루트 CA(인증 기관)를 설치한 뒤 대부분의 조직에서는 PKI(공개 키 인프라)에서 정책 제한을 구현하고 최종 클라이언트에 인증서를 발급하기 위해 하나 이상의 하위 CA를 설치합니다. 하위 CA를 최소한 하나 이상 사용하면 루트 CA가 불필요하게 노출되지 않도록 할 수 있습니다.
하위 CA를 사용하여 Active Directory 도메인에 계정이 있는 사용자나 컴퓨터에 인증서를 발급하는 경우, 하위 CA를 엔터프라이즈 CA로 설치하면 AD DS(Active Directory 도메인 서비스)에 있는 클라이언트의 기존 계정 데이터를 사용하여 인증서를 발급 및 관리하고 인증서를 AD DS에 게시할 수 있습니다.
이 절차를 완료하려면 최소한 로컬 Administrators 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 엔터프라이즈 CA로 사용하려는 경우 이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
 | 하위 CA를 설치하려면 |
서버 관리자를 열고 역할 추가를 클릭하고 다음을 클릭한 후 Active Directory 인증서 서비스를 클릭합니다. 다음을 두 번 클릭합니다.
역할 서비스 선택 페이지에서 인증 기관을 클릭하고 다음을 클릭합니다.
설치 유형 지정 페이지에서 독립 실행형 또는 엔터프라이즈를 클릭하고 다음을 클릭합니다.
자세한 내용은 인증 기관의 유형을 참조하십시오.
참고 엔터프라이즈 CA를 설치하려면 도메인 컨트롤러에 네트워크로 연결되어 있어야 합니다.
CA 유형 지정 페이지에서 하위 CA를 클릭하고 다음을 클릭합니다.
개인 키 설정 페이지에서 새 개인 키 만들기를 클릭한 후 다음을 클릭합니다.
암호화 구성 페이지에서 암호화 서비스 공급자, 키 길이 및 해시 알고리즘을 선택합니다. 다음을 클릭합니다.
자세한 내용은 CA에 대한 암호화 옵션을 참조하십시오.
인증서 요청 페이지에서 루트 CA를 찾아보거나, 루트 CA가 네트워크에 연결되지 않은 경우에는 인증서 요청을 나중에 처리할 수 있도록 파일로 저장합니다. 다음을 클릭합니다.
참고 하위 CA는 루트 CA 인증서가 발급되고 이 인증서를 사용하여 하위 CA의 설치를 완료할 때까지는 사용할 수 없습니다.
CA 이름 구성 페이지에서 CA를 식별할 고유한 이름을 만듭니다. 다음을 클릭합니다.
자세한 내용은 인증 기관 이름 지정을 참조하십시오.
유효 기간 설정 페이지에서 CA 인증서의 유효 기간(년 또는 개월 수)을 지정합니다. 다음을 클릭합니다.
인증서 데이터베이스 구성 페이지에서는 인증서 데이터베이스 및 인증서 데이터베이스 로그에 대한 사용자 지정 위치를 지정하려는 경우 이외에는 기본 위치를 승인합니다. 다음을 클릭합니다.
자세한 내용은 인증서 데이터베이스를 참조하십시오.
설치 옵션 확인 페이지에서 선택한 모든 구성 설정을 검토합니다. 모든 옵션을 승인하려면 설치를 클릭하고 설치 프로세스가 완료될 때까지 기다립니다.