CA(인증 기관)에서는 정의된 규칙 집합을 사용하여 각 인증서 요청을 처리합니다. CA는 ID 증명이 없는 일부 인증서를 발급할 수 있으며 다른 종류의 인증서를 발급하기 위해 ID 증명을 요구할 수 있습니다. 이렇게 하면 서로 다른 인증서에 대해 각기 다른 수준의 보증을 제공할 수 있습니다. 이러한 보증 수준은 발급 정책으로 인증서에 표시됩니다.
발급 정책(등록 정책 또는 인증서 정책이라고도 함)은 인증서 발급 시 구현되는 관리 규칙 그룹입니다. 이는 CA에서 정의한 개체 식별자(OID라고도 함)로 인증서에 표시됩니다. 이 개체 식별자는 발급된 인증서에 포함되어 있습니다. 주체가 인증서를 제출하면 대상이 인증서를 검사하여 발급 정책을 확인하고 해당 수준의 발급 정책이 요청된 작업을 수행하기에 적합한지를 결정합니다.
Windows Server 2008 R2, Windows Server 2008 및 Windows Server 2003에는 다음의 네 가지 미리 정의된 발급 정책이 포함되어 있습니다.
-
모든 발급(2.5.29.32.0). 모든 발급 정책이란 이 발급 정책에 모든 다른 발급 정책이 포함되어 있음을 나타냅니다. 일반적으로 이 개체 식별자는 CA 인증서에만 할당됩니다.
-
낮은 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.400). 낮은 보증 개체 식별자는 추가 보안 요구 사항 없이 발급되는 인증서를 나타내는 데 사용됩니다.
참고 개체 식별자의 x.y.z 부분은 임의로 생성되는 숫자 시퀀스이며 이는 Active Directory 포리스트별로 고유합니다.
-
보통 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.401). 보통 보증 개체 식별자는 발급을 위한 추가 보안 요구 사항이 있는 인증서를 나타내는 데 사용됩니다. 예를 들어 스마트 카드 발급자와의 회의를 통해 발급되는 스마트 카드 인증서를 보통 보증 인증서로 간주할 수 있으며 여기에는 보통 보증 개체 식별자가 포함됩니다.
-
높은 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.402). 높은 보증 개체 식별자는 가장 높은 보안으로 발급되는 인증서를 나타내는 데 사용됩니다. 예를 들어 이 인증서를 보관 중인 개인이 엔터프라이즈 CA에서 개인 키 자료를 복구할 수 있기 때문에 키 복구 에이전트 인증서의 발급에는 지정된 승인자로부터의 추가 백그라운드 확인 및 디지털 서명이 필요할 수 있습니다.
또한 사용자 지정 발급 정책을 나타내기 위해 사용자 고유의 개체 식별자를 만들 수 있습니다.
주체가 CA에 인증서 요청을 제출하면 해당 요청은 자동으로 승인될 수도 있고 "보류 중" 상태로 저장될 수도 있습니다. 보류 중 상태는 일반적으로 높은 수준의 보증을 필요로 하고 이에 따라 더 많은 관리와 더 강력한 요청 확인을 필요로 하는 인증서에 사용됩니다. 템플릿을 기반으로 하는 발급 인증서에 대한 인증 및 서명 요구 사항을 구성할 수 있는 여러 가지 설정이 있습니다.
설정 | 설명 |
---|---|
CA 인증서 관리자 승인 |
모든 인증서는 인증서 관리자가 발급하거나 거부할 수 있도록 보류 중 컨테이너에 저장됩니다. |
다음 개수의 인증된 서명 |
이 설정을 사용하려면 인증서 요청이 발급되기 전에 하나 이상의 주체에 의해 디지털 서명되어야 합니다. 이렇게 하면 다른 여러 매개 변수를 구성할 수 있습니다. |
서명에 필요한 정책 종류 |
인증서 발급에 필요한 서명에는 특정 응용 프로그램 정책, 발급 정책 또는 둘 다가 포함되어야 합니다. CA는 이 방법을 통해 주체가 제출한 인증서의 발급을 인증하는 데 해당 서명이 적합한지를 결정합니다. 이 옵션은 다음 개수의 인증된 서명이 설정되어 있으면 사용할 수 있습니다. |
응용 프로그램 정책 |
인증서 요청을 서명할 때 확인할 응용 프로그램 정책을 지정합니다. 이 옵션은 서명에 필요한 정책 종류가 응용 프로그램 정책 또는 응용 프로그램 및 발급 정책으로 설정되어 있으면 사용할 수 있습니다. |
발급 정책 |
인증서 요청을 서명할 때 확인할 발급 정책을 지정합니다. 이 옵션은 서명에 필요한 정책 종류가 발급 정책 또는 응용 프로그램 및 발급 정책으로 설정되어 있으면 사용할 수 있습니다. |
새 응용 프로그램 정책은 버전 2 및 버전 3의 인증서 템플릿에서만 수정하거나 만들 수 있습니다. 자세한 내용은 기본 인증서 템플릿을 참조하십시오.
클라이언트에 이전 템플릿을 기반으로 한 유효한 인증서가 이미 있는 경우, 수정된 템플릿을 기반으로 한 인증서를 받으려면 해당 클라이언트를 다시 등록해야 합니다. 클라이언트를 다시 등록하는 방법에 대한 자세한 내용은 모든 인증서 소유자 다시 등록을 참조하십시오.
이 절차를 수행하려면 최소한 Domain Admins 또는 Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
발급 정책을 수정하려면 |
인증서 템플릿 스냅인을 엽니다.
세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
발급 요구 사항 탭을 클릭합니다.
요청된 정보를 제공하십시오.