windows server 2012 · 2017-01-30 · 페이지 3 / 73 데모 환경 two-tier pki를 구성하기...
TRANSCRIPT
Windows Server 2012 Two-Tier PKI 설치 및 구성
[여기에 문서 요약을 입력하십시오. 일반적으로
요약은 문서의 내용을 간략하게 정리한 것입니다.
여기에 문서 요약을 입력하십시오. 일반적으로
요약은 문서의 내용을 간략하게 정리한
것입니다.]
이동철
2013-05-25
페이지 1 / 73
목차
데모 환경 ........................................................................................................................................................................................ 3
Exercise 1: CDP 및 AIA 공개를 위한 HTTP Web 서버 준비 (on Web1) ......................................................... 4
CertEnroll 폴더 생성 및 “Cert Publishers” 그룹에 공유 및 NTFS 권한 설정 ..................................... 4
IIS 관리 도구에서 CertEnroll 가상 디렉터리 생성 ............................................................................................ 9
IIS 서버에 Double Escaping 활성화 ...................................................................................................................... 11
DNS 관리 도구에서 CNAME(PKI.CONTOSO.com) 생성 ............................................................................ 13
Exercise 2: Standalone Offline Root CA 설치 (on CA01) ...................................................................................... 15
Standalone Offline Root CA를 위한 CAPolicy.inf 생성 ................................................................................ 15
Standalone Offline Root CA 설치 ........................................................................................................................... 18
Exercise 3: Standalone Offline Root CA 사후 설치 구성 작업 (on CA01) ................................................... 28
Exercise 4: Subordinate Issuing CA 설치 (on CA02) ............................................................................................... 33
Subordinate Enterprise Issuing CA 를 위한 CAPolicy.inf 생성 ................................................................ 33
Active Directory 및 HTTP 경로에 Root CA 인증서 및 CRL 공개한 후, CA02.CONTOSO.com의
로컬 저장소에 추가 ....................................................................................................................................................... 36
Subordinate Issuing CA 설치 .................................................................................................................................... 39
Contoso Root CA (CA01) 에서, Contoso Issuing CA(CA02.CONTOSO.com)의 인증서 요청 생성
및 Submit (on CA01) .................................................................................................................................................... 45
CA02.Contoso.com 에서, Contoso Issuing CA 인증서 설치 ...................................................................... 51
Exercise 5: Subordinate Issuing CA 에서 설치 후속 구성 (on CA02) ............................................................ 55
Exercise 6: PKI Hierarchy Health 검증 (on CA02) ..................................................................................................... 61
PKIView.msc (Enterprise PKI)를 사용하여 PKI Health 검증......................................................................... 61
페이지 2 / 73
Exercise 7: Windows 8 클라이언트 인증서 자동 발급(Auto Enrollment)을 위한 구성 및 수행 (on
CA02) .............................................................................................................................................................................................. 64
자동 발급 활성화를 위한 GPO 구성 .................................................................................................................... 64
자동 발급을 위한 인증서 템플릿 준비 ................................................................................................................ 67
인증 기관에 인증서 템플릿 공개 ........................................................................................................................... 69
Windows 8 클라이언트에서 자동 발급 수행 (on Win8) ............................................................................ 71
참조 자료 ..................................................................................................................................................................................... 73
페이지 3 / 73
데모 환경
Two-Tier PKI를 구성하기 위한 데모 환경은 아래와 같습니다.
CONTOSO.com
DC01.CONTOSO.com192.168.0.10Domain ControllerWindows Server 2012
DNS, “LDAP CDP/AIA”
CA02.CONTOSO.com195.168.0.12Member ServerWindows Server 2012Enterprise Issuing CA
WIN8.CONTOSO.com195.168.0.14Domain ClientsWindows 8
Two-Tier PKI Hierarchy 데모
CA01192.168.0.11Workgroup ServerWindows Server 2012Standalone Offline Root CA
WEB1.CONTOSO.comCNAME : PKI.CONTOSO.com195.168.0.13Member ServerWindows Server 2012
Web Server, “HTTP CDP/AIA”
Workstation Authentication 인증서
페이지 4 / 73
Exercise 1: CDP 및 AIA 공개를 위한 HTTP Web 서버 준비 (on Web1)
Exercise 1을 수행하기 위해서는 아래와 같이 총 4개의 세부 작업이 포함됩니다.
CertEnroll 폴더 생성 및 Cert Publishers 그룹에 공유 및 NTFS 권한 설정
IIS 관리 도구에서 CertEnroll 가상 디렉터리 생성
IIS 서버에 Double Escaping 활성화
DNS 관리 도구에서 CNAME(PKI.CONTOSO.com) 생성
Note – 본 데모 환경에서 시간을 절약하기 위해, WEB1.CONTOSO.com 서버에 사전에 Web
Server(IIS) 역할을 설치합니다.
CertEnroll 폴더 생성 및 “Cert Publishers” 그룹에 공유 및 NTFS 권한 설정
1. WEB1.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Windows Explorer 를 수행한 후, C 드라이브 하위에 C:\CertEnroll 폴더를 생성합니다.
페이지 5 / 73
3. CertEnroll 폴더를 오른쪽 마우스 클릭한 후, Properties를 선택합니다.
4. “CertEnroll Properties” 페이지에서, 공유 권한을 구성하기 위해 Sharing 탭을
선택합니다.
5. Advanced Sharing 옵션을 클릭한 후, Share this folder를 선택합니다.
6. Permissions 을 클릭한 후, Add를 클릭합니다.
7. “Select Users or Groups” 페이지에서, Enter the object names to select 부분 하위에
Cert Publishers를 입력한 후, OK를 클릭합니다.
8. “Permissions for CertEnroll” 페이지에서, Cert Publishers 그룹을 선택한 후, Change
권한을 선택한 후, “CertEnroll Properties” 페이지로 돌아가기 위해 OK를 두 번
클릭합니다.
페이지 6 / 73
9. Security 탭을 선택하고, NTFS 권한을 구성하기 위하여 Edit를 클릭합니다.
페이지 7 / 73
10. “Permissions for CertEnroll” 페이지에서, Add를 클릭합니다.
11. “Select Users or Groups” 페이지에서, Enter the object names to select 부분 하위에
페이지 8 / 73
Cert Publishers를 입력한 후, OK를 클릭합니다.
12. “Permissions for CertEnroll” 페이지에서, Cert Publishers 그룹을 선택한 후, Modify
권한을 선택한 후, OK를 클릭합니다.
13. “CertEnroll Properties” 페이지에서, Close를 클릭합니다.
페이지 9 / 73
IIS 관리 도구에서 CertEnroll 가상 디렉터리 생성
1. WEB1.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager 를 수행한 후, Tools -> Internet Information Services (IIS) Manager.
순서로 클릭합니다.
3. 왼쪽 측면에서, WEB1 노드를 확장한 후, Sites를 확장합니다.
4. Default Web Site를 오른쪽 마우스 클릭한 후, Add Virtual Directory를 선택합니다.
5. “Add Virtual Directory” 페이지에서, “Alias:” 로써 CertEnroll 를 입력하고, “Physical
Path:” 로써 C:\CertEnroll 를 입력한 후, OK를 클릭합니다.
페이지 10 / 73
6. 왼쪽 창에서, Default Web Site 하위의 CertEnroll 가상 디렉터리를 선택합니다.
7. 중간 창 내의 Directory Browsing 를 클릭한 후, 오른쪽의 Actions 창 하위의 Enable를
선택합니다.
페이지 11 / 73
IIS 서버에 Double Escaping 활성화
1. WEB1.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Start를 선택한 후, Run을 선택합니다. Run이 수행되면, cmd를 입력한 후, OK를
클릭합니다.
3. CD\ 입력한 후, Enter 를 입력하면, C:\로 이동합니다.
4. cd %windir%\system32\inetsrv\ 를 입력한 후, Enter 를 누릅니다.
5. 아래 명령어를 입력한 후, Enter 를 누릅니다. 아래 명령어는 Default Web Site에서
Double Escaping을 허용하는 명령어입니다.
Appcmd set config "Default Web Site" /section:system.webServer/Security/requestFiltering -
allowDoubleEscaping:True
페이지 12 / 73
6. IIS 서비스를 재 시작하기 위하여, iisreset를 입력한 후, Enter 를 누릅니다.
페이지 13 / 73
DNS 관리 도구에서 CNAME(PKI.CONTOSO.com) 생성
1. DC01.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager 를 수행한 후, Tools -> DNS. 순서로 클릭합니다.
3. Forward Lookup Zones를 확장한 후, Contoso.com 영역을 오른쪽 마우스 클릭한 후,
New Alias (CNAME)를 선택합니다.
4. “Alias Name” 부분에 PKI 를 입력하고, “Fully qualified domain name (FQDN) for
target host” 부분에 WEB1.CONTOSO.com. 를 입력한 후, OK를 클릭합니다.
Note – 앞선 단계에서, FQDN 끝 부분에 “.”를 포함했습니다. 실제 운영 환경에서, 이러한 Alias는
CA 인증서 및 CRL을 포함하는 임의의 Web Server들에게 요청되는 로드 분산을 처리할 수 있는
페이지 14 / 73
기능을 제공합니다.
페이지 15 / 73
Exercise 2: Standalone Offline Root CA 설치 (on CA01)
Exercise 2를 수행하기 위해서는 아래와 같이 총 2개의 세부 작업이 포함됩니다.
Standalone Offline Root CA를 위한 CAPolicy.inf 생성
Standalone Offline Root CA 설치
Standalone Offline Root CA를 위한 CAPolicy.inf 생성
1. CA01 서버에 관리자 계정(CA01\Administrator)으로 로그인합니다.
2. Windows Explorer에서 C:\Windows\CAPolicy.inf 파일을 Notepad에서 Open한 후,
파일의 내용을 검토합니다. 이 파일의 내용은 아래와 같습니다. (Note – To save time
this file has been already created for you).
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
페이지 16 / 73
Notice="Legal Policy Statement"
URL=http://pki.contoso.com/CertEnroll/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
AlternateSignatureAlgorithm=1
Note – 위 예제 CAPolicy.inf 에서 보여진 OID는 Microsoft OID입니다. 각 회사는 자체 OID를
획득할 수 있습니다. ISO Name Registration Authority로부터 Root OID를 획득하기 위하여, OID에
관한 자세한 정보는 다음 링크를 참조합니다
(http://msdn.microsoft.com/library/windows/desktop/ms677621.aspx).
CAPolicy.inf 파일에서, http://pki.contoso.com/CertEnroll/cps.txt URL을 지정한 라인을 확인할 수
있습니다. CAPolicy.inf의 Internal Policy 부분은 CPS(Certificate Practice Statement)의 위치를
지정하는 방법에 대한 예제를 보여줍니다. CPS를 포함하는 Policy Statement에 관한 정보를
확인하기 위하여, “Creating Certificate Policies and Certificate Practice Statements
(http://technet.microsoft.com/library/cc780454.aspx)” 및 “RFC 2527
(http://www.ietf.org/rfc/rfc2527.txt)” 링크를 확인합니다.
Note – CAPolicy.inf 파일의 임의의 항목이 잘못된 철자가 포함된다면, 완전하게 무시될 것입니다.
페이지 17 / 73
Note – Windows XP 및 Windows Server 2003 인증서 클라이언트는 Alternate Signature
Algorithm을 지원하지 않습니다. 이러한 클라이언트가 인증서를 발급받기를 원한다면,
CAPolicy.inf에서 AlternateSignatureAlgorithm=1 를 추가하지 않습니다. 좀 더 자세한 정보를
획득하기 위하여, Guidelines for Using Alternate Signature Formats 링크를 확인합니다.
3. 검토 후에, CAPolicy.inf 파일을 닫습니다.
페이지 18 / 73
Standalone Offline Root CA 설치
먼저, CA01 서버의 속성을 아래와 같이 확인합니다. CA01 서버는 Workgroup 상태임을 확인할 수
있습니다.
1. CA01 서버에 관리자 계정(CA01\Administrator)으로 로그인합니다.
2. Server Manager에서, Manage를 클릭한 후, Add Roles and Features를 클릭합니다.
3. “Before you begin” 페이지에서, Next를 클릭합니다.
4. “Select Installation Type” 페이지에서, Role-based or feature-based installation 이
선택되어 있음을 확인한 후, Next를 클릭합니다.
페이지 19 / 73
5. “Select Destination Server” 페이지에서, Server Pool 하위에서 CA01가 선택되어 있음을
확인한 후, Next를 클릭합니다.
6. “Select Server Roles” 페이지에서, Active Directory Certificate Services 역할을
선택합니다.
7. Remote Server Administration Tools 설치 여부를 확인할 때, Add Features를
클릭합니다.
8. “Select Features” 페이지에서, Next를 클릭합니다.
페이지 20 / 73
9. “Active Directory Certificate Services” 페이지에서, Next를 클릭합니다.
10. “Select Role Services” 페이지에서, 기본적으로 Certification Authority 역할이 선택되어
있음을 확인한 후, Next를 클릭합니다.
페이지 21 / 73
11. “Confirm Installation Selections” 페이지에서, 정보를 검증한 후, Install 를 클릭합니다.
12. 설치가 완료될 때까지 대기합니다. CA를 위한 바이너리 파일이 설치될 때, 설치 진행
과정이 보여집니다. 바이너리 파일 설치가 완료된 후, Configure Active Directory
Certificate Services on the destination server 링크를 클릭합니다.
구성을 완료하지 않고 Close를 클릭한다면, Server Manager의 notifications icon 부분에서,
구성을 완료하기 위하여 링크를 통하여 역할 서비스의 구성을 완료할 수 있습니다.
13. Credentials 페이지에서, 자격증명 상자에 CA01\Administrator 계정이 보여짐을 확인한
후, Next 를 클릭합니다.
페이지 22 / 73
14. Role Services 페이지에서, Certification Authority를 선택한 후, Next를 클릭합니다.
Certificate Authority 역할의 바이너리 파일이 설치되어 있는 서버에서만 가능한
옵션입니다.
15. Setup Type 페이지에서 가용한 유일한 옵션이 Standalone CA 임을 확인합니다. 즉,
CA01 서버가 Active Directory Domain Service 도메인의 구성원이 아니기 때문에,
Standalone CA 만이 구성 옵션으로 가능합니다. Next 를 선택합니다.
페이지 23 / 73
16. CA Type 페이지에서, 기본적으로 Root CA 가 선택되어 있음을 확인 한 후, Next 를
클릭합니다.
17. Private Key 페이지에서, Create a new private key 가 기본적으로 선택되어 있음을
그대로 유지한 후, Next를 클릭합니다.
페이지 24 / 73
18. Cryptography for CA 페이지에서, Cryptographic Provider가 RSA#Microsoft Software
Key Storage Provider 선택되어 있음을 확인하고, Key Length는 2048로 설정되어 있음을
확인하고, Hash Algorithm는 SHA1을 선택한 후, Next 를 클릭합니다.
19. CA Name 페이지에서, Common name for this CA 텍스트 상자에서, Contoso Root CA
를 입력한 후, Next를 클릭합니다.
페이지 25 / 73
20. Validity Period 페이지에서, 인증서의 유효 기간에 대한 값으로써 20을 입력합니다.
21. CA Database 페이지에서, 데이터베이스 및 데이터베이스 로그 파일의 기본 경로를
그대로 유지한 후, Next 를 클릭합니다.
페이지 26 / 73
22. Confirmation 페이지에서, Configure를 클릭합니다.
23. Installation Progress 페이지에서, Close를 클릭합니다.
페이지 27 / 73
Note – 위 모든 구성 과정은 아래 Windows PowerShell 명령어로 대체할 수 있습니다.
Add-WindowsFeature Adcs-Cert-Authority –IncludeManagementTools
Install-AdcsCertificationAuthority –CAType StandaloneRootCA –CACommonName “Contoso
Root CA” –KeyLength 2048 –HashAlgorithm SHA1 –CryptoProviderName “RSA#Microsoft
Software Key Storage Provider” -ValidityPeriod Years -ValidityPeriodUnits 20 -Force
페이지 28 / 73
Exercise 3: Standalone Offline Root CA 사후 설치 구성 작업 (on
CA01)
1. CA01 서버에 관리자 계정(CA01\Administrator)으로 로그인합니다.
2. Command Prompt을 수행합니다.
3. Active Directory Configuration Partition DN을 정의하기 위하여, 아래 명령어를 입력한
후, Enter를 누릅니다. 아래 명령어의 입력은 스펠링의 오류가 없도록 해야 합니다.
Certutil -setreg CA\DSConfigDN CN=Configuration,DC=Contoso,DC=com
4. CRL Period Units 및 CRL Period을 정의하기 위해, 아래 명령어를 입력한 후, Enter를
누릅니다.
Certutil -setreg CA\CRLPeriodUnits 52
Certutil -setreg CA\CRLPeriod “Weeks”
5. CRL Overlap Period Units 및 CRL Overlap Period을 정의하기 위해, 아래 명령어를
입력한 후, Enter를 누릅니다.
Certutil -setreg CA\CRLOverlapPeriodUnits 12
Certutil -setreg CA\CRLOverlapPeriod “Hours”
페이지 29 / 73
6. CA01 서버의 CA를 통해 발급된 모든 인증서를 위한 Validity Period Units를 정의하기
위하여, 아래 명령어를 입력한 후, Enter를 누릅니다. Two-Tier PKI 계층 구조에서,
Enterprise Issuing CA는 인증서의 유효 기간을 10년으로 설정함을 유념해야 합니다. 즉,
Standalone Offline Root CA에서 발급되는 모든 인증서의 유효 기간은 10년임을
설정하는 단계입니다. 그러므로, Standalone Offline Root CA (CA01)에서 발급될
Contoso Issuing CA(CA02.CONTOSO.com)의 인증서는 유효 기간이 10년으로
설정됩니다.
Certutil -setreg CA\ValidityPeriodUnits 10
Certutil -setreg CA\ValidityPeriod “Years”
7. CA 감사는 시스템 Object Access 감사를 활성화함으로써 가능합니다. 그러므로,
시스템을 위한 CA 감사를 설정하기 위하여, 관리자는 아래 2가지 설정 구성을 할
필요성이 있습니다.
페이지 30 / 73
A. Certificate Authority MMC 스냅-인에서 감사를 위한 그룹 이벤트를 선택함으로써
CA의 감사를 활성화하거나, AuditFilter 레지스트리 키 설정을 구성함으로써 CA
감사를 활성화할 수 있습니다. CA와 관련된 모든 이벤트를 구성하기 위하여, 아래
명령어를 입력한 후, Enter를 누릅니다.
Certutil -setreg CA\AuditFilter 127
B. Certificate Authority의 객체 접근 감사를 활성화합니다. Standalone Offline Root
CA는 도메인에 죠인되지 않은 워크그룹 상태이므로, Local Security Policy를 사용하여
이러한 설정을 구성할 필요성이 있습니다. 아래는 Local Security Policy를 사용하여
Object Access Auditing을 활성화하는 절차입니다.
i. Server Manager 를 수행한 후, Tools -> Local Security Policy 순서로
클릭합니다.
ii. Local Policies 를 확장한 후, Audit Policy를 선택합니다.
iii. Audit Object Access를 더블 클릭한 후, Success 및 Failure를 선택한 후, OK를
클릭합니다.
페이지 31 / 73
iv. Local Security Policy 편집기를 닫습니다.
8. Registry Editor를 수행하기 위하여, Start를 클릭한 후, Run를 선택합니다. Regedit를
입력한 후, Enter를 누릅니다.
9. HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\Contoso Root
CA 레지스트리 위치를 선택한 후, CACertPublicationURLs를 open 합니다.
CACertPublicationURLs 를 아래와 같이 정확하게 구성함을 확인합니다. 기본값에서 적당한
변경이 필요합니다. 특히, 2번째 줄의 HTTP 경로는 앞서 CNAME으로 구성한 PKI.CONTOSO.com
임을 확인합니다. http://PKI.CONTOSO.com/ 경로는 외부에서 PublicationURLs 및 아래
CRLPublicationURLs을 참조할 수 있는 유일한 경로이므로, 정확한 구성이 필요합니다.
1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2:http://pki.contoso.com/CertEnroll/%1_%3%4.crt
2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
페이지 32 / 73
10. HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\Contoso Root
CA 레지스트리 위치를 선택한 후, CRLPublicationURLs를 open 합니다.
CRLPublicationURLs 를 아래와 같이 정확하게 구성함을 확인합니다. 기본값에서 적당한 변경이
필요합니다.
1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
2:http://pki.contoso.com/CertEnroll/%3%8%9.crl
10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
11. 레지스트리 편집기를 닫고, 아래 명령어를 수행하여 앞서 구성한 레지스트리 키 값을
적용하기 위해, Active Directory Certificate Service를 재 시작합니다.
net stop certsvc & net start certsvc
12. Active Directory Certificate Service를 재 시작됨을 확인 한 후, CRL을 공개하기 위하여,
아래 명령어를 수행합니다.
Certutil -CRL
페이지 33 / 73
Exercise 4: Subordinate Issuing CA 설치 (on CA02)
Exercise 4를 수행하기 위해서는 아래와 같이 총 5개의 세부 작업이 포함됩니다.
Subordinate Enterprise Issuing CA 를 위한 CAPolicy.inf 생성
Active Directory 및 HTTP 경로에 Root CA 인증서 및 CRL 공개한 후,
CA02.CONTOSO.com의 로컬 저장소에 추가
Subordinate Issuing CA 설치
Contoso Root CA (CA01) 에서, Contoso Issuing CA(CA02.CONTOSO.com)의 인증서 요청
생성 및 Submit
CA02.Contoso.com 에서, Contoso Issuing CA 인증서 설치
Subordinate Enterprise Issuing CA 를 위한 CAPolicy.inf 생성
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Windows Explorer에서 C:\Windows\CAPolicy.inf 파일을 Notepad에서 Open한 후,
파일의 내용을 검토합니다. 이 파일의 내용은 아래와 같습니다. (Note – To save time
this file has been already created for you).
페이지 34 / 73
[Version]
Signature="$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
페이지 35 / 73
Note - Windows XP 및 Windows Server 2003 인증서 클라이언트는 Alternate Signature
Algorithm을 지원하지 않습니다. 이러한 클라이언트가 인증서를 발급받기를 원한다면,
CAPolicy.inf에서 AlternateSignatureAlgorithm=1 를 추가하지 않습니다. 좀 더 자세한 정보를
획득하기 위하여, Guidelines for Using Alternate Signature Formats 링크를 확인합니다.
3. 검토 후에, CAPolicy.inf 파일을 닫습니다.
페이지 36 / 73
Active Directory 및 HTTP 경로에 Root CA 인증서 및 CRL 공개한 후, CA02.CONTOSO.com의 로
컬 저장소에 추가
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. 앞서 Exercise 3에서 Standalone Offline Root CA의 ROOT CA 인증서 및 ROOT CA CRL
파일을 공개했습니다. 이 2가지 파일을 CA02.CONTOSO.com 서버의 C 드라이브 루트에
복사합니다. 실제 경로는
\\192.168.0.11\C$\Windows\System32\CertSrv\CertEnroll 이고, 이 경로에는
Root CA Certificate (.crt file) 및 Root CA CRL (.crl file) 파일 2개가 존재함을 확인 한 후,
이 2개 파일을 CA02.CONTOSO.com 서버의 C 드라이브 루트에 복사합니다.
페이지 37 / 73
3. 이제 앞서 복사한 Contoso Root CA Certificate 및 CRL 2개 파일을 실제 Enterprise
Issuing CA가 설치될 Active Directory (CONTOSO.com)에 공개하기 위하여, 아래와 같은
명령어를 수행한 후, 를 누릅니다.
certutil -f -dspublish “CA01_Contoso Root CA.crt” RootCA
certutil -f -dspublish “Contoso Root CA.crl”
4. http://pki.Contoso.com/CertEnroll 링크에 Contoso Root CA Certificate 및 CRL 2개
파일을 공개하기 위하여, \\Web1.Contoso.com\C$\CertEnroll 디렉터리에 Contoso
Root CA Certificate 및 CRL 2개 파일을 복사합니다. 아래 명령어를 수행한 후, 를
누릅니다. 2개 파일은 CA02.CONTOSO.com 서버의 C 드라이브 루트에 존재함을
확인합니다.
copy "CA01_Contoso Root CA.crt" \\WEB1.Contoso.com\C$\CertEnroll\
copy "Contoso Root CA.crl" \\WEB1.Contoso.com\C$\CertEnroll\
5. CA02.CONTOSO.com 로컬 저장소에 Contoso Root CA Certificate 및 CRL 을 추가히기
위하여, 아래 명령어를 수행한 후, Enter 를 누릅니다. 또한, 아래와 같이
CA02.CONTOSO.com 서버의 “인증서” 스냅-인의 “신뢰할 수 있는 루트 인증 기관”에서
추가된 “Contoso Root CA”를 확인할 수 있습니다.
certutil -addstore -f root “CA01_Contoso Root CA.crt”
certutil -addstore -f root “Contoso Root CA.crl”
페이지 38 / 73
페이지 39 / 73
Subordinate Issuing CA 설치
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager에서, Manage를 클릭한 후, Add Roles and Features를 클릭합니다
3. “Before you begin” 페이지에서, Next를 클릭합니다.
4. “Select Installation Type” 페이지에서, Role-based or feature-based installation 이
선택되어 있음을 확인한 후, Next를 클릭합니다.
5. “Select Destination Server” 페이지에서, Server Pool 하위에서 CA02.COTNSO.com가
선택되어 있음을 확인한 후, Next를 클릭합니다.
6. “Select Server Roles” 페이지에서, Active Directory Certificate Services 역할을
선택합니다.
7. Remote Server Administration Tools 설치 여부를 확인할 때, Add Features를
클릭합니다.
8. “Select Features” 페이지에서, Next를 클릭합니다.
9. “Active Directory Certificate Services” 페이지에서, Next를 클릭합니다.
10. “Select Role Services” 페이지에서, 기본적으로 Certification Authority 역할이 선택되어
있음을 확인한 후, Next를 클릭합니다.
페이지 40 / 73
11. “Confirm Installation Selections” 페이지에서, 정보를 검증한 후, Install 를 클릭합니다.
12. 설치가 완료될 때까지 대기합니다. CA를 위한 바이너리 파일이 설치될 때, 설치 진행
과정이 보여집니다. 바이너리 파일 설치가 완료된 후, Configure Active Directory
Certificate Services on the destination server 링크를 클릭합니다.
구성을 완료하지 않고 Close를 클릭한다면, Server Manager의 notifications icon 부분에서,
구성을 완료하기 위하여 링크를 통하여 역할 서비스의 구성을 완료할 수 있습니다.
13. Credentials 페이지에서, 자격증명 상자에 CONTOSO\Administrator 계정이 보여짐을
확인한 후, Next 를 클릭합니다.
14. Role Services 페이지에서, Certification Authority를 선택한 후, Next를 클릭합니다.
페이지 41 / 73
15. Setup Type 페이지에서, Enterprise CA 옵션이 자동으로 선택되어 있음을 확인 한 후,
Next 를 클릭합니다.
16. “CA Type” 페이지에서, Enterprise Subordinate CA를 설치하기 위하여, Subordinate CA
를 선택한 후, Next 를 클릭합니다.
17. Private Key 페이지에서, Create a new private key 가 기본적으로 선택되어 있음을
그대로 유지한 후, Next를 클릭합니다.
18. Cryptography for CA 페이지에서, Cryptographic Provider가 RSA#Microsoft Software
Key Storage Provider 선택되어 있음을 확인하고, Key Length는 2048로 설정되어 있음을
확인하고, Hash Algorithm는 SHA1을 선택한 후, Next 를 클릭합니다.
페이지 42 / 73
19. CA Name 페이지에서, Common name for this CA 텍스트 상자에서, Contoso Issuing
CA 를 입력한 후, Next를 클릭합니다. Distinguished Name 부분이 자동적으로
CN=Contoso Issuing CA,DC=contoso,DC=com 와 같이 변경됨을 확인할 수 있습니다.
20. “Certificate Request” 페이지에서, Save a certificate request to file on the target
machine 이 선택되어 있음을 확인합니다. 이 구성은 Offline Root CA(Contoso Root
CA)를 사용하기 때문에 정확한 옵션입니다. 즉, 현재 설치 중인 Enterprise Issuing CA인
Contoso Issuing CA의 상위 인증 기관으로써 Contoso Root CA로 지정하기 위하여,
Contoso Issuing CA의 루트 인증서 요청을 파일로 구성하여, Contoso Root CA에
오프라인으로 전달하여 Contoso Issuing CA의 루트 인증서를 발급 받습니다. 아래를
확인해 보면, Contoso Issuing CA의 루트 인증서 요청이
C:\CA02.contoso.com_contoso-CA02-CA.req 파일로 생성됨을 확인합니다.
페이지 43 / 73
21. “CA Database” 페이지에서, Contoso Issuing CA의 기본 데이터베이스 경로 및 로그
경로를 유지한 후, Next 를 클릭합니다.
22. “Confirmation” 페이지에서, Configure 를 클릭합니다.
페이지 44 / 73
23. “Results” 페이지에서, 구성을 완료하기 위하여, “부모 CA(Contoso Root CA)”에서 인증서
요청을 처리하도록 함을 확인하는 메시지를 확인할 수 있습니다. Close 를 클릭합니다.
Note – Enterprise Subordinate CA의 설치 과정은 아래 Windows PowerShell 명령어로 대체할 수
있습니다:
Add-WindowsFeature Adcs-Cert-Authority –IncludeManagementTools
Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CACommonName
"Contoso Issuing CA" -KeyLength 2048 -HashAlgorithm SHA1 -CryptoProviderName
"RSA#Microsoft Software Key Storage Provider"
페이지 45 / 73
Contoso Root CA (CA01) 에서, Contoso Issuing CA(CA02.CONTOSO.com)의 인증서 요청 생성 및
Submit (on CA01)
1. CA01 서버에 관리자 계정(CA01\Administrator)으로 로그인합니다.
2. 앞서 Exercise 3의 “Subordinate Issuing CA 설치” 단계의 20번째에서, Contoso Issuing
CA의 루트 인증서 요청이 CA02.CONTOSO.com 서버의 C:\CA02.contoso.com_contoso-
CA02-CA.req 파일로 생성됨을 확인했습니다. 이제 이 루트 인증서 요청 파일을
Standalone Offline Root CA인 CA01 서버의 C 드라이브 루트에 복사합니다. 실제 경로는
\\192.168.0.12\C$\CA02.Contoso.com_Contoso Issuing CA.req 이고, 이 파일을
CA01(192.168.0.11) 서버의 C 드라이브 루트에 복사합니다.
페이지 46 / 73
3. Server Manager 에서, Certificate Authority Manager MMC를 수행하기 위하여,
Certification Authority 를 클릭합니다.
4. Contoso Root CA 를 오른쪽 마우스 클릭한 후, All Tasks -> Submit New Request
순서로 클릭합니다.
5. C 드라이브 루트에서, “CA02.Contoso.com_Contoso Issuing CA.req” 요청 파일을 선택한
후, Open 를 클릭합니다.
페이지 47 / 73
6. Contoso Root CA 노드를 확장하고, Pending Requests 를 선택합니다.
7. 오른쪽 창에서 Pending Request를 오른쪽 마우스 클릭한 후, All Tasks -> Issue 순서로
클릭합니다.
8. Issued Certificates 를 선택한 후, 오른쪽 창에서 발급된 인증서를 오른쪽 마우스 클릭한
후, Open 을 선택합니다.
9. Details 탭을 선택한 후, 밑에 있는 Copy to File 를 클릭합니다. 이 작업은 이제
Standalone Offline Root CA로부터 발급받은 Enterprise Issuing CA인 Contoso Issuing
페이지 48 / 73
CA의 루트 인증서를 외부 파일로 추출하는 과정입니다. 이 루트 인증서는 실제 Contoso
Issuing CA의 설치될 예정입니다.
10. “Welcome to the Certificate Export Wizard” 페이지에서, Next 를 클릭합니다.
페이지 49 / 73
11. “Cryptographic Message Syntax Standard - PKCS #7 Certificates (.P7B)” 로 형태를
변경한 후, Next 를 클릭합니다.
12. “file name” 부분에서 C:\Contoso Issuing CA 를 입력한 후, Next -> Finish -> OK ->
OK 순서로 클릭합니다. 이제 CA01 서버의 C 드라이브 루트에 C:\Contoso Issuing
CA.P7B 파일이 생성됩니다.
페이지 50 / 73
페이지 51 / 73
CA02.Contoso.com 에서, Contoso Issuing CA 인증서 설치
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. 앞서 Exercise 3의 “Contoso Root CA (CA01) 에서, Contoso Issuing
CA(CA02.CONTOSO.com)의 인증서 요청 생성 및 Submit” 단계의 9번째에서, Contoso
Issuing CA의 루트 인증서 파일이 C:\Contoso Issuing CA.P7B 파일로 생성됨을
확인했습니다. 이제 이 Contoso Issuing CA 인증서 파일을 Enterprise Subordinate CA인
CA02.CONTOSO.com 서버의 C 드라이브 루트에 복사합니다. 실제 경로는
\\192.168.0.11\C$\Contoso Issuing CA.P7B 이고, 이 파일을 CA02.CONTOSO.com
(192.168.0.12) 서버의 C 드라이브 루트에 복사합니다.
페이지 52 / 73
3. Server Manager 에서, Certificate Authority Manager MMC를 수행하기 위하여,
Certification Authority 를 클릭합니다.
4. Contoso Issuing CA 를 오른쪽 마우스 클릭한 후, All Tasks -> Install CA Certificate
순서로 클릭합니다. 이 작업을 통해, Standalone Offline Root CA로부터 발급받은
Enterprise Issuing CA인 Contoso Issuing CA에 설치합니다.
5. C:\Contoso Issuing CA.P7B 파일을 선택한 후, Open 을 클릭합니다.
CA02.CONTOSO.com
(192.168.0.12)
페이지 53 / 73
6. Certificate Authority 서비스를 시작하기 위하여, Certificate Authority MMC에서 Consoto
Issuing CA 를 오른쪽 마우스 클릭한 후, All Tasks -> Start Service 순서로 클릭합니다.
(Note – You may have to wait for few seconds before it allows you to start service).
Note – Start 서비스 아이콘의 색깔이 검정에서 녹색으로 변경됨을 확인합니다.
페이지 54 / 73
7. Contoso Issuing CA 노드를 확장한 후, Certificate Templates 를 선택합니다. 오른쪽 창
에 기본 인증서 템플릿이 하나도 존재하지 않음을 확인합니다. 이것은 앞서 Exercise 3의
“Subordinate Enterprise Issuing CA 를 위한 CAPolicy.inf 생성” 단계의 정책 파일에서
LoadDefaultTemplates=0 옵션을 설정하였기 때문에 발생하는 현상입니다.
페이지 55 / 73
Exercise 5: Subordinate Issuing CA 에서 설치 후속 구성 (on CA02)
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator) 으로
로그인합니다.
2. Command Prompt을 수행합니다.
3. CRL Period Units 및 CRL Period을 정의하기 위해, 아래 명령어를 입력한 후, Enter를
누릅니다.
Certutil -setreg CA\CRLPeriodUnits 1
Certutil -setreg CA\CRLPeriod “Weeks”
Certutil –setreg CA\CRLDeltaPeriodUnits 1
Certutil –setreg CA\CRLDeltaPeriod “Days”
페이지 56 / 73
4. CRL Overlap Period Units 및 CRL Overlap Period을 정의하기 위해, 아래 명령어를
입력한 후, Enter를 누릅니다.
Certutil -setreg CA\CRLOverlapPeriodUnits 12
Certutil -setreg CA\CRLOverlapPeriod “Hours”
5. Contoso Issuing CA의 레지스트리 설정에서 인증서 유효 기간이 기본으로 2년임을
확인할 수 있습니다. 즉, Contoso Issuing CA에서 발급되는 모든 인증서의 유효 기간은
기본적으로 2년입니다. 이 인증서 유효 기간을 적절하게 수정합니다. Contoso Issuing
CA의 루트 인증서 유효 기간은 10년임을 앞서 확인했습니다. 이러한 상태에서, Contoso
Issuing CA에서 발급되는 모든 인증서의 유효 기간은 10년의 반절 이상으로 설정하는
것은 권장 사항이 아닙니다. 본 데모 환경에서, Contoso Issuing CA에서 발급되는 모든
인증서의 유효 기간은 5년으로 설정합니다.
페이지 57 / 73
Certutil -setreg CA\ValidityPeriodUnits 5
Certutil -setreg CA\ValidityPeriod “Years”
6. CA 감사는 시스템 Object Access 감사를 활성화함으로써 가능합니다. 그러므로,
시스템을 위한 CA 감사를 설정하기 위하여, 관리자는 아래 2가지 설정 구성을 할
필요성이 있습니다.
A. Certificate Authority MMC 스냅-인에서 감사를 위한 그룹 이벤트를 선택함으로써
CA의 감사를 활성화하거나, AuditFilter 레지스트리 키 설정을 구성함으로써 CA
감사를 활성화할 수 있습니다. CA와 관련된 모든 이벤트를 구성하기 위하여, 아래
명령어를 입력한 후, Enter를 누릅니다.
Certutil -setreg CA\AuditFilter 127
B. Certificate Authority의 객체 접근 감사를 활성화합니다. Local Security Policy를
사용하여 이러한 설정을 구성할 수 있으나, CA02.CONTOSO.com 서버는 도메인
멤버 컴퓨터이므로, GPO 기반으로 설정할 수도 있습니다. 아래는 Local Security
Policy를 사용하여 Object Access Auditing을 활성화하는 절차입니다.
i. Server Manager 를 수행한 후, Tools -> Local Security Policy 순서로
클릭합니다.
ii. Local Policies 를 확장한 후, Audit Policy를 선택합니다.
iii. Audit Object Access를 더블클릭한 후, Success 및 Failure를 선택한 후, OK를
페이지 58 / 73
클릭합니다.
iv. Local Security Policy 편집기를 닫습니다.
7. Registry Editor를 수행하기 위하여, Start를 클릭한 후, Run를 선택합니다. Regedit를
입력한 후, Enter를 누릅니다.
8. HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\Contoso Issuing
CA 레지스트리 위치를 선택한 후, CACertPublicationURLs를 open 합니다.
CACertPublicationURLs 를 아래와 같이 정확하게 구성함을 확인합니다. 기본값에서 적당한
변경이 필요합니다. 특히, 2번째 줄의 HTTP 경로는 앞서 CNAME으로 구성한 PKI.CONTOSO.com
임을 확인합니다. http://PKI.CONTOSO.com/ 경로는 외부에서 PublicationURLs 및 아래
CRLPublicationURLs을 참조할 수 있는 유일한 경로이므로, 정확한 구성이 필요합니다.
1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2:http://pki.Contoso.com/CertEnroll/%1_%3%4.crt
2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
페이지 59 / 73
9. HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\Contoso Issuing
CA 레지스트리 위치를 선택한 후, CRLPublicationURLs를 open 합니다.
CRLPublicationURLs 를 아래와 같이 정확하게 구성함을 확인합니다. 기본값에서 적당한 변경이
필요합니다. 아래에 특이하게, SMB 경로(file://\\Web1.Contoso.com\CertEnroll\%3%8%9.crl)
가 존재함을 확인합니다.
65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
6:http://pki.Contoso.com/CertEnroll/%3%8%9.crl
79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
65:file://\\Web1.Contoso.com\CertEnroll\%3%8%9.crl
10. 레지스트리 편집기를 닫고, 아래 명령어를 수행하여 앞서 구성한 레지스트리 키 값을
적용하기 위해, Active Directory Certificate Service를 재 시작합니다.
net stop certsvc & net start certsvc
페이지 60 / 73
11. Active Directory Certificate Service를 재 시작됨을 확인 한 후, CRL을 공개하기 위하여,
아래 명령어를 수행합니다.
Certutil -CRL
12. http://pki.contoso.com/CertEnroll 에 Contoso Issuing CA Certificate 를 공개하기 위하여,
다음 명령어를 수행합니다.
copy “C:\Windows\System32\CertSrv\CertEnroll\CA02.contoso.com_Contoso Issuing
CA.crt" \\WEB1.Contoso.com\C$\CertEnroll\
페이지 61 / 73
Exercise 6: PKI Hierarchy Health 검증 (on CA02)
PKIView.msc (Enterprise PKI)를 사용하여 PKI Health 검증
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다. Log onto CA02.Contoso.com as Contoso\Administrator.
2. Command Prompt을 수행한 후, PKIView.msc 를 입력한 후, Enter 를 클릭합니다. Open
Command Prompt and type PKIView.msc and press Enter.
3. Enterprise PKI 노드를 확장한 후, Contoso Root CA -> Contoso Issuing CA 순서로
선택합니다. CA Certificates, AIA URLs, 및 CDP URLs 상태가 모두 OK임을 확인할 수
있습니다.
4. Enterprise PKI 를 오른쪽 마우스 클릭한 후, Manage AD Containers 를 선택합니다.
5. NTAuthCertificates 탭에서, Contoso Issuing CA 인증서 객체의 상태가 OK임을
검증합니다.
페이지 62 / 73
6. AIA Container 탭에서, Contoso Root CA 및 Contoso Issuing CA 인증서 상태 모두
OK임을 확인합니다.
7. CDP Container 탭에서, Contoso Root CA base CRL, Contoso Issuing CA base & delta
CRLs 상태 모두 OK임을 확인합니다.
8. Certificate Authorities Container 탭에서, Contoso Root CA 인증서 상태가 OK임을
확인합니다.
9. Enrollment Services Container 탭에서, Contoso Issuing CA 인증서 상태가 OK임을
페이지 63 / 73
확인합니다.
페이지 64 / 73
Exercise 7: Windows 8 클라이언트 인증서 자동 발급(Auto Enrollment)
을 위한 구성 및 수행 (on CA02)
Exercise 7를 수행하기 위해서는 아래와 같이 총 4개의 세부 작업이 포함됩니다.
자동 발급 활성화를 위한 GPO 구성
자동 발급을 위한 인증서 템플릿 준비
인증 기관에 인증서 템플릿 공개
Windows 8 클라이언트에서 자동 발급 수행
자동 발급 활성화를 위한 GPO 구성
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager에서, Tools 를 클릭한 후, Group Policy Management 를 클릭합니다.
3. Forest: Contoso.com -> Domains -> Contoso.com 순서로 클릭한 후, Default Domain
Policy 를 오른쪽 마우스 클릭한 후, Edit 를 클릭합니다.
4. Group Policy Management Editor 도구에서, Computer Configuration -> Policies ->
Windows Settings -> Security Settings -> Public Key Policies 순서로 선택합니다.
페이지 65 / 73
Note – 컴퓨터가 아닌 사용자 인증서 자동 발급을 위해서는, 그룹 정책의 User Configuration
부분을 구성해야 합니다. 이번 데모 환경에서, 오로지 컴퓨터 인증서의 자동 발급을 위한 그룹
정책을 활성화합니다.
5. Public Key Polices 가 선택된 후, 오른쪽 창의 Certificate Services Client – Auto
Enrollment 를 더블 클릭합니다.
6. Configuration Model 부분의 드롭 다운 메뉴에서, Enabled 를 선택한 후, 아래 2가지
옵션을 선택합니다.
Renew expired certificates, update pending certificates and remove revoked
certificates
페이지 66 / 73
Update certificates that use certificate templates
7. OK를 클릭합니다.
페이지 67 / 73
자동 발급을 위한 인증서 템플릿 준비
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager 에서, Certificate Authority Manager MMC를 수행하기 위하여, Tools ->
Certification Authority 를 클릭합니다.
3. Contoso Issuing CA 를 확장한 후, Certificate Templates 를 오른쪽 마우스 클릭한 후,
Manage 를 선택합니다.
4. Certificate Templates 콘솔에서 Workstation Authentication 인증서 템플릿을 더블
클릭합니다.
5. “Workstation Authentication Properties” 페이지에서, Security 탭을 선택한 후, Add 를
클릭합니다. 아래와 같이 권한 설정을 수행합니다.
A. 객체 : Win8
B. 권한 : Read, Enroll, Autoenroll
페이지 68 / 73
페이지 69 / 73
인증 기관에 인증서 템플릿 공개
1. CA02.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Server Manager 에서, Certificate Authority Manager MMC를 수행하기 위하여, Tools ->
Certification Authority 를 클릭합니다.
3. Contoso Issuing CA 를 확장한 후, Certificate Templates 를 오른쪽 마우스 클릭한 후,
순서로 New -> Certificate Template to Issue 로 선택합니다.
4. “Enable Certificate Templates”페이지에서 Workstation Authentication 를 선택한 후,
OK 를 클릭합니다. Highlight Workstation Authentication in the “Enable Certificate
Templates” page and then click OK.
페이지 70 / 73
페이지 71 / 73
Windows 8 클라이언트에서 자동 발급 수행 (on Win8)
1. WIN8.CONTOSO.com 서버에 도메인 관리자 계정(CONTOSO\Administrator)으로
로그인합니다.
2. Command Prompt을 수행한 후, 업데이트된 그룹 정책을 적용 받기 위해, gpupdate
/force 명령어를 수행합니다.
Note – 또는 변경된 그룹 정책을 적용 받기 위하여, WIN8.CONTOSO.com 컴퓨터를 재 시작할
수도 있습니다.
3. Command Prompt을 수행한 후, MMC를 입력 한 후, Enter 를 누릅니다. MMC에서
“인증서” 스냅-인을 추가하기 위하여, File -> Select Add or Remove Snap-in 순서로
클릭합니다.
4. Certificates 를 선택한 후, Add -> Computer Account -> Next -> Finish -> OK 순서로
클릭합니다.
페이지 72 / 73
5. Certificates 를 확장 한 후, Personal -> Certificates 순서로 클릭합니다. 인증서 템플릿
부분이 “Workstation Authentication” 로 발급된 인증서가 발급되어 있음을 확인할 수
있습니다.
페이지 73 / 73
참조 자료
[Dongclee 의 12월 첫번째 포스팅] 도대체 Windows OS 환경에서의 PKI는 어떻게 배포
및 관리하면 될까요?
( http://blogs.technet.com/b/dongclee/archive/2010/11/30/dongclee-12-windows-os-
pki.aspx )