야 합니다.

정규식의 전체 구문을 사용하여 서버 이름을 지정할 수 있지만 정규식과 리터럴 문자열을 구분하려면 지정하는 문자열에 *를 하나 이상 사용해야 합니다. 예를 들어 RADIUS 서버 nps1.example.com 또는 nps2.example.com 를 지정하도록 nps.*\.example\.com 을 지정할 수 있습니다.

여러 서버를 구분하여 ; 을포함 할 수도 있습니다.

RADIUS 서버가 지정되지 않은 경우 클라이언트는 RADIUS 서버 인증서가 신뢰할 수 있는 루트 CA에서 발급되었는지만 확인합니다.

신뢰할 수 있는 루트 인증 기관 EAP-TLS:
ServerValidation > TrustedRootCA

PEAP:
ServerValidation > TrustedRootCA

EAP-TTLS:
서버 유효성 검사>
TrustedRootCAHashes

TEAP:
서버 유효성 검사>
TrustedRootCAHashes
신뢰할 수 있는 루트 인증 기관을 나열합니다. 이 목록은 컴퓨터 및 사용자 인증서 저장소에 설치된 신뢰할 수 있는 루트 CA에서 작성됩니다. NPS(네트워크 정책 서버)를 실행하는 서버나 Provisioning Server와 같이 신청자가 서버를 신뢰할 수 있는지 여부를 확인할 때 사용하는 신뢰할 수 있는 루트 CA 인증서를 지정할 수 있습니다. 신뢰할 수 있는 루트 CA를 선택하지 않은 경우 802.1X 클라이언트는 RADIUS 서버의 컴퓨터 인증서를 설치된 신뢰할 수 있는 루트 CA에서 발급했는지 검증합니다. 신뢰할 수 있는 루트 CA를 하나 또는 여러 개 선택한 경우 802.1X 클라이언트는 RADIUS 서버의 컴퓨터 인증서를 선택된 신뢰할 수 있는 루트 CA에서 발급했는지 검증합니다.

신뢰할 수 있는 루트 CA를 선택하지 않은 경우 클라이언트는 RADIUS 서버 인증서가 신뢰할 수 있는 루트 CA에서 발급되었는지 확인합니다.

네트워크에 공개 키 인프라 (PKI)가 있고 CA를 사용하여 RADIUS 서버에 인증서를 발급하는 경우 CA 인증서는 신뢰할 수 있는 루트 CA 목록에 자동으로 추가됩니다. 타사 공급업체에서 CA 인증서를 구입할 수도 있습니다. 타사의 일부 신뢰할 수 있는 루트 CA에서는 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 구입한 인증서를 자동으로 설치하는 소프트웨어를 구입한 인증서와 함께 제공합니다. 이 경우 신뢰할 수 있는 루트 CA는 신뢰할 수 있는 루트 CA 목록에 자동으로 나타납니다.

현재 사용자로컬 컴퓨터에 대한 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 없는 신뢰할 수 있는 루트 CA 인증서는 지정하지 마십시오. 클라이언트 컴퓨터에 설치되지 않은 인증서를 지정하면 인증이 실패합니다.

XML에서, 이는 인증서의 SHA-1 지문(해시) (또는 TEAP용 SHA-256) 입니다.

서버 유효성 검사 사용자 프롬프트

다음 표에서는 각 EAP 메서드에 적용할 수 있는 서버 유효성 검사 사용자 프롬프트 옵션을 나열합니다. 이러한 옵션은 신뢰할 수 없는 서버 인증서의 경우 다음 중 하나에 사용됩니다.

  • 연결이 즉시 실패하거나
  • 사용자가 연결을 수동으로 수락하거나 거부할 수 있도록 허용합니다.
설정 XML 요소
사용자에게 새 서버 또는 신뢰할 수 있는 인증 기관에 대한 인증 요청을 하지 마세요. ServerValidation > DisableUserPromptForServerValidation

서버 인증서가 잘못 구성되었거나, 아직 신뢰할 수 없거나, 둘 다(사용하도록 설정된 경우)인 경우 사용자에게 서버 인증서를 신뢰하라는 메시지가 표시되지 않도록 합니다. 사용자 환경을 간소화하고 사용자가 공격자가 배포한 서버를 실수로 신뢰하지 않도록 하려면 이 확인란을 선택하는 것이 좋습니다.

셀룰러 인증 구성 설정

다음은 EAP-SIM, EPA-AKA 및 EPA-AKA'의 구성 설정을 각각 나열합니다.

EAP-SIM은 RFC 4186에 정의되어 있습니다. EAP Subscriber Identity Module (SIM)은 2세대 모바일 네트워크인 Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM)을 사용하여 인증 및 세션 키 배포에 사용됩니다.

UI의 EAP-SIM 설정은 EapSimConnectionPropertiesV1에 매핑됩니다.

Item XML 요소 설명
강력한 암호화 키 사용하기 UseStrongCipherKeys 선택하면 프로필에서 강력한 암호화를 사용하도록 지정합니다.
가명 ID를 사용할 수 있는 경우 서버에 실제 ID를 공개하지 마십시오. DontRevealPermanentID 사용하도록 설정하면 클라이언트에 익명 ID가 있는 경우에도 서버에서 영구 ID를 요청하면 클라이언트에서 인증에 실패하게 됩니다. 가명 ID는 인증 중에 사용자의 실제 또는 영구 ID가 공개되지 않도록 ID 개인 정보 보호에 사용됩니다.
ProviderName 인증에 허용되는 공급자 이름을 나타내는 문자열인 XML에서만 사용할 수 있습니다.
영역의 사용 활성화 Realm=true 영역 이름을 입력할 위치를 제공합니다. 영역 사용 활성화를 선택한 상태에서 이 필드를 비워 두면 영역은 3세대 파트너십 프로젝트 (3GPP) 표준 23.003 V6.8.0에 설명된 대로 영역 3gpp.org를 사용하여 국가별 모바일 구독자 ID (IMSI)에서 파생됩니다.
영역 지정 Realm 영역 이름을 입력할 위치를 제공합니다. 영역 사용 활성화를 설정하면 이 문자열이 사용됩니다. 이 필드가 비어 있으면 파생 영역이 사용됩니다.

WPA3-Enterprise 192비트 모드

WPA3-Enterprise 192비트 모드는 무선 연결에 대해 특정 높은 보안 요구 사항을 적용하여 최소 192비트 보안을 제공하는 WPA3-Enterprise의 특수 모드입니다. 이러한 요구 사항은 상업용 국가 안보 알고리즘 (CNSA) 제품군인 CNSSP 15와 일치하며, 이는 미국 국가 안보국 (NSA)의 기밀 및 일급 비밀 정보를 보호하기 위해 승인된 암호화 알고리즘 집합입니다. 192비트 모드는 2016년 CNSA로 대체된 NSA Suite B 암호화 사양에 대한 참조인 "Suite B 모드"라고도 합니다.

WPA3-Enterprise 및 WPA3-Enterprise 192비트 모드는 Windows 10 버전 2004(빌드 19041) 및 Windows Server 2022부터 사용할 수 있습니다. 그러나 WPA3-Enterprise는 Windows 11에서 별도의 인증 알고리즘으로 선정되었습니다. XML에서는 authEncryption 요소에 지정됩니다.

다음 표에서는 CNSA Suite에 필요한 알고리즘을 나열합니다.

알고리즘 설명 매개 변수
Advanced Encryption Standard (AES) 암호화에 사용되는 대칭 블록 암호화 256비트 키 (AES-256)
타원 곡선 Diffie-Hellman (ECDH) 키 교환 공유 비밀(키)을 설정하는 데 사용되는 비대칭 알고리즘 384비트 소수 모듈러스 곡선 (P-384)
타원 곡선 디지털 서명 알고리즘 (ECDSA) 디지털 서명에 사용되는 비대칭 알고리즘 384비트 소수 모듈러스 곡선 (P-384)
보안 해시 알고리즘 (SHA) 암호화 해시 기능 SHA-384
Diffie-Hellman (DH) 키 교환 공유 비밀(키)을 설정하는 데 사용되는 비대칭 알고리즘 3072-비트 모듈러스
리베스트-샤미르-아들레만 (RSA) 디지털 서명 또는 키 설정에 사용되는 비대칭 알고리즘 3072-비트 모듈러스

CNSA에 맞게 WPA3-Enterprise 192비트 모드를 사용하려면 EAP-TLS를 다음 암호 그룹과 함께 사용해야 합니다.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • 384비트 프라임 모듈러스 곡선 P-384를 사용하는 ECDHE 및 ECDSA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • 384비트 프라임 모듈러스 곡선 P-384를 사용하는 ECDHE
    • RSA >= 3072-비트 모듈러스

참고

P-384 는 secp384r1 또는 nistp384이기도 합니다. P-521과 같은 기타 타원 곡선은 허용되지 않습니다.

SHA-384는 해시 기능의 SHA-2 제품군에 있습니다. SHA-512 또는 SHA3-384와 같은 다른 알고리즘 및 변형은 허용되지 않습니다.

Windows는 WPA3-Enterprise 192비트 모드에 대한 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 암호화 도구 모음만 지원합니다. TLS_DHE_RSA_AES_256_GCM_SHA384 암호 그룹은 지원되지 않습니다.

TLS 1.3은 WPA3-Enterprise 192비트 모드를 사용하는 TLS_AES_256_GCM_SHA384 만 호환되는 새로운 간소화된 TLS 제품군을 사용합니다. TLS 1.3에는 (EC)DHE가 필요하고 AES-256 AEAD 및 SHA384 해시와 함께 ECDSA 또는 RSA 인증서가 허용되므로 TLS_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 과 동일합니다. 그러나 RFC 8446 에서는 TLS 1.3 규격 애플리케이션이 CNSA에서 금지된 P-256을 지원해야 합니다. 따라서 WPA3-Enterprise 192비트 모드는 TLS 1.3을 완전히 준수할 수 없습니다. 그러나 TLS 1.3 및 WPA3-Enterprise 192비트 모드에는 알려진 상호 운용성 문제가 없습니다.

WPA3-Enterprise 192비트 모드에 대한 네트워크를 구성하려면 Windows에서 이전에 설명한 요구 사항을 충족하는 인증서와 함께 EAP-TLS를 사용해야 합니다.

추가 리소스