네트워크 장치 등록 서비스를 사용하면 도메인 자격 증명 없이 실행 중인 라우터 및 기타 네트워크 장치의 소프트웨어가 SCEP(Simple Certificate Enrollment Protocol)를 기반으로 하여 인증서를 얻을 수 있습니다.

참고

SCEP는 기존 CA(인증 기관)를 사용하여 안전하고 확장성 높은 방식으로 네트워크 장치에 인증서를 발급하도록 지원하기 위해 개발되었습니다. 프로토콜은 CA 및 등록 기관 공개 키 배포, 인증서 등록, 인증서 해지, 인증서 쿼리 및 인증서 해지 쿼리를 지원합니다.

네트워크 장치 등록 서비스는 다음 기능을 수행합니다.

  • 일회용 등록 암호를 생성하여 관리자에게 제공합니다.

  • SCEP 등록 요청을 CA에 제출합니다.

  • 등록된 인증서를 CA에서 검색하여 네트워크 장치로 전달합니다.

네트워크 장치 등록 서비스에 인증서를 등록하기 위해서는 네트워크 장치, 등록 기관, 네트워크 장치 등록 서비스를 호스팅하는 컴퓨터 및 CA를 관리하는 데 사용되는 소프트웨어가 필요합니다.

이 절차를 완료하려면 CA의 등록 기관 및 네트워크 장치의 관리자여야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

네트워크 장치 등록 서비스를 사용하여 인증서를 요청하고 등록하려면
  1. 네트워크 장치를 관리하는 데 사용되는 소프트웨어를 실행하고 이 소프트웨어를 사용하여 다음 중 하나에 대해 구성된 RSA 공개/개인 키 쌍을 생성합니다.

    • 서명 및 서명 확인

    • 암호화 및 암호 해독

    • 서명, 서명 확인, 암호화 및 암호 해독

  2. 장치 소프트웨어를 사용하여 이 키 쌍을 네트워크 장치 등록 서비스를 호스팅하는 컴퓨터의 등록 기관에 전달합니다.

  3. 웹 브라우저를 열고 http://localhost/certsrv/mscep_admin으로 이동합니다.

  4. 암호 테이블이 가득 차지 않은 경우 네트워크 장치 등록 서비스는 임의의 암호를 만들어 호출자에게 반환되는 HTML 페이지에 삽입합니다.

    참고

    이 URL에 연결할 때마다 다른 챌린지 암호가 표시됩니다. 각 챌린지 암호는 60분 동안 유효하며 한 번만 사용할 수 있습니다.

  5. 장치 소프트웨어와 암호를 사용하여 네트워크 장치 등록 서비스를 통해 인증서 요청을 제출하면 해당 요청이 CA로 릴레이됩니다.

  6. 등록 요청이 성공하면 요청된 인증서가 네트워크 장치 등록 서비스를 통해 CA에서 장치로 반환됩니다.

기본적으로 네트워크 장치 등록 서비스는 한 번에 다섯 개의 암호만 캐시할 수 있습니다. 암호 요청을 제출할 때 암호 캐시가 가득 찬 경우에는 요청을 다시 제출하기 전에 다음 중 하나를 수행해야 합니다.

  • 암호 중 하나가 만료되기까지 기다린 다음 새 요청을 제출합니다.

  • IIS(인터넷 정보 서비스)를 중지했다가 다시 시작하여 캐시에 저장된 모든 암호를 삭제합니다.

  • 한 번에 여섯 개 이상의 암호를 캐시하도록 서비스를 구성합니다.


목차