역할 기반 관리를 사용하면 CA(인증 기관) 관리자를 각각 고유한 작업 집합을 가진 개별 미리 정의된 CA 역할로 구성할 수 있습니다. 역할은 각 사용자의 보안 설정을 사용하여 할당됩니다. 역할과 관련된 특정 보안 설정을 할당함으로써 사용자에게 역할을 할당할 수 있습니다. 한 종류의 권한(예를 들어 CA 관리 권한)을 가진 사용자는 다른 종류의 권한(예를 들어 인증서 발급 및 관리 권한)을 가진 사용자가 수행할 수 없는 특정 CA 작업을 수행할 수 있습니다.

다음 표에서는 역할 기반 관리를 구현하는 데 사용할 수 있는 역할, 사용자 및 그룹에 대해 설명합니다. 역할을 사용자나 그룹에 할당하려면 역할에 해당하는 보안 권한, 그룹 구성원 자격 또는 사용자 권한을 사용자나 그룹에 할당해야 합니다. 이러한 보안 권한, 그룹 구성원 자격 및 사용자 권한을 통해 어떤 사용자가 어떤 역할을 갖는지 구별할 수 있습니다.

역할 및 그룹 보안 권한 설명

CA 관리자

CA 관리

CA를 구성하고 유지 관리합니다. 다른 모든 CA 역할을 할당하고 CA 인증서를 갱신할 수 있는 CA 역할입니다. 이 사용 권한은 인증 기관 스냅인을 사용하여 할당됩니다.

인증서 관리자

인증서 발급 및 관리

인증서 등록 및 해지 요청을 승인합니다. CA 역할이며, CA 관리자라고도 합니다. 이 사용 권한은 인증 기관 스냅인을 사용하여 할당됩니다.

백업 운영자

파일 및 디렉터리 백업

파일 및 디렉터리 복원

시스템 백업 및 복구를 수행합니다. 백업은 운영 체제 기능입니다.

감사자

감사 및 보안 로그 관리

감사 로그를 구성하고, 보고, 유지 관리합니다. 감사는 운영 체제 기능입니다. 감사자는 운영 체제 역할입니다.

등록된 자

읽기

등록

등록된 자는 CA에 인증서를 요청하도록 허용된 클라이언트입니다. 이 역할은 CA 역할이 아닙니다.

모든 CA 역할은 로컬 Administrators, Enterprise Admins 또는 Domain Admins의 구성원에 의해 할당되고 수정됩니다. 엔터프라이즈 CA의 경우, 로컬 Administrators, Enterprise Admins 및 Domain Admins는 기본적으로 CA 관리자입니다. 하지만 독립 실행형 CA에서는 기본적으로 로컬 Administrators만 CA 관리자입니다. 독립 실행형 CA가 Active Directory 도메인에 가입된 서버에 설치된 경우에는 Domain Admins도 CA 관리자입니다.

CA 관리자와 인증서 관리자 역할은 로컬 컴퓨터의 로컬 보안 계정 데이터베이스인 SAM(보안 계정 관리자)에 있는 로컬 사용자 또는 Active Directory 사용자에게 할당할 수 있습니다. 개별 사용자 계정이 아닌 그룹 계정에 역할을 할당하는 것이 가장 좋습니다.

CA 관리자, 인증서 관리자, 감사자 및 백업 운영자만 CA 역할입니다. 표에 설명된 나머지 사용자는 역할 기반 관리와 관련이 있으며, CA 역할을 할당하기 전에 파악하고 있어야 합니다.

CA 관리자와 인증서 관리자만 인증 기관 스냅인을 사용해 할당할 수 있습니다. 사용자나 그룹의 권한을 변경하려면 사용자의 보안 권한, 그룹 구성원 자격 또는 사용자 권한을 변경해야 합니다.

CA에 CA 관리자 및 인증서 관리자 보안 권한을 설정하려면
  1. 인증 기관 스냅인을 엽니다.

  2. 콘솔 트리에서 CA 이름을 클릭합니다.

  3. 동작 메뉴에서 속성을 클릭합니다.

  4. 보안 탭을 클릭하고 보안 권한을 지정합니다.

역할 및 작업

각 CA 역할에는 연관된 특정 CA 관리 작업 목록이 있습니다. 다음 표에는 모든 CA 관리 작업과 이를 수행하는 역할이 나열되어 있습니다.

작업 CA 관리자 인증서 관리자 감사자 백업 운영자 로컬 관리자 참고

CA 설치

 

 

 

 

X

 

정책 및 끝내기 모듈 구성

X

 

 

 

 

 

AD CS(Active Directory 인증서 서비스) 중지 및 시작

X

 

 

 

 

 

확장 구성

X

 

 

 

 

 

역할 구성

X

 

 

 

 

 

CA 키 갱신

 

 

 

 

X

 

키 복구 에이전트 정의

X

 

 

 

 

 

인증서 관리자 제한 사항 구성

X

 

 

 

 

 

CA 데이터베이스의 한 행 삭제

X

 

 

 

 

 

CA 데이터베이스의 여러 행 삭제(대량 삭제)

X

X

 

 

 

사용자는 CA 관리자인 동시에 인증서 관리자여야 합니다. 역할 분리가 적용되면 이 작업을 수행할 수 없습니다.

역할 분리 사용

 

 

 

 

X

 

인증서 발급 및 승인

 

X

 

 

 

 

인증서 거부

 

X

 

 

 

 

인증서 해지

 

X

 

 

 

 

보류 상태의 인증서를 다시 활성화

 

X

 

 

 

 

인증서 갱신

 

X

 

 

 

 

CRL(인증서 해지 목록) 일정 사용, 게시 또는 구성

X

 

 

 

 

 

보관 키 복구

 

X

 

 

 

인증서 관리자만 CA 데이터베이스에서 암호화된 키 데이터 구조를 검색할 수 있습니다. 올바른 키 복구 에이전트의 개인 키는 키 데이터 구조를 암호 해독하여 PKCS #12 파일을 생성하는 데 필요합니다.

감사 매개 변수 구성

 

 

X

 

 

기본적으로 로컬 관리자는 시스템 감사 사용자 권한을 가집니다.

감사 로그

 

 

X

 

 

기본적으로 로컬 관리자는 시스템 감사 사용자 권한을 가집니다.

시스템 백업

 

 

 

X

 

기본적으로 로컬 관리자는 시스템 백업 사용자 권한을 가집니다.

시스템 복원

 

 

 

X

 

기본적으로 로컬 관리자는 시스템 백업 사용자 권한을 가집니다.

CA 데이터베이스 읽기

X

X

X

X

 

기본적으로 로컬 관리자는 시스템 감사시스템 백업 사용자 권한을 가집니다.

CA 구성 정보 읽기

X

X

X

X

 

기본적으로 로컬 관리자는 시스템 감사시스템 백업 사용자 권한을 가집니다.

추가 고려 사항

  • 등록된 자는 CA 속성과 CRL을 읽을 수 있고 인증서를 요청할 수 있습니다. 엔터프라이즈 CA의 경우에는 사용자에게 인증서 템플릿에 대한 읽기 및 등록 권한이 있어야 인증서를 요청할 수 있습니다. CA 관리자, 인증서 관리자, 감사자 및 백업 운영자에게는 암시적 읽기 권한이 있습니다.

  • 감사자는 시스템 감사 사용자 권한을 갖습니다.

  • 백업 운영자는 시스템 백업 사용자 권한을 갖습니다. 또한 백업 운영자는 AD CS(Active Directory 인증서 서비스)를 시작 및 중지할 수도 있습니다.

역할 할당

CA의 CA 관리자는 역할에 필요한 보안 설정을 사용자 계정에 적용하여 역할 기반 관리의 개별 역할에 사용자를 할당합니다. CA 관리자가 둘 이상의 역할에 사용자를 할당할 수도 있지만 각 사용자가 한 역할에만 할당될 때 CA가 더욱 안전합니다. 이러한 위임 전략을 사용하면 사용자 계정이 손상되는 경우 영향을 받는 CA 작업의 수를 줄일 수 있습니다.

관리자 고려 사항

독립 실행형 CA의 기본 설치 설정은 로컬 Administrators 그룹의 구성원을 CA 관리자로 두는 것이며 엔터프라이즈 CA의 기본 설치 설정은 로컬 Administrators, Enterprise AdminsDomain Admins 그룹의 구성원을 CA 관리자로 두는 것입니다. 이러한 계정의 권한을 제한하려면 모든 CA 역할을 할당할 때 CA 관리자 및 인증서 관리자 역할에서 해당 계정을 제거해야 합니다.

CA 관리자나 인증서 관리자 역할이 할당된 그룹 계정은 로컬 Administrators 그룹의 구성원이 되지 않는 것이 좋습니다. 또한 CA 역할은 개별 사용자 계정이 아닌 그룹 계정에만 할당되어야 합니다.

참고

CA의 로컬 Administrators 그룹 내 구성원 자격은 CA 인증서를 갱신하는 데 필요합니다. 이 그룹의 구성원은 다른 모든 CA 역할에 대한 관리 권한을 취할 수 있습니다.