NAP(네트워크 액세스 보호) CA(인증 기관)가 HRA(상태 등록 기관) 및 NAP IPsec(인터넷 프로토콜 보안) 적용 방법과 함께 사용되도록 제대로 구성되어 있는지 확인하려면 이러한 서버에 대해 다음 절차를 수행하십시오. NAP CA는 AD CS(Active Directory® 인증서 서비스)가 설치되어 실행되고 있으며 NAP 상태 인증서를 발급할 수 있는 서버입니다. AD CS에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=127816(페이지는 영문일 수 있음)을 참조하십시오.

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 적절한 계정과 그룹 구성원 자격의 사용에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=83477(페이지는 영문일 수 있음)을 참조하십시오.

NAP CA 선택

HRA는 NAP 상태 인증서를 획득하고 규격 NAP 클라이언트 컴퓨터에 이러한 인증서를 발급하기 위해 하나 이상의 CA와 연결되어 있어야 합니다. CA를 로컬로 설치하도록 선택하거나 기존 원격 CA를 선택하여 HRA를 설치하는 동안 CA를 선택할 수 있습니다. 또한 나중에 HRA 스냅인이나 명령줄을 사용하여 NAP CA를 추가할 수도 있습니다. 둘 이상의 CA를 HRA에 연결하려면 HRA 스냅인이나 명령줄을 사용해야 합니다. 엔터프라이즈 CA 또는 독립 CA를 사용하도록 HRA를 구성할 수 있습니다. NAP CA에 대한 구성 요소 사항은 사용자가 선택한 CA 유형에 따라 다릅니다. 독립 실행형 CA를 선택하든 엔터프라이즈 CA를 선택하든 CA 보안 설정과 인증서 발급 요구 사항을 구성해야 합니다. 권장 구성에서 HRA는 전용 독립 하위 CA와 연결됩니다. NAP CA를 사용하도록 HRA를 구성하는 방법에 대한 자세한 내용은 NAP 인증 기관 구성을 참조하십시오.

독립 실행형 CA 선택

독립 CA는 인증서 템플릿을 사용하지 않습니다. 따라서 독립 NAP CA를 사용할 때는 상태 인증서 템플릿을 구성할 필요가 없습니다. 독립 CA를 선택한 경우 HRA에서 상태 인증서를 요청하고 규격 클라이언트 컴퓨터에 자동으로 발급할 수 있도록 CA 보안 설정 및 인증서 발급 요구 사항을 구성해야 합니다.

엔터프라이즈 CA 선택

엔터프라이즈 CA는 인증서 템플릿을 기반으로 하는 인증서를 발급합니다. 인증서 확장 목록을 NAP에 대한 시스템 상태 인증과 같은 발급된 인증서에 제공하기 위해 정책 모듈이 사용됩니다. 엔터프라이즈 CA에서 Windows Server® 2008이 실행되고 있는 경우 기본적으로 도메인 및 상태 인증에 적합한 응용 프로그램 정책 확장이 있는 시스템 상태 인증 인증서 템플릿을 사용할 수 있습니다. 엔터프라이즈 CA에서 Windows Server® 2003이 실행되고 있는 경우에는 이러한 응용 프로그램 정책 확장이 포함된 템플릿을 만들어 게시해야 합니다. 다음 절차를 수행하여 엔터프라이즈 CA가 올바른 응용 프로그램 정책 확장이 있는 상태 인증서를 자동으로 발급하도록 구성되어 있는지 확인할 수 있습니다.

템플릿 가용성 확인

엔터프라이즈 CA 서버에서 Windows Server 2008이 실행되고 있는 경우 표시 이름이 시스템 상태 인증인 도메인 인증 NAP 클라이언트용 인증서 템플릿을 자동으로 사용할 수 있게 됩니다. 엔터프라이즈 CA에서 Windows Server 2003이 실행되고 있는 경우에는 이 템플릿이 만들어집니다. 올바른 응용 프로그램 정책 확장이 있는 NAP 상태 인증서 템플릿을 사용할 수 있는지 확인하거나 이 템플릿을 사용할 수 없는 경우 만들려면 다음 절차를 수행하십시오. 이 절차에서는 독립 CA를 사용할 경우에는 적용되지 않습니다.

템플릿 가용성을 확인하려면
  1. 시작, 실행을 차례로 클릭하고 certtmpl.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 세부 정보 창의 템플릿 표시 이름에서 템플릿 목록을 검토합니다. NAP 상태 인증서 템플릿의 이름을 두 번 클릭합니다. NAP 상태 인증서 템플릿이 나열되지 않으면 다음 단계를 수행하십시오.

    1. 워크스테이션 인증을 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 클릭합니다.

    2. 템플릿 표시 이름에서 시스템 상태 인증을 입력하고 확장 탭을 클릭합니다.

    3. 이 템플릿에 포함된 확장에서 응용 프로그램 정책을 클릭하고 편집을 클릭합니다.

    4. 추가를 클릭하고 새로 만들기를 클릭합니다.

    5. 새 응용 프로그램 정책이름에서 시스템 상태 인증을 입력합니다.

    6. 개체 식별자에서 1.3.6.1.4.1.311.47.1.1을 입력한 후 확인을 차례로 네 번 클릭합니다.

    7. 새 템플릿이 만들어졌는지 확인합니다.

    8. 새 템플릿을 확인하려면 해당 이름을 두 번 클릭하고 이 절차의 나머지 단계를 완료합니다.

  3. 확장 탭을 클릭합니다.

  4. 이 템플릿에 포함된 확장에서 응용 프로그램 정책을 클릭합니다.

  5. 응용 프로그램 정책 설명에서 시스템 상태 인증클라이언트 인증이 나열되었는지 확인한 후 편집을 클릭합니다.

  6. 시스템 상태 인증을 클릭하고 편집을 클릭합니다.

  7. 응용 프로그램 정책 편집개체 식별자에서 값이 1.3.6.1.4.1.311.47.1.1인지 확인합니다. 응용 프로그램 정책 개체 식별자 값이 다르면 이 절차의 이전 단계를 사용하여 새 시스템 상태 인증 템플릿을 만듭니다. 또한 시스템 상태 인증과 연결된 개체 식별자가 1.3.6.1.4.1.311.47.1.1이 되도록 응용 프로그램 정책 이름도 수정해야 합니다.

  8. 취소를 차례로 세 번 클릭한 후 인증서 템플릿 콘솔을 닫습니다.

참고

이 인증서 템플릿을 사용하여 익명 상태 인증서를 발급하는 경우 클라이언트 인증 응용 프로그램 정책을 포함하지 마십시오. 클라이언트 인증 응용 프로그램 정책을 포함하는 인증서가 도메인 자격 증명으로 인증된 클라이언트에 발급됩니다.

인증서 가용성 확인

엔터프라이즈 CA에서 클라이언트 컴퓨터에 인증서를 발급하려면 먼저 인증서를 사용할 수 있어야 합니다. NAP 상태 인증서를 발급할 수 있도록 하려면 다음 절차를 수행하십시오. 이 절차에서는 독립 CA를 사용할 경우에는 적용되지 않습니다.

인증서 가용성을 확인하려면
  1. 시작, 실행을 차례로 클릭하고 certsvr.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 콘솔 트리에서 인증서 템플릿을 클릭합니다.

  3. 세부 정보 창의 이름에서 NAP 상태 인증서가 나열되는지 확인합니다. 엔터프라이즈 CA 서버에서 Windows Server 2008이 실행되고 있는 경우 도메인 인증 NAP 클라이언트에 대한 기본 상태 인증서 템플릿의 표시 이름은 시스템 상태 인증입니다.

  4. 상태 인증서 템플릿이 만들어졌지만 목록에 표시되지 않으면 다음 단계를 사용하여 템플릿을 발급하십시오.

    1. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 발급할 인증서 템플릿을 클릭합니다.

    2. 인증서 템플릿 사용이름에서 NAP 상태 인증서의 이름을 클릭한 후 확인을 클릭합니다. 템플릿이 나열되지 않으면 이미 사용 가능하게 설정된 것이거나 이 절차를 수행하기 전에 템플릿을 만들어야 합니다.

    3. NAP 상태 인증서 템플릿이 템플릿 목록에 추가되었는지 확인합니다.

  5. 인증 기관 콘솔을 닫습니다.

HRA에 대한 인증서 등록 권한 확인

HRA가 엔터프라이즈 CA에서 인증서를 획득한 후 클라이언트에 발급하려면 상태 인증서를 등록할 수 있는 권한이 부여되어야 합니다. 자동 등록 권한을 사용하도록 설정하면 HRA에서 이 인증서를 로컬 인증서 저장소에 자동으로 추가할 수 있습니다. 등록 권한만 허용되면 HRA 서버에서 상태 인증서를 수동으로 구축해야 합니다. HRA에 이러한 권한이 부여되었는지 확인하려면 다음 절차를 수행하십시오. 이 절차에서는 독립 CA를 사용할 경우에는 적용되지 않습니다.

HRA에 대한 인증서 등록 권한을 확인하려면
  1. 시작, 실행을 차례로 클릭하고 certtmpl.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 세부 정보 창의 템플릿 표시 이름에서 NAP 상태 인증서의 이름을 두 번 클릭합니다. 엔터프라이즈 CA 서버에서 Windows Server 2008이 실행되고 있는 경우 도메인 인증 NAP 클라이언트에 대한 기본 상태 인증서 템플릿의 표시 이름은 시스템 상태 인증입니다.

  3. 보안 탭을 클릭합니다.

  4. HRA 서버의 DNS 이름이나 HRA 서버가 구성원으로 속하는 그룹에 등록자동 등록 권한이 부여되었는지 확인합니다. 이러한 사용 권한이 허용되지 않으면 다음 단계를 수행하십시오.

    1. 추가, 개체 유형을 차례로 클릭한 후 컴퓨터 확인란을 선택하고 확인을 클릭합니다.

    2. 시스템 상태 인증에 HRA 서버의 DNS 이름을 입력하고 확인을 클릭합니다. 또는 HRA 서버가 구성원인 그룹의 이름을 입력할 수 있습니다.

    3. 추가한 이름이나 그룹을 클릭하고 등록자동 등록에 대해 허용 권한을 선택하고 확인을 클릭합니다.

  5. 인증서 템플릿 콘솔을 닫습니다.

CA 보안 설정 확인

CA 보안 설정은 HRA가 상태 인증서를 발급할 수 있는 권한이 있는지 여부를 결정합니다. NAP CA에 대해 이러한 권한을 확인하려면 다음 절차를 수행하십시오. 이 절차에서는 엔터프라이즈 및 독립 CA 서버 둘 다에 적용됩니다.

인증서 보안 설정을 확인하려면
  1. 시작, 실행을 차례로 클릭하고 certsrv.msc를 입력한 다음 Enter 키를 누릅니다.

  2. CA의 일반 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. 보안 탭을 클릭합니다.

  4. HRA와 NAP CA가 같은 컴퓨터에서 실행되고 있는 경우 그룹 또는 사용자 이름 아래에 네트워크 서비스가 있는지 확인합니다.

  5. HRA와 NAP CA가 다른 컴퓨터에서 실행되고 있는 경우 그룹 또는 사용자 이름 아래에 HRA 서버의 컴퓨터 이름이 있는지 확인합니다.

  6. HRA 서버의 이름을 클릭하거나 네트워크 서비스를 클릭하고 인증서 발급 및 관리, CA 관리인증서 요청 권한이 허용되는지 확인합니다.

  7. 확인을 클릭한 다음 인증 기관 콘솔을 닫습니다.

인증서 발급 요구 사항을 확인하려면

NAP 클라이언트 컴퓨터가 네트워크 상태 요구 사항에 맞는 컴퓨터로 확인될 때 즉시 상태 인증서를 획득하려면 상태 인증서를 자동으로 발급하도록 NAP CA를 구성해야 합니다. 인증서가 자동으로 발급되는지 확인하려면 다음 절차를 수행하십시오. 이 절차에서는 엔터프라이즈 및 독립 CA 서버 둘 다에 적용됩니다.

인증서 발급 요구 사항을 확인하려면
  1. 시작, 실행을 차례로 클릭하고 certsrv.msc를 입력한 다음 Enter 키를 누릅니다.

  2. CA의 일반 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. 정책 모듈 탭을 클릭한 후 속성을 클릭합니다.

  4. 인증서 템플릿의 설정을 따름이 선택되었는지 확인합니다.

  5. 확인을 차례로 두 번 클릭한 후 인증 기관 콘솔을 닫습니다.

추가 참조