이러한 절차를 사용하여 AD CS(Active Directory® 인증서 서비스)를 설치하고 NPS(네트워크 정책 서버)를 실행하는 서버에 서버 인증서를 등록할 수 있습니다. 인증서 기반 인증을 배포하는 경우 NPS를 실행하는 서버에 서버 인증서가 있어야 합니다. 인증 작업 중에 이러한 서버는 서버 인증서를 ID 증명으로 클라이언트 컴퓨터에 보냅니다.
NPS 서버 인증서 등록을 구성하는 작업은 3단계로 이루어집니다.
-
AD CS 서버 역할을 설치합니다. 이 단계는 네트워크에 CA(인증 기관)를 배포하지 않은 경우에만 필요합니다.
-
서버 인증서 템플릿과 자동 등록을 구성합니다. CA가 인증서 템플릿을 기반으로 인증서를 발급하므로 NPS 서버 인증서에 대한 템플릿을 구성해야 CA가 인증서를 발급할 수 있습니다. 자동 등록을 구성하는 경우 NPS를 실행하는 서버에서 그룹 정책이 새로 고쳐질 때 네트워크에서 NPS를 실행하는 모든 서버가 서버 인증서를 자동으로 받습니다. 이후에 서버를 더 추가하는 경우 추가한 서버도 서버 인증서를 자동으로 받습니다.
-
NPS를 실행하는 서버에서 그룹 정책을 새로 고칩니다. 그룹 정책이 새로 고쳐지면 NPS를 실행하는 서버가 두 가지 인증서를 받습니다. 한 인증서는 이전 단계에서 구성한 템플릿을 기반으로 하는 서버 인증서입니다. 이 인증서는 NPS에서 네트워크에 연결하려는 클라이언트 컴퓨터에 NPS의 ID를 증명하는 데 사용됩니다. 다른 인증서는 발급 CA 인증서입니다. 이 인증서는 NPS를 실행하는 서버의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 자동으로 설치됩니다. NPS에서는 이 인증서를 사용하여 다른 컴퓨터에서 받는 인증서를 신뢰할지 여부를 결정합니다. 예를 들어 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)를 배포하는 경우 클라이언트 컴퓨터에서 인증서를 사용하여 NPS를 실행하는 서버에 자신의 ID를 증명합니다. 서버가 클라이언트 컴퓨터에서 인증서를 받으면 NPS를 실행하는 서버가 자신의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에서 발급하는 CA 인증서를 찾기 때문에 인증서에 대한 신뢰가 설정됩니다.
NPS 서버 인증서를 자동 등록하는 대신 다음 방법 중 하나를 사용하여 인증서를 등록할 수 있습니다.
-
플로피 디스크나 CD에서 NPS 인증서 저장소로 NPS 서버 인증서를 수동으로 가져옵니다.
-
인증서 서비스 웹 등록 도구를 사용하여 NPS 서버 인증서를 얻습니다.
NPS 서버 인증서가 컴퓨터 인증서이므로 현재 사용자가 아니라 로컬 컴퓨터에 대한 인증서 저장소로 인증서를 가져와야 합니다.
 | 주의 |
|
NPS 서버 인증서가 현재 사용자 인증서 저장소에 잘못 설치된 경우 인증서의 개인 키에 로컬 시스템의 키 액세스를 막는 잘못 구성된 ACL(액세스 제어 목록)이 있기 때문에 NPS에서 EAP 또는 PEAP(보호된 EAP) 인증에 대한 인증서를 사용할 수 없습니다. 인증서 MMC(Microsoft Management Console) 스냅인을 사용하여 NPS 서버 인증서의 위치를 확인할 수 있습니다. NPS 서버 인증서가 잘못된 위치에 있으면 현재 사용자에서 로컬 컴퓨터 인증서 저장소로 인증서를 끌어서 놓으려고 하지 마십시오. 이렇게 하면 인증서의 개인 키에 여전히 잘못 구성된 ACL이 있습니다. 대신 AD CS를 사용하여 인증서를 해지하고 NPS를 실행하는 서버에 새 서버 인증서를 발급합니다. |
CA를 배포하고 NPS 서버 인증서를 자동 등록하려면 다음 절차를 수행하십시오.