Udostępnij za pośrednictwem


[Dongclee 의 12월 첫번째 포스팅] 도대체 Windows OS 환경에서의 PKI는 어떻게 배포 및 관리하면 될까요?

이동철입니다.

이제 한해가 마무리되는 12월 이네요,,, 이제 저도 12월이 지나면 40대 중반의 나이로 접어드네요,,, 갑자기 우울해지만, 그래도 여러분들과 여러 가지 얘기를 나눌 수 있어서 그나마 위안이 됩니다.

오늘 포스팅할 주제는 Windows 환경에서의 PKI 입니다.

PKI가 뭐냐? 뭐 간단히 얘기하면 TCP/IP 환경의 네트워크 트래픽에 대한 안전성을 높힐 수 있는 방안 중의 하나지요...

핵심은 "인증서(Certificate)" 인 건 다들 아시지요,, 뭐 요즘 대한민국에서 인터넷 뱅킹 및 모든 돈에 관련된 커머셜 트랜잭션을 할려면 인증서 없이는 안 되지요....

제가 여기서 공인 인증서 환경과 사설 인증서 환경의 차이점까지 논의할려면 밑도 끝도 없을 것 같구요...

다만, 사설 인증서 환경을 Windows 서버 및 기타 Windows 클라이언트들 사이에서 구축할려면 어떤 방법론이 필요할지에 대해서만 제가 여러분들에게 알려 드릴려고 합니다.

Windows 환경에서만 제한적으로 얘가하자면, IIS의 HTTPS, OCS의 TLS, 기타 ISA, TMG, SharePoint 를 포함하여, 일반 TCP/IP 환경에서 암호화를 덧 붙일려면, PKI 및 인증서가 필요하지 않는 곳은 거의 없습니다.

제가 이번 첨부 문서에서 다룬 내용은 EAP(Extensible Authentication Protocol) 를 적용하기 위해 필요한 컴퓨터 인증서 및 사용자 인증서의 배포 및 관리 방안입니다.

EAP-TLS 환경에서의 인증서 배포를 위한 개략적인 방안은 아래와 같습니다.

①. EAP 및 RADIUS 를 완벽하게 지원하는 Network Access Server(RADIUS clients, ex, RRAS) 를 먼저 설치한다. 아래 그림에서 VPN1.KAVPN.com 서버에 Network Access Server 로써 RRAS 모듈을 설치했다. 또한, NPS1.KAVPN.com 서버에는 Windows Server 2008 R2 기반의 NPS(Network Policy Server , RADIUS Server)가 설치되어 있다.

②. NPS(RADIUS Server) 및 Network Access Server 에 해당 "서버 인증서"를 발급한다. 아래 그림에서 DC1.KAVPN.com 은 Enterprise Root CA 역할을 수행하고, 실제 서버 인증서를 발급하는 역할은 SUBCA1.KAVPN.com 서버가 수행한다. SUBCA1 서버에는 Enterprise Subordinate CA가 설치되어 있다. SUBCA1 서버가 NPS 와 RRAS 서버 각각에 아래 그림 보라색 선과 같이 "서버 인증서"를 발급한다.

③. Network Access Server에 EAP 인증 방식을 통해 연결하고자 하는 도메인 멤버 컴퓨터 및 도메인 멤버 사용자 각각에 "컴퓨터 인증서" 및 "사용자 인증서"를 발급한다. 아래 그림과 같이 XP01.KAVPN.com 클라이언트 컴퓨터에 각기 "컴퓨터 인증서(CN : XP01.KAVPN.com)" 및 "사용자 인증서(CN : user01@KAVPN.com)" 를 발급한다.

④. NPS 콘솔에서 Network Access Server 를 RADIUS Client 로 구성한다. 아래 그림은 RADIUS Proxy 까지 구성된 홖경이므로, 아래와 같이 구성해야 한다.

  • On VPN1
    • RADIUS Server : NPSProxy1
  • On NPSProxy1
    • RADIUS Server : NPS1
    • RADIUS Client : VPN1
  • On NPS1
    • RADIUS Client : NPSProxy1

 

⑤. NPS 또는 Network Access Server 의 연결 정책에서 인증 방법을 EAP 인증으로 구성한다. 아래 그림은, Windows Server 2008 R2 NPS 에서 추가 가능한 EAP 인증 형식을 구성하는 예제이다.


⑥. EAP를 지원하는 클라이언트를 확인한다. 기본적으로, Windows 7, Windows Vista, Windows XP 가 EAP를 지원한다.

 

이 문서를 참조하시면 Windows 환경에서의 PKI 관리 방안 및 각종 인증서 관리 방법에 대해서 확인하실 수 있습니다.

기타 문의 사항이 있으시면 언제든지 질문 남겨주세요.

 

감사합니다.

 

 

 

 

 

컴퓨터 인증서 및 사용자 인증서의 배포 방안.pdf

Comments

  • Anonymous
    January 01, 2003
    네 당근 스마트카드를 이용한 윈도우 로긴에도 활용할 수 있습니다. 특히, 사용자 인증서 배포에 신경쓰시면 아마 아무 문제 없을 겁니다. 그럼 수고하세요

  • Anonymous
    March 08, 2011
    Smartcard를 이용한 Windows Logon을 4월 안에 적용해야 했는데 좋은 정보 감사합니다.