PEAP 및 EAP 요구 사항에 대한 인증서 템플릿 구성

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

확장 가능한 인증 프로토콜-전송 계층 보안 (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS), PEAP-Microsoft Challenge Handshake Authentication Protocol 버전 2(MS-CHAP v2)를 사용하여 네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서에 대한 요구 사항을 충족하고 보안 소켓 계층/전송 수준 보안 (SSL/TLS) 를 사용하는 연결에서 작동해야 합니다. 클라이언트 인증서와 서버 인증서 모두 추가 요구 사항이 있습니다.

Important

이 문서에서는 인증서 템플릿을 구성하기 위한 지침을 제공합니다. 이러한 지침을 사용하려면 필요에 따라 AD CS(Active Directory 인증서 서비스)와 함께 고유한 PKI(공개 키 인프라)를 배포해야 합니다.

서버 인증서 최소 요구 사항

PEAP-MS-CHAP v2, PEAP-TLS 또는 EAP-TLS 인증 방식을 사용하는 경우, NPS 서버는 최소 서버 인증서 요구 사항을 준수하는 서버 인증서를 사용해야 합니다.

클라이언트 컴퓨터는 클라이언트 컴퓨터나 그룹 정책을 통해 서버 인증서 검증 옵션을 사용하여 서버 인증서를 검증하도록 구성할 수 있습니다.

서버 인증서가 아래 요구 사항을 준수하는 경우, 클라이언트 컴퓨터는 서버의 인증 시도를 수락합니다.

• 주제 이름은 값을 포함합니다. 네트워크 정책 서버(NPS)를 실행하는 서버에 주체 이름이 비어 있는 인증서를 발급하면, 해당 인증서는 NPS 인증에 사용할 수 없습니다. 주체 이름으로 인증서 템플릿을 구성하려면,

  1. 인증서 템플릿을 엽니다.
  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성 선택합니다.
  3. 주체 이름 탭을 선택한 다음 이 Active Directory 정보빌드를 선택합니다.
  4. 주체 이름 형식에서, None 이외의 값을 선택하세요.

• 서버의 컴퓨터 인증서:

  • EKU 확장의 Server Authentication 용도(Server Authentication OID(개체 식별자)가 1.3.6.1.5.5.7.3.1)를 포함하는 신뢰할 수 있는 CA(루트 인증 기관)에 연결하고 다음을 전달합니다.

    • CryptoAPI에서 수행하는 검사
    • 원격 액세스 정책 또는 네트워크 정책에 지정된 검사

• 필요한 암호화 설정을 사용하여 서버 인증서를 구성하세요.

  1. 인증서 템플릿을 엽니다.
  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성선택합니다.
  3. 암호화 탭을 선택하고 다음을 구성해야 합니다.
     • 공급자 범주: 예를 들어, 키 스토리지 공급자
     • 알고리즘 이름: 예를 들어, RSA
     • 공급자: 예를 들어, Microsoft 소프트웨어 키 스토리지 공급자
     • 최소 키 크기: 예를 들어, 2048
     • 해시 알고리즘: 예를 들어, SHA256
  4. 다음선택합니다.

• 서버의 DNS 이름은 주체 대체 이름(SubjectAltName) 확장에 반드시 포함되어야 합니다. 등록 서버의 도메인 이름 시스템 (DNS) 이름으로 인증서 템플릿을 구성하려면

  1. 인증서 템플릿을 엽니다.
  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성 선택합니다.
  3. 주체 이름 탭을 선택한 다음 이 Active Directory 정보빌드를 선택합니다.
  4. 대체 주체 이름에 이 정보를 포함하려면, DNS 이름을 선택하세요.

사용자가 PEAP 및 EAP-TLS를 사용하는 경우 NPS는 다음 예외를 제외하고 컴퓨터 인증서 저장소에 설치된 모든 인증서 목록을 표시합니다.

• EKU 확장에 Server Authentication 목적이 포함되지 않은 인증서는 표시되지 않습니다.

• 주체 이름이 포함되지 않은 인증서는 표시되지 않습니다.

• 레지스트리 기반 및 스마트 카드 로그온 인증서는 표시되지 않습니다.

자세한 내용은, 802.1X 유선 및 무선 배포를 위한 서버 인증서 배포를 참조하세요.

클라이언트 인증서 최소 요구 사항

EAP-TLS 또는 PEAP-TLS를 이용하는 경우, 서버는 인증서가 다음 요구 사항을 충족하면 클라이언트 인증 시도를 허용합니다.

• 클라이언트 인증서는 엔터프라이즈 CA에서 발급되었거나 Active Directory 도메인 서비스(AD DS) 내 사용자 또는 컴퓨터 계정에 매핑되어야 합니다.

• 클라이언트의 사용자 혹은 컴퓨터 인증서

  • EKU 확장의 Client Authentication 용도(Client Authentication OID는 1.3.6.1.5.5.7.3.2)를 포함하는 신뢰할 수 있는 루트 CA에 연결하고 다음을 전달합니다.

    • CryptoAPI에서 수행하는 검사

    • 원격 액세스 정책 또는 네트워크 정책에 지정된 검사

    • NPS 네트워크 정책에 지정된 인증서 개체 식별자 확인

• 802.1X 클라이언트는 스마트 카드 로그온 또는 암호로 보호된 인증서인 레지스트리 기반 인증서를 사용하지 않습니다.

• 사용자 인증서의 경우, 인증서의 주체 대체 이름(SubjectAltName) 확장에는 사용자 계정 이름 (UPN)이 포함됩니다. 인증서 템플릿에서 UPS을 구성하려면,

  1. 인증서 템플릿을 엽니다.
  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성선택합니다.
  3. 주체 이름 탭을 선택한 다음, 이 Active Directory 정보를 바탕으로빌드를 선택합니다.
  4. 대체 주체 이름에 이 정보를 포함하려면, 사용자 계정 이름 (UPN)을 선택하세요.

• 컴퓨터 인증서의 경우, 인증서의 주체 대체 이름(SubjectAltName) 확장은 DNS 이름이라고도 하는 클라이언트의 완전한 도메인 이름(FQDN)을 포함해야 합니다. 인증서 템플릿에서 이 이름을 구성하려면:

  1. 인증서 템플릿을 엽니다.
  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성선택합니다.
  3. 주제 이름 탭을 선택하고, 그런 다음 이 Active Directory 정보에서 빌드를 선택합니다.
  4. 대체 주체 이름에 이 정보를 포함하려면, DNS 이름을 선택하세요.

PEAP-TLS 및 EAP-TLS를 사용할 때, 클라이언트는 인증서 스냅인에 설치된 모든 인증서 목록을 표시하며, 다음의 경우는 예외입니다.

• 무선 클라이언트에서는 레지스트리 기반과 스마트 카드 로그온 인증서가 표시되지 않습니다.

• 무선 클라이언트 및 VPN 클라이언트에서 비밀번호 보호 인증서는 표시되지 않습니다.

• EKU 확장에 Client Authentication 목적이 포함되지 않은 인증서는 표시되지 않습니다.

참조

• 네트워크 정책 서버 (NPS).

• 네트워크 액세스를 위한 확장 가능 인증 프로토콜(EAP).

• EAP-TLS과 함께 EAP-TLS 또는 PEAP를 사용할 때의 인증서 요구사항