Windows Server 2008 R2 및 Windows Server 2008의 인증서 경로 유효성 검사 설정을 사용하여 도메인의 모든 사용자에 대한 인증서 경로 검색 및 유효성 검사에 대한 설정을 관리할 수 있습니다. 그룹 정책을 사용하여 이러한 인증서 유효성 검사 설정을 쉽게 구성하고 관리할 수 있습니다. 이러한 설정으로 수행할 수 있는 작업은 다음과 같습니다.
-
중간 CA(인증 기관) 인증서를 배포합니다.
-
신뢰할 수 없는 인증서를 차단합니다.
-
코드 서명에 사용되는 인증서를 관리합니다.
-
인증서 및 CRL(인증서 해지 목록)에 대한 검색 설정을 구성합니다.
인증서 경로 유효성 검사 설정은 컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책 위치에 있는 그룹 정책에서 사용할 수 있습니다.
이 위치에서 인증서 경로 유효성 검사 설정을 두 번 클릭한 후 다음 탭을 선택하여 추가 옵션을 사용할 수 있습니다.
-
저장소
-
신뢰할 수 있는 게시자
-
네트워크 검색
-
해지
다음 절차에서는 인증서 경로 유효성 검사 설정을 구성하는 방법을 설명합니다. 절차 뒤의 섹션에서는 이러한 각 영역의 설정에 대해 설명합니다.
이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
도메인에 대해 경로 유효성 검사 그룹 정책을 구성하려면 |
도메인 컨트롤러에서 시작을 클릭하고 관리 도구를 가리킨 다음 그룹 정책 관리를 클릭합니다.
콘솔 트리에서 편집할 기본 도메인 정책 GPO(그룹 정책 개체)가 포함되어 있는 포리스트와 도메인의 그룹 정책 개체를 두 번 클릭합니다.
기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.
GPMC(그룹 정책 관리 콘솔)에서 컴퓨터 구성, Windows 설정, 보안 설정으로 이동한 다음 공개 키 정책을 클릭합니다.
인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 저장소 탭을 클릭합니다.
이 정책 설정 정의 확인란을 선택합니다.
적용해야 하는 선택적 설정을 구성합니다.
변경이 끝나면 다른 탭을 선택하여 추가 설정을 수정하거나 확인을 클릭하여 새 설정을 적용할 수 있습니다.
저장소 탭
일부 조직에서는 도메인의 사용자가 자체적인 신뢰할 수 있는 루트 인증서 집합을 구성하지 못하도록 하고 조직 내에서 신뢰할 수 있는 루트 인증서를 결정하고자 할 수 있습니다. 저장소 탭을 사용하여 이런 작업을 수행할 수 있습니다.
저장소 탭에서 사용할 수 있는 옵션은 다음과 같습니다.
-
사용자의 신뢰할 수 있는 루트 CA를 사용하여 인증서를 확인하도록 허용. 이 확인란을 선택 취소하면 사용자는 인증서 확인에 사용할 루트 CA 인증서를 결정할 수 없습니다. 이 옵션을 사용하면 사용자가 안전하지 않은 체인의 인증서를 신뢰하고 유효성을 검사하는 것을 방지하는 데 도움이 되지만, 응용 프로그램 오류가 발생하거나 사용자가 루트 인증서 신뢰를 자신에게 제공된 인증서를 확인하는 수단으로 중요하게 생각하지 않을 수 있습니다.
-
사용자가 피어 트러스트 인증서를 신뢰하도록 허용. 이 확인란을 선택 취소하면 사용자는 신뢰할 피어 인증서를 결정할 수 없습니다. 이 옵션을 사용하면 사용자가 안전하지 않은 출처의 인증서를 신뢰하는 것을 방지하는 데 도움이 되지만, 응용 프로그램 오류가 발생하거나 사용자가 인증서를 신뢰 설정의 수단으로 중요하게 생각하지 않을 수 있습니다. 또한 서명 또는 암호화 등과 같이 피어 트러스트 인증서를 사용할 수 있는 인증서 용도를 선택할 수도 있습니다.
-
클라이언트 컴퓨터가 신뢰할 수 있는 루트 CA. 이 섹션에서는 도메인의 사용자가 신뢰할 수 있는 특정 루트 CA를 식별할 수 있습니다.
-
타사 루트 CA 및 엔터프라이즈 루트 CA. Microsoft가 아닌 타사 루트 CA와 엔터프라이즈 루트 CA 모두를 포함하면 사용자가 신뢰할 수 있는 루트 CA 인증서의 범위를 넓힐 수 있습니다.
-
엔터프라이즈 루트 CA만. 엔터프라이즈 루트 CA만 신뢰하도록 제한하면 AD DS(Active Directory 도메인 서비스)에 인증서를 게시하고 AD DS에서 인증 정보를 가져오는 내부 엔터프라이즈 CA가 발급한 인증서만 신뢰하도록 효과적으로 제한할 수 있습니다.
-
타사 루트 CA 및 엔터프라이즈 루트 CA. Microsoft가 아닌 타사 루트 CA와 엔터프라이즈 루트 CA 모두를 포함하면 사용자가 신뢰할 수 있는 루트 CA 인증서의 범위를 넓힐 수 있습니다.
-
CA는 UPN(사용자 계정 이름) 제약 조건을 준수해야 함. 이 설정은 내부 엔터프라이즈 CA만 신뢰하도록 제한합니다. 또한 UPN 제약 조건으로 인해 사용자는 사용자 이름과 관련된 조건을 준수하지 않는 인증 관련 인증서를 신뢰할 수 없습니다.
또한 일부 조직에서는 신뢰할 수 있는 특정 루트 인증서를 식별하고 배포하여 추가 트러스트 관계가 필요한 비즈니스 시나리오를 사용하려고 할 수 있습니다. 도메인의 클라이언트에 배포할 신뢰할 수 있는 루트 인증서를 식별하려면 정책을 사용하여 인증서 배포를 참조하십시오.
신뢰할 수 있는 게시자 탭
점점 더 많은 소프트웨어 게시자 및 응용 프로그램 개발자가 응용 프로그램의 원본을 신뢰할 수 있는지 확인하기 위해 소프트웨어 서명을 사용하고 있습니다. 그러나 대부분의 사용자는 설치한 응용 프로그램과 관련된 인증서 서명을 이해하지 못하거나 무시합니다.
인증서 경로 유효성 검사 정책의 신뢰할 수 있는 게시자 탭에 있는 정책 옵션을 사용하여 신뢰할 수 있는 게시자를 결정할 수 있는 사람을 관리할 수 있습니다.
-
관리자 및 사용자
-
관리자만
-
엔터프라이즈 관리자만
또한 이 탭의 정책 옵션을 사용하여 신뢰할 수 있는 게시자 인증서에 대해 다음 사항을 검사할 수 있습니다.
-
해지되지 않았습니다.
-
타임스탬프가 유효합니다.
네트워크 검색 탭
효율성을 높이려면 CRL(인증서 해지 목록) 및 Microsoft 루트 인증서 프로그램의 인증서 등과 같은 인증서 관련 데이터를 정기적으로 업데이트해야 합니다. 그러나 원래 예상했던 것보다 많은 데이터가 전송되어 인증서 해지 데이터 및 상호 인증서의 유효성 검사 및 검색이 인터럽트되는 경우 문제가 발생할 수 있습니다.
관리자는 네트워크 검색 설정을 통해 다음을 수행할 수 있습니다.
-
Microsoft 루트 인증서 프로그램에서 자동으로 인증서 업데이트
-
CRL 및 경로 유효성 검사의 검색 제한 시간 값 구성. 네트워크 상태가 최적이 아닌 경우에는 기본값이 클수록 유용할 수 있습니다.
-
경로 유효성 검사 중 발급자 인증서 검색 사용
-
상호 인증서 다운로드 빈도 정의
해지 탭
해지 검사를 지원하기 위해 AD CS(Active Directory 인증서 서비스)는 온라인 응답자에 의해 배포된 OCSP(온라인 인증서 상태 프로토콜) 및 CRL과 델타 CRL의 사용을 지원합니다.
경로 유효성 검사 그룹 정책을 통해 관리자는 CRL 및 온라인 응답자의 사용을 최적화할 수 있으며, 특히 지나치게 큰 CRL이나 네트워크 상태로 인해 성능이 저하되는 경우에는 더욱 그렇습니다.
다음 설정을 사용할 수 있습니다.
-
항상 OCSP(온라인 인증서 상태 프로토콜) 응답보다 CRL(인증서 해지 목록) 선호. 일반적으로 클라이언트는 출처가 CRL인지 온라인 응답자인지 여부에 관계없이 사용 가능한 최신 해지 데이터를 사용해야 합니다. 이 옵션을 선택하면 온라인 응답자의 해지 검사는 유효한 CRL 또는 델타 CRL을 사용할 수 없을 경우에만 사용됩니다.
-
CRL 및 OCSP 응답이 해당 수명보다 오랫동안 유효하도록 허용. 일반적으로 CRL 및 OCSP 응답이 해당 유효 기간보다 오랫동안 유효하도록 허용하는 것은 좋지 않습니다. 하지만 클라이언트가 장시간 CRL 배포 지점 또는 온라인 응답자에 연결할 수 없는 경우에는 이 옵션이 필요할 수 있습니다. 그러나 CRL 또는 OCSP 응답이 사용될 수 있는 명시된 유효 기간을 초과하는 시간도 이 정책 설정에서 구성할 수 있습니다.