EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안), PEAP-TLS(Protected Extensible Authentication Protocol-Transport Layer Security) 및 PEAP-MS-CHAP v2(PEAP-Microsoft Challenge Handshake 인증 프로토콜 버전 2)를 사용한 네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서의 요구 사항을 충족하고 SSL/TLS(Secure Socket Layer/Transport Level Security)를 사용하는 연결에 대해 작동해야 합니다. 클라이언트 및 서버 인증서 모두 추가 요구 사항이 있습니다.

최소 서버 인증서 요구 사항

PEAP-MS-CHAP v2, PEAP-TLS 또는 EAP-TLS를 인증 방법으로 사용하는 경우 NPS 서버는 최소 서버 인증서 요구 사항을 충족하는 서버 인증서를 사용해야 합니다.

그룹 정책의 클라이언트 컴퓨터에서 서버 인증서 유효성 확인 옵션을 사용하여 서버 인증서의 유효성을 검사하도록 클라이언트 컴퓨터를 구성할 수 있습니다.

클라이언트 컴퓨터는 서버 인증서가 다음 요구 사항을 충족할 때 서버의 인증 시도를 허용합니다.

  • 주체 이름에 값이 포함되어 있습니다. 주체 이름이 비어 있는 인증서를 NPS 실행 서버에 발급하는 경우 NPS 서버를 인증하는 데 인증서를 사용할 수 없습니다. 주체 이름을 사용하여 인증서 템플릿을 구성하려면

    1. 인증서 템플릿을 엽니다.

    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 주체 이름 탭을 클릭한 다음 이 Active Directory 정보로 만듦을 클릭합니다.

    4. 주체 이름 형식에서 없음 이외의 값을 선택합니다.

  • 서버의 컴퓨터 인증서가 트러스트된 루트 CA(인증 기관)에 연결되어 있고 CryptoAPI에서 수행하고 원격 액세스 정책이나 네트워크 정책에 지정된 검사를 모두 통과합니다.

  • NPS 서버 또는 VPN 서버용 컴퓨터 인증서는 EKU(확장된 키 사용) 확장에서 서버 인증용으로 구성됩니다. 서버 인증서 개체 식별자는 1.3.6.1.5.5.7.3.1입니다.

  • 서버 인증서가 필요한 RSA 알고리즘 값을 사용하여 구성되어 있습니다. 필요한 암호화 설정을 구성하려면

    1. 인증서 템플릿을 엽니다.

    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 암호화 탭을 클릭합니다. 알고리즘 이름에서 RSA를 클릭합니다. 최소 키 크기가 2048로 설정되었는지 확인합니다.

  • 주체 대체 이름(SubjectAltName) 확장이 사용되는 경우 서버의 DNS 이름을 포함해야 합니다. 등록하는 서버의 DNS(Domain Name System) 이름을 사용하여 인증서 템플릿을 구성하려면

    1. 인증서 템플릿을 엽니다.

    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 주체 이름 탭을 클릭한 다음 이 Active Directory 정보로 만듦을 클릭합니다.

    4. 대체 주체 이름에 이 정보 포함에서 DNS 이름을 선택합니다.

PEAP 및 EAP-TLS를 사용하는 경우 NPS 서버가 컴퓨터 인증서 저장소에서 다음 인증서를 제외하고 설치된 모든 인증서의 목록을 표시합니다.

  • EKU 확장에 서버 인증 목적이 포함되지 않은 인증서는 표시되지 않습니다.

  • 주체 이름이 포함되지 않은 인증서는 표시되지 않습니다.

  • 레지스트리 기반 및 스마트 카드 로그온 인증서는 표시되지 않습니다.

최소 클라이언트 인증서 요구 사항

EAP-TLS나 PEAP-TLS를 사용하는 경우 인증서가 다음 요구 사항을 충족할 때 서버에서 클라이언트 인증 시도를 받아들입니다.

  • 클라이언트 인증서가 엔터프라이즈 CA에서 발급되었거나 AD DS(Active Directory® 도메인 서비스)의 사용자 또는 컴퓨터 계정에 매핑됩니다.

  • 클라이언트의 사용자 또는 컴퓨터 인증서가 트러스트된 루트 CA에 연결되어 있고, EKU 확장에 클라이언트 인증 목적을 포함하며(클라이언트 인증에 대한 개체 식별자는 1.3.6.1.5.5.7.3.2임), CryptoAPI에서 수행하고 원격 액세스 정책이나 네트워크 정책에 지정된 검사와 IAS 원격 액세스 정책이나 NPS 네트워크 정책에 지정된 인증서 개체 식별자 검사를 모두 통과합니다.

  • 802.1X 클라이언트가 스마트 카드 로그온 인증서나 암호로 보호된 인증서인 레지스트리 기반 인증서를 사용하지 않습니다.

  • 사용자 인증서의 경우 인증서의 주체 대체 이름(SubjectAltName) 확장에 UPN(사용자 계정 이름)이 포함되어 있습니다. 인증서 템플릿에서 UPN을 구성하려면

    1. 인증서 템플릿을 엽니다.

    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 주체 이름 탭을 클릭한 다음 이 Active Directory 정보로 만듦을 클릭합니다.

    4. 대체 주체 이름에 이 정보 포함에서 UPN(사용자 계정 이름)을 선택합니다.

  • 컴퓨터 인증서의 경우 인증서의 주체 대체 이름(SubjectAltName) 확장에 DNS 이름이라고도 하는 클라이언트의 FQDN(정규화된 도메인 이름)이 포함되어야 합니다. 인증서 템플릿에서 이 이름을 구성하려면

    1. 인증서 템플릿을 엽니다.

    2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 주체 이름 탭을 클릭한 다음 이 Active Directory 정보로 만듦을 클릭합니다.

    4. 대체 주체 이름에 이 정보 포함에서 DNS 이름을 선택합니다.

PEAP-TLS 및 EAP-TLS를 사용하는 경우 클라이언트가 인증서 스냅인에서 다음 인증서를 제외하고 설치된 모든 인증서의 목록을 표시합니다.

  • 무선 클라이언트는 레지스트리 기반 및 스마트 카드 로그온 인증서를 표시하지 않습니다.

  • 무선 클라이언트와 VPN 클라이언트는 암호로 보호되는 인증서를 표시하지 않습니다.

  • EKU 확장에 클라이언트 인증 목적이 포함되지 않은 인증서는 표시되지 않습니다.

목차