네트워크 정책 서버 인증서 해지 목록 확인 레지스트리 설정 구성
네트워크 정책 서버(NPS)를 이용하여 네트워크 액세스에 대한 인증서 기반 인증을 시행할 경우, 유효한 인증서만을 허용하기 위해 인증서 해지 목록(CRL)을 구성하는 것이 중요합니다. CRL은 인증 기관(CA)이 디지털 인증서의 효력을 공식 만료일 이전에 취소했는지 여부를 검증하는 데 활용됩니다. NPS에서 CRL은 인증 과정 중 확인되도록 구성할 수 있으며, 이를 통해 네트워크 액세스에 유효한 인증서만 사용되도록 보장합니다. NPS에서 CRL을 구성하는 것은 안전한 네트워크 액세스 인프라 구현에 중요한 절차입니다.
필수 조건
디바이스를 NPS 서버로 설정하려면 네트워크 정책 및 Access Services 역할이 필요합니다. 자세한 내용은 Install or uninstall roles, role services, or features를 참조하세요.
NPS CRL 레지스트리 설정 이해하기
NPS에 대한 레지스트리 설정은 다음 레지스트리 경로에서 구성할 수 있으며 비활성화 된 경우 값이 0 인 DWORD 항목으로 입력되고, 활성화된 경우 1 로 입력됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
다음 키는 기본적으로 0 으로 설정됩니다.
| 속성 | 설명 |
|---|---|
| IgnoreNoRevocationCheck | 비활성화 설정이 된 경우, EAP-TLS 클라이언트는 서버가 클라이언트 인증서 체인 (루트 인증서 포함)의 해지 여부를 확인하고 해지되지 않았음을 검증해야 연결이 가능합니다. 활성화가 된 경우, NPS는 클라이언트의 인증서 체인 (루트 인증서 제외)에 대한 해지 확인을 수행하지 않거나 완료할 수 없는 경우에도 EAP-TLS 클라이언트의 연결을 허용합니다. Microsoft CA가 아닌 CA에서 발급한 인증서와 같이 CRL 배포 지점 정보가 없는 인증서를 사용하는 클라이언트의 경우, 본 항목을 참고하여 인증을 진행할 수 있습니다. |
| IgnoreRevocationOffline | 비활성화된 경우, NPS는 클라이언트의 인증서 체인에 대한 해지 여부 확인을 수행하며, 인증서가 유효함을 검증할 수 없는 경우 클라이언트 연결을 차단합니다. NPS가 해지 목록 서버에 접속하지 못하는 경우, 인증서 해지 여부 확인에 실패하여 인증이 실패합니다. 활성화가 된 경우, NPS는 CRL 저장 서버의 네트워크를 사용할 수 없는 경우에도 EAP-TLS 클라이언트가 연결할 수 있도록 허용하며, 네트워크 상태가 좋지 않아 발생할 수 있는 인증서 검증 실패를 방지합니다. |
| NoRevocationCheck | 비활성화가 된 경우, NPS CRL에 대한 인증서 해지 확인이 활성화됩니다. 클라이언트가 NPS 서버에 인증서를 제출하는 경우, 서버는 해당 인증서가 네트워크 연결 허용 전 발급한 CA에 의해 인증서가 해지되었는지 여부를 검증합니다. 인증서가 해지된 경우 클라이언트의 액세스는 거부됩니다. 활성화가 된 경우, NPS는 클라이언트 인증서의 해지 상태를 확인하는 EAP-TLS의 기능을 제한합니다. 해지 확인을 통해 클라이언트 인증서와 관련 인증서 체인의 유효성을 입증합니다. |
| NoRootRevocationCheck | 활성화가 된 경우, 이 항목은 클라이언트의 루트 CA 인증서의 해지 여부는 확인되지 않습니다. 클라이언트의 나머지 인증서 체인에 대한 해지 확인은 계속 진행이 됩니다. 활성화가 된 경우, NPS는 클라이언트 루트 CA 인증서의 해지 상태를 확인하는 EAP-TLS의 기능을 제한합니다. 이 항목은 인증서에 CRL 배포 지점이 포함되지 않은 경우 클라이언트를 인증합니다. 더불어, 이 항목은 인증서 해지 목록의 오프라인 또는 만료로 인해 발생할 수 있는 인증 관련 지연을 방지할 수 있습니다. |
NPS CRL 레지스트리 설정 수정하기
Warning
레지스트리를 올바르게 편집하지 않으면 시스템을 심각하게 손상시킬 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해 두어야 합니다.
레지스트리 편집은 레지스트리 편집기(regedit.exe)를 사용하여 수행 가능하며, 명령 프롬프트 또는 PowerShell을 통해서도 가능합니다. 다음 예제에서는 NoRevocationCheck 레지스트리 설정을 활성화하고 관련 CRL 설정을 활성화 또는 비활성화 설정을 하는 데 동일한 단계를 적용할 수 있습니다.
다음 단계를 통해 디바이스에서 NoRevocationCheck 를 사용하도록 설정할 수 있습니다.
- 바탕 화면에서 시작을 선택하고, 레지스트리 편집기 를 입력하고, 레지스트리 편집기 를 마우스 오른쪽 단추로 클릭하고, 관리자 권한으로 실행 을 선택합니다.
- 레지스트리 편집기 에서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 로 이동합니다.
- 위쪽 창에서새>DWORD> 형식 NoRevocationCheck 편집>을 선택한 다음 Enter 키를 누르세요.
- 새 레지스트리 항목을 더블 클릭하고 값을 1 로 변경한 다음 OK를 선택하세요.
이 항목을 비활성화하도록 설정하려면 값을 1 에서 0으로 변경하세요.
CRL의 수동 업데이트를 위해서는 NPS 서버에서 명령 프롬프트 또는 PowerShell을 사용하여 다음 명령을 실행하세요.
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now