인증서를 해지하면 해당 인증서는 인증서의 예약된 유효 기간이 만료되기 전에 신뢰할 수 있는 보안 자격 증명으로서의 효력을 잃게 됩니다. PKI(공개 키 인프라)는 분산 확인 방식을 사용하여 자격 증명을 확인합니다. 이 방식에서는 자격 증명을 보증하는 신뢰할 수 있는 중앙 엔터티와 직접 통신하지 않아도 됩니다.

인증서 해지를 효과적으로 지원하려면 클라이언트 컴퓨터에서 인증서가 유효한지 아니면 해지되었는지를 판별해야 합니다. Active Directory 인증서 서비스에서는 다양한 시나리오를 지원하기 위해 산업 표준 방식의 인증서 해지를 지원합니다. 여기에는 Active Directory 도메인 서비스, 웹 서버 및 네트워크 파일 공유를 포함하여 클라이언트 액세스를 위한 여러 위치의 델타 CRL과 CRL(인증서 해지 목록)의 게시 등이 포함됩니다. Windows에서 해지 데이터는 OCSP(온라인 인증서 상태 프로토콜) 응답을 통해 다양한 설정에서 사용할 수도 있습니다.

참고

CRL은 지정된 네트워크 위치에 정기적으로 게시되며, 클라이언트 컴퓨터는 이 위치에서 CRL을 다운로드할 수 있습니다. OCSP 응답은 디지털 서명된 응답으로 개별 인증서가 해지되었는지 일시 중단되었는지, 또는 상태를 알 수 없는지 여부를 나타냅니다. OCSP 응답자는 게시된 CRL에서 데이터를 가져오거나 CA(인증 기관)의 인증서 상태 데이터베이스에서 직접 업데이트될 수 있습니다.

또한 공개 키 그룹 정책을 통해 관리자는 CRL 및 OCSP 응답자의 사용을 향상시킬 수 있으며, 특히 너무 큰 CRL이나 네트워크 상태로 인해 성능이 저하되는 경우에는 더욱 그렇습니다.

이 항목에는 다음 작업 절차가 포함되어 있습니다.

로컬 컴퓨터에서 해지 설정 구성

이 절차를 완료하려면 최소한 Administrators 그룹의 구성원 자격이 있어야 합니다.

로컬 컴퓨터에서 해지 설정을 구성하려면

  1. 시작을 클릭하고 프로그램 및 파일 검색 상자에 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 콘솔 트리의 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

  3. 인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 해지 탭을 클릭합니다.

  4. 이 정책 설정 정의 확인란을 선택하고 적용할 정책 설정을 선택한 다음 확인을 클릭하여 새 설정을 적용합니다.

도메인에 대한 해지 설정 구성

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원 자격이 있어야 합니다.

도메인에 대한 해지 설정을 구성하려면

  1. 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자를 클릭합니다.

  2. 기능 요약에서 기능 추가를 클릭합니다. 그룹 정책 관리 확인란을 선택하고 다음을 클릭한 후 설치를 클릭합니다.

  3. 설치 결과 페이지에 GPMC(그룹 정책 관리 콘솔)가 성공적으로 설치되었다는 내용이 표시된 후 닫기를 클릭합니다.

  4. 시작을 클릭하고 관리 도구를 가리킨 다음 그룹 정책 관리를 클릭합니다.

  5. 콘솔 트리에서 편집할 기본 도메인 정책 GPO(그룹 정책 개체)가 포함되어 있는 포리스트와 도메인의 그룹 정책 개체를 두 번 클릭합니다.

  6. 기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  7. 콘솔 트리의 컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

  8. 인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 해지 탭을 클릭합니다.

  9. 이 정책 설정 정의 확인란을 선택하고 적용할 정책 설정을 선택한 다음 확인을 클릭하여 새 설정을 적용합니다.

로컬 컴퓨터에 대한 CRL 및 OCSP 응답의 유효 기간 연장

이 절차를 완료하려면 최소한 Administrators 그룹의 구성원 자격이 있어야 합니다.

로컬 컴퓨터에 대한 CRL 및 OCSP 응답의 유효 기간을 연장하려면

  1. 시작을 클릭하고 프로그램 및 파일 검색 상자에 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 콘솔 트리의 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

  3. 인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 해지 탭을 클릭합니다.

  4. 이 정책 설정 정의 확인란을 선택한 다음 CRL 및 OCSP 응답이 해당 수명보다 오랫동안 유효하도록 허용 확인란을 선택합니다.

  5. 유효 기간을 연장할 수 있는 시간(시간 단위) 상자에 시간 값(시간)을 입력한 다음 확인을 클릭하여 새 설정을 적용합니다.

도메인에 대한 CRL 및 OCSP 응답의 유효 기간 연장

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원 자격이 있어야 합니다.

도메인에 대한 CRL 및 OCSP 응답의 유효 기간을 연장하려면

  1. 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자를 클릭합니다.

  2. 기능 요약에서 기능 추가를 클릭합니다. 그룹 정책 관리 확인란을 선택하고 다음을 클릭한 후 설치를 클릭합니다.

  3. 설치 결과 페이지에 GPMC가 성공적으로 설치되었다는 내용이 표시된 후 닫기를 클릭합니다.

  4. 시작을 클릭하고 관리 도구를 가리킨 다음 그룹 정책 관리를 클릭합니다.

  5. 콘솔 트리에서 편집할 기본 도메인 정책 GPO가 포함되어 있는 포리스트와 도메인의 그룹 정책 개체를 두 번 클릭합니다.

  6. 기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  7. 콘솔 트리의 컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

  8. 인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 해지 탭을 클릭합니다.

  9. 이 정책 설정 정의 확인란을 선택한 다음 CRL 및 OCSP 응답이 해당 수명보다 오랫동안 유효하도록 허용 확인란을 선택합니다.

  10. 유효 기간을 연장할 수 있는 시간(시간 단위) 상자에 시간 값(시간)을 입력한 다음 확인을 클릭하여 새 설정을 적용합니다.

추가 참조

목차