high availability of active directory certification authority in … · 2017-01-30 · configuring...
TRANSCRIPT
High Availability of Active Directory Certification
Authority in Windows Server 2008 R2
6/15/2010 Microsoft Korea
이 동 철 부장
2 | P a g e
Contents Demo Environments ..................................................................................................................................... 3
Set up the CA role service on the first cluster node ..................................................................................... 4
Set up the CA role service on the second cluster node .............................................................................. 11
Set up the failover cluster feature on both cluster node ........................................................................... 16
Configure AD CS as a cluster resource ........................................................................................................ 17
Configure the certificate revocation list (CRL) distribution point ............................................................... 21
Configuring the CA in Active Directory Domain Services (AD DS) .............................................................. 24
Adjust the CA names in AD DS .................................................................................................................... 28
Testing Certificate Enrollment .................................................................................................................... 31
References .................................................................................................................................................. 33
3 | P a g e
Demo Environments
4 | P a g e
Set up the CA role service on the first cluster node
먼저, 클러스터 내의 첫 번째 노드에 AD CS 역할을 설치한다. 설치 후, 두 번째 노드와 공유할 CA 루트
인증서를 추출하여 두 번째 복사 한 후, 첫 번째 노드의 CA 서비스를 shutdown 한다. 아래 젃차대로
수행한다.
이 작업을 수행하기 젂에 추후 CA 서비스에 사용할 공유 디스크를 미리 아래와 같이 확보한다.
CA 서비스가 사용할 S 드라이브에 아래 2 개의 폴더를 생성한다.
이제 첫 번째 노드에서 “AD CS” 역할을 아래와 같이 추가한다.
5 | P a g e
아래 역할 서비스 중에서 오로지 “Certification Authority” 맊을 선택한다. 나머지 역할 서비스는
클러스터 홖경에서 지원되지 않는다. 이 점을 유의해야 한다.
“Setup Type” 에서 “Enterprise” 를 선택한다.
“CA Type” 부분에서 “Root CA”를 선택한다.
6 | P a g e
“CA Name” 구성 부분에서, “Common name for this CA” 의 입력 값에서 기본 값을 삭제하고, 아래와
같이 별도의 이름을 입력한다. 이 이름은 추후 두 번째 노드에서도 동일하게 사용될 것이다.
7 | P a g e
아래 “Certificate Database” 부분에서 “Database Location” 및 “Database Log Location” 경로 모두 양쪽
노드에서 연결된 공유 디스크의 특정 폴더로 지정해야 한다. 이 부분이 “CA” 서비스의 클러스터
홖경에서 운영되도록 하는 중요 부분이다.
8 | P a g e
첫 번째 노드에서 “CA” 서비스의 설치가 완료된 후의 관리 도구 화면이다.
이제 두 번째 노드에서 “CA” 서비스 설치 시에 사용할 첫 번째 노드의 “CA” 인증서를 백업 받아야 한다.
첫 번째 노드의 “CA” 관리 도구에서 “Back up CA” 메뉴를 사용하여 “CA” 인증서를 백업 받는다.
“Back up CA” 메뉴를 수행하면, 마법사가 실행된다.
9 | P a g e
아래 부분에서 “Private key and CA certificate” 를 선택하고, 백업 받기 위한 경로를 아래와 같이 임의의
폴더로 지정한다.
앞서 백업 받은 “CA” 인증서를 다른 쪽에서 복구하기 위해서는 보안을 위해 아래와 같이 적젃한 암호를
설정한다.
10 | P a g e
백업이 성공적으로 완료되면, 아래와 같이 앞서 지정한 폴더에, “*.p12” 형식의 인증서 파일이 생성된다.
이 파일을 두 번째 노드의 적당한 폴더에 복사한다.
첫 번째 노드의 “Certificate Authority” 서비스를 두 번째 노드 설치를 위해 잠시 중단한다.
첫 번째 노드의 “Certificate Authority” 서비스가 중단되면, 아래와 같이 “Grey” 아이콘이 보여진다.
S 드라이브의 “CABackup” 폴더 젂체를 두 번째 노드의 C 드라이브에 복사한다. 앞서 언급한 대로, 첫
번째 노드의 “CA” 인증서를 백업 받은 폴더 젂체를 두 번째 노드의 적젃한 곳에 복사한다.
11 | P a g e
Set up the CA role service on the second cluster node
이제 두 번째 노드에 CA 역할을 설치한다. 두 번째 노드의 설치 및 구성은 첫 번째 노드와는 약간 다르다.
아래 과정대로 두 번째 노드에서 진행한다.
앞서 첫 번째 노드에서 확보한 공유 디스크 (S 드라이브) 가 두 번째 노드에서 접근 가능한지 확인한다.
두 번째 노드의 “로컬 컴퓨터 인증서 저장소” 에 첫 번째 노드에서 백업된 인증서 파일을 import 한다.
“MMC” 의 “Certificate -> Local Computer” 스냅-인을 추가 한 후, “Certificate -> Local Computer ->
Personal” 경로에서 앞서 첫 번째 노드에서 백업 받은 “CA” 인증서를 import 한다.
“CA” 인증서를 import 하기 위한 마법사가 수행된다.
Import 할 “CA” 인증서 파일의 경로를 아래와 같이 지정한다.
12 | P a g e
첫 번째 노드에서 “CA”인증서를 백업 받을 시에 설정했던 암호를 아래 암호 부분에 입력한다. 나머지
옵션은 그대로 진행한다.
인증서 저장 경로는 아래와 같이 “Personal” 로 설정한다.
아래 그림과 같이 “CA” 인증서가 “Personal” 경로에 정상적으로 저장되어 있음을 확인할 수 있다.
이제 두 번째 노드에 “AD CS” 역할을 설치한다. 첫 번째 노드가 거의 동일하게 설치를 진행하나, 몇 가지
다른 선택 부분이 있음을 유의해야 한다.
13 | P a g e
아래 “Set up Private Key” 부분에서 “Use existing private key -> Select a certificate and use its
associated private key” 옵션을 선택한다.
14 | P a g e
기존 인증서 중에서 앞서 import 했던 인증서를 선택한다.
위 경로에서 앞서 첫 번째 노드에서 사용했던 동일한 경로 (S:\CertLog) 를 지정하면 아래와 같이
Overwrite 에 대한 경고가 발생한다. 이 경고는 무시한 채로 그대로 진행한다.
15 | P a g e
아래와 같이 “Certificate Database” 경로를 아래와 같이 공유 디스크로 선택한다.
아래와 같이 두 번째 노드에도 “CA” 서비스가 정상적으로 설치되었음을 확인할 수 있다.
이제 두 번째 노드는 로그 오프한다.
16 | P a g e
Set up the failover cluster feature on both cluster node
첫 번째 , 두 번째 노드에 이제 Failover Cluster 기능을 설치한다. 이번 데모 홖경은 이미 Failover Cluster
기능을 양쪽 노드에 모두 설치한 상태임을 미리 밝혀둔다.
17 | P a g e
Configure AD CS as a cluster resource
이제 클러스터 리소스로써 AD CS 를 구성한다. 아래 “Failover Cluster Manager” 도구에서 “Configure a
Service or Application” 메뉴를 사용하여 AD CS 의 클러스터를 구성한다.
아래와 같이 마법사가 실행된다.
아래 부분에서 “Generic Service”를 선택한다.
Generic Service 중에서 “Active Directory Certificate Services” 항목을 선택한다.
18 | P a g e
아래 “Client Access Point” 부분에서, AD CS 서비스가 사용할 “Network Name” 및 “IP Address” 를
지정한다. “ADCSCluster” 이름은 추후 클라이언트가 인증서 발급 요청을 할 때, 사용하게 되는
“Computer Name” 과 유사한 것이다. 즉, 가상의 Computer 객체가 생성된다.
AD CS 서비스가 클러스터 홖경에서 운영될 때, AD CS 서비스가 사용하는 Jet 데이터베이스가 위치하는
공유 디스크를 아래 부분에서 지정해야 한다.
“Generic Service” 를 클러스터 홖경에서 구성할 때, 양 쪽 노드에 동일하게 적용될 레지스트리 값이
있다면, 아래 단계에서 지정해야 한다. “AD CS” 서비스를 “Generic Service” 로 설정하기 위해서는 특정
레지스트리 값을 지정해야 한다.
아래 부분에서 “HKLM\SYSTEM\CurrentControlSet\Services\CertSvc” 를 입력하고, 추가한다.
“HKEY_LOCAL_MACHINE\” 를 제외하고 “SYSTEM\CurrentControlSet\Services\CertSvc” 부분맊
입력한다.
19 | P a g e
아래와 같이 양쪽 노드에서 동일하게 복제되어야 할 레지스트리 키가 아래와 같이 설정되어 있음을 알
수 있다.
이제 아래와 같이 “AD CS” 서비스를 클러스터의 “Generic Service” 로 설정됨을 확인한다.
20 | P a g e
“AD CS” 서비스가 클러스터 서비스로 성공적으로 등록된 후 “Failover Cluster Manager” 도구에서
아래와 같이 정상적으로 보여짐을 알 수 있다.
이제 모든 설정이 완료되었다. “ADCSCluster” 라는 클러스터 그룹을 양쪽 노드로 “그룹 이동” 테스트를
시도하여, 정상적으로 “그룹 이동” 수행되는지 확인한다.
21 | P a g e
Configure the certificate revocation list (CRL) distribution point
기본 CA 구성에서, 서버의 short name 은 CRL 및 AIA 의 일부분으로써 사용된다. CA 가 Failover
클러스터에서 운영되고 있을 때, 서버의 short name 은 클러스터의 short name (ex, ADCSCluster) 으로
대체되어야맊 한다. 이 작업을 수행하기 위해서는, 반드시 CA 서비스가 active 로 운영되는 노드에서
수행해야 한다. 이 작업은 “HKLM\SYSTEM\CurrentControlSet\Services\CertSvc” 레지스트리를
변경하는 작업이므로, 해당 작업은 반드시 “ADCSCluster” 클러스터 그룹이 현재 운영되고 있는 active
노드에서 진행해야 한다. 이 변경 작업을 수행한 후 CA 서비스를 반드시 재 시작해야 한다.
먼저, CA 서비스가 운영되고 있는 active 노드를 확인한다.
위 해당 노드에서 아래 작업을 수행한다. “CRLPublicationURLs” 값을 수정해야 한다.
아래 “%2” 부분을 “”ADCSCluster” 라는 앞서 생성한 가상의 computer 객체로 대체한다.
22 | P a g e
위에서 CRLPublicationURL 부분을 새로운 값으로 설정 한 후, 모든 publishing 옵션을 기본 LDAP URL 과
동일하게 설정해야 한다. 아래 명령어를 수행하여 모든 publishing 옵션을 기본 LDAP URL 과 동일하게
설정한다. 즉, 기존 값을 overwrite 한다. 명령어는 아래와 같다.
certutil –dspublish –f Certfile [RootCA]
certutil –dspublish –f TR10-RootCA.crl ADCSCluster
아래 명령어를 수행하여 CA 서비스를 재 시작한다.
23 | P a g e
아래 명령어를 수행하여 앞서 적용했던 새로운 설정 값(ADCSCluster)으로 CRL 을 업데이트하도록 한다.
24 | P a g e
Configuring the CA in Active Directory Domain Services (AD DS)
이제 추가적으로 CA 가 failover 클러스터에서 운영될 때, Active Directory 내에서 수행해야 될 추가적인
작업을 진행한다. 이 작업은 Domain Controller 에서 수행한다.
먼저, CA 루트 인증서를 양쪽 노드에서 홗성화 시킨다. 아래 “Active Directory Sites and Services” 도구를
사용하여, “Services” 항목에서, “Public Key Services” 부분을 속성 값을 수정한다.
아래와 같이 “Public Key Services -> AIA -> TR10-RootCA” 의 속성 값을 수정한다.
“Public Key Services -> AIA -> TR10-RootCA” 의 “보안” 설정을 수정한다.
25 | P a g e
양쪽 노드에 참여한 2 개의 computer 객체를 추가한다.
양쪽 노드에 모두 “Full Control” 권한을 할당한다.
두 번째로 “Public Key Services -> Enrollment Service -> TR10-RootCA” 컨테이너에 양쪽 노드의 권한을
추가한다.
26 | P a g e
앞서와 마찬가지로 양쪽 노드에 “Full Control” 권한을 부여한다.
마지막으로 “Public Key Services -> KRA -> TR10-RootCA” 컨테이너에 동일한 권한을 부여한다.
27 | P a g e
28 | P a g e
Adjust the CA names in AD DS
CA 서비스가 첫 번째 노드에 설치되었을 때, Enrollment Service 객체가 생성되고, 그 객체는 자싞의
FQDN 값이 설정되어 있다. 그러나, AD CS 서비스를 클러스터 홖경으로 구성하였기 때문에, “Enrollment
Service” 객체의 값은 앞서 클러스터 홖경에서 구성했던 “가상 computer 객체 (ADCSCluster)” 로
변경해야 한다.
ADSI Edit 도구를 사용하여 변경 작업을 수행한다. 이 작업 역시 domain controller 에서 수행한다.
아래 부분에서 “Select a well known Naming Context: -> Configuration” 를 선택한다.
아래 부분에서 “Configuration -> CN=Configuration -> CN=Services -> CN=Public Key Services ->
CN=Enrollment Services” 를 선택한다.
29 | P a g e
“CN=Enrollment Services” 를 선택한 후, 오른쪽 창의 “CN=TR10-RootCA” 의 속성 값을 수정한다.
속성 값 중에서 “dNSHostName” 값을 수정한다. 기존 값은 첫 번째 노드의 FQDN 이 입력되어 있음을
확인할 수 있다. 이 값을 앞서 구성한 “AD CS” 클러스터 그룹의 “Network Name” 인 “ADCSCluster” 값을
변경한다.
30 | P a g e
반드시 FQDN 형식으로 변경한다.
이제 모든 작업이 완료되었다.
31 | P a g e
Testing Certificate Enrollment
이제 도메인 내의 특정 컴퓨터에서 “인증서” 발급 요청에 대한 테스트를 진행해 본다. 인증서 발급을
요청하기 위해 아래 “Request New Certificate” 메뉴를 선택한다.
인증서 발급을 요청할 “CA” 를 지정하기 위해 아래 메뉴 중에서 “Advanced” 를 선택한다.
32 | P a g e
아래 “Certificate Autority” 를 선택하는 부분에 기본적으로 앞서 구성한 “AD CS” 클러스터 그룹의 “CA”
이름과 “Computer” 이름이 정확하게 보여짐을 알 수 있다.
아래와 같이 정상적으로 “Computer” 인증서가 발급됨을 알 수 있다. “AD CS” 클러스터 서비스가
정상적으로 인증서 발급을 처리함을 확인 할 수 있다.
33 | P a g e
References
Configuring and Troubleshooting Certification Authority Clustering in Windows Server 2008 (http://www.microsoft.com/downloads/details.aspx?FamilyID=15c75333-be26-4955-a32c-03077daf1631&DisplayLang=en)