사용자가 개인 키를 잃어 버리면 해당 공개 키를 사용하여 영구적으로 암호화된 모든 정보에 액세스할 수 없게 됩니다. 키 보관 및 복구를 사용하면 운영 체제를 다시 설치해야 하는 경우, 암호화 키가 원래 발급된 사용자 계정을 더 이상 사용할 수 없는 경우 또는 키에 더 이상 액세스할 수 없는 경우 등과 같은 영구적 손실로부터 암호화된 데이터를 보호할 수 있습니다. 개인 키를 보호하기 위해 Microsoft 엔터프라이즈 CA(인증 기관)는 인증서가 발급될 때 사용자의 키를 자체 데이터베이스에 보관할 수 있습니다. 이러한 키는 CA에 의해 암호화되고 저장됩니다.

이 개인 키 보관을 통해 키를 나중에 언제라도 복구할 수 있습니다. 키 복구 프로세스를 수행하려면 암호화된 인증서와 개인 키를 검색할 관리자와 이를 암호 해독할 키 복구 에이전트가 필요합니다. 올바르게 서명된 키 복구 에이전트를 받은 경우 사용자의 인증서와 개인 키가 요청자에게 제공됩니다. 그러면 요청자는 키를 적절하게 사용하거나, 계속 사용할 수 있도록 안전하게 사용자에게 전송합니다. 개인 키가 손상되지 않은 한, 인증서를 바꾸거나 다른 키로 갱신할 필요가 없습니다.

키 보관 및 복구는 기본적으로 사용할 수 있게 설정되지 않습니다. 많은 조직에서 개인 키를 여러 위치에 저장하는 것은 보안 취약점이 될 수 있다고 간주하기 때문입니다. 조직이 키 보관 및 복구를 적용할 인증서 및 보관된 키를 복구할 수 있는 사용자를 명확하게 결정하도록 하는 것은 키 보관 및 복구가 보안 저하가 아닌 보안 향상에 도움이 되도록 하기 위한 것입니다.

이 절차를 완료하려면 CA 관리자 권한이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

EFS(파일 시스템 암호화) 인증서의 키 보관에 맞게 환경을 구성하려면
  1. 키 복구 에이전트 계정을 만들거나 키 복구 에이전트 역할을 하도록 할 기존 사용자를 지정합니다.

  2. 키 복구 에이전트 인증서 템플릿을 구성하고 키 복구 에이전트를 키 복구 에이전트 인증서에 등록합니다. 자세한 내용은 키 복구 에이전트 식별을 참조하십시오.

  3. 새 키 등록 에이전트를 CA에 등록합니다. 자세한 내용은 CA에 대해 키 보관 사용을 참조하십시오.

  4. 기본 EFS와 같은 인증서 템플릿을 키 보관에 대해 구성하고 사용자를 새 인증서에 등록합니다. 사용자에게 이미 EFS 인증서가 있는 경우 새 인증서가 키 보관이 포함되지 않은 인증서를 대체하도록 합니다. 자세한 내용은 키 보관을 위한 인증서 템플릿 구성을 참조하십시오.

  5. 사용자를 새 인증서 템플릿에 기반한 암호화 인증서에 등록합니다.

    사용자를 키 보관으로 보호하려면 키 복구가 사용할 수 있게 설정된 인증서에 해당 사용자를 등록해야 합니다. 키 복구를 사용할 수 있게 설정하기 전에 발급된 동일한 인증서를 갖고 있는 경우 이 인증서로 암호화된 데이터는 키 보관에 의해 보호되지 않습니다.

키 보관 및 복구에 대한 자세한 내용은 Windows Server 2008의 키 보관 및 복구(https://go.microsoft.com/fwlink/?LinkID=92523(페이지는 영문일 수 있음))를 참조하십시오.

추가 참조


목차