Windows Server 2008 R2 및 Windows Server 2008의 인증서 경로 유효성 검사 설정을 사용하여 도메인의 모든 사용자에 대한 인증서 경로 검색 및 유효성 검사에 대한 설정을 관리할 수 있습니다. 그룹 정책을 사용하여 이러한 인증서 유효성 검사 설정을 쉽게 구성하고 관리할 수 있습니다. 이러한 설정으로 수행할 수 있는 작업은 다음과 같습니다.

  • 중간 CA(인증 기관) 인증서를 배포합니다.

  • 신뢰할 수 없는 인증서를 차단합니다.

  • 코드 서명에 사용되는 인증서를 관리합니다.

  • 인증서 및 CRL(인증서 해지 목록)에 대한 검색 설정을 구성합니다.

인증서 경로 유효성 검사 설정은 컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책 위치에 있는 그룹 정책에서 사용할 수 있습니다.

이 위치에서 인증서 경로 유효성 검사 설정을 두 번 클릭한 후 다음 탭을 선택하여 추가 옵션을 사용할 수 있습니다.

  • 저장소

  • 신뢰할 수 있는 게시자

  • 네트워크 검색

  • 해지

다음 절차에서는 인증서 경로 유효성 검사 설정을 구성하는 방법을 설명합니다. 절차 뒤의 섹션에서는 이러한 각 영역의 설정에 대해 설명합니다.

이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

도메인에 대해 경로 유효성 검사 그룹 정책을 구성하려면

  1. 도메인 컨트롤러에서 시작을 클릭하고 관리 도구를 가리킨 다음 그룹 정책 관리를 클릭합니다.

  2. 콘솔 트리에서 편집할 기본 도메인 정책 GPO(그룹 정책 개체)가 포함되어 있는 포리스트와 도메인의 그룹 정책 개체를 두 번 클릭합니다.

  3. 기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  4. GPMC(그룹 정책 관리 콘솔)에서 컴퓨터 구성, Windows 설정, 보안 설정으로 이동한 다음 공개 키 정책을 클릭합니다.

  5. 인증서 경로 유효성 검사 설정을 두 번 클릭한 다음 저장소 탭을 클릭합니다.

  6. 이 정책 설정 정의 확인란을 선택합니다.

  7. 적용해야 하는 선택적 설정을 구성합니다.

  8. 변경이 끝나면 다른 탭을 선택하여 추가 설정을 수정하거나 확인을 클릭하여 새 설정을 적용할 수 있습니다.

저장소 탭

일부 조직에서는 도메인의 사용자가 자체적인 신뢰할 수 있는 루트 인증서 집합을 구성하지 못하도록 하고 조직 내에서 신뢰할 수 있는 루트 인증서를 결정하고자 할 수 있습니다. 저장소 탭을 사용하여 이런 작업을 수행할 수 있습니다.

저장소 탭에서 사용할 수 있는 옵션은 다음과 같습니다.

  • 사용자의 신뢰할 수 있는 루트 CA를 사용하여 인증서를 확인하도록 허용. 이 확인란을 선택 취소하면 사용자는 인증서 확인에 사용할 루트 CA 인증서를 결정할 수 없습니다. 이 옵션을 사용하면 사용자가 안전하지 않은 체인의 인증서를 신뢰하고 유효성을 검사하는 것을 방지하는 데 도움이 되지만, 응용 프로그램 오류가 발생하거나 사용자가 루트 인증서 신뢰를 자신에게 제공된 인증서를 확인하는 수단으로 중요하게 생각하지 않을 수 있습니다.

  • 사용자가 피어 트러스트 인증서를 신뢰하도록 허용. 이 확인란을 선택 취소하면 사용자는 신뢰할 피어 인증서를 결정할 수 없습니다. 이 옵션을 사용하면 사용자가 안전하지 않은 출처의 인증서를 신뢰하는 것을 방지하는 데 도움이 되지만, 응용 프로그램 오류가 발생하거나 사용자가 인증서를 신뢰 설정의 수단으로 중요하게 생각하지 않을 수 있습니다. 또한 서명 또는 암호화 등과 같이 피어 트러스트 인증서를 사용할 수 있는 인증서 용도를 선택할 수도 있습니다.

  • 클라이언트 컴퓨터가 신뢰할 수 있는 루트 CA. 이 섹션에서는 도메인의 사용자가 신뢰할 수 있는 특정 루트 CA를 식별할 수 있습니다.

    • 타사 루트 CA 및 엔터프라이즈 루트 CA. Microsoft가 아닌 타사 루트 CA와 엔터프라이즈 루트 CA 모두를 포함하면 사용자가 신뢰할 수 있는 루트 CA 인증서의 범위를 넓힐 수 있습니다.

    • 엔터프라이즈 루트 CA만. 엔터프라이즈 루트 CA만 신뢰하도록 제한하면 AD DS(Active Directory 도메인 서비스)에 인증서를 게시하고 AD DS에서 인증 정보를 가져오는 내부 엔터프라이즈 CA가 발급한 인증서만 신뢰하도록 효과적으로 제한할 수 있습니다.

  • CA는 UPN(사용자 계정 이름) 제약 조건을 준수해야 함. 이 설정은 내부 엔터프라이즈 CA만 신뢰하도록 제한합니다. 또한 UPN 제약 조건으로 인해 사용자는 사용자 이름과 관련된 조건을 준수하지 않는 인증 관련 인증서를 신뢰할 수 없습니다.

또한 일부 조직에서는 신뢰할 수 있는 특정 루트 인증서를 식별하고 배포하여 추가 트러스트 관계가 필요한 비즈니스 시나리오를 사용하려고 할 수 있습니다. 도메인의 클라이언트에 배포할 신뢰할 수 있는 루트 인증서를 식별하려면 정책을 사용하여 인증서 배포를 참조하십시오.

신뢰할 수 있는 게시자 탭

점점 더 많은 소프트웨어 게시자 및 응용 프로그램 개발자가 응용 프로그램의 원본을 신뢰할 수 있는지 확인하기 위해 소프트웨어 서명을 사용하고 있습니다. 그러나 대부분의 사용자는 설치한 응용 프로그램과 관련된 인증서 서명을 이해하지 못하거나 무시합니다.

인증서 경로 유효성 검사 정책의 신뢰할 수 있는 게시자 탭에 있는 정책 옵션을 사용하여 신뢰할 수 있는 게시자를 결정할 수 있는 사람을 관리할 수 있습니다.

  • 관리자 및 사용자

  • 관리자만

  • 엔터프라이즈 관리자만

또한 이 탭의 정책 옵션을 사용하여 신뢰할 수 있는 게시자 인증서에 대해 다음 사항을 검사할 수 있습니다.

  • 해지되지 않았습니다.

  • 타임스탬프가 유효합니다.

네트워크 검색 탭

효율성을 높이려면 CRL(인증서 해지 목록) 및 Microsoft 루트 인증서 프로그램의 인증서 등과 같은 인증서 관련 데이터를 정기적으로 업데이트해야 합니다. 그러나 원래 예상했던 것보다 많은 데이터가 전송되어 인증서 해지 데이터 및 상호 인증서의 유효성 검사 및 검색이 인터럽트되는 경우 문제가 발생할 수 있습니다.

관리자는 네트워크 검색 설정을 통해 다음을 수행할 수 있습니다.

  • Microsoft 루트 인증서 프로그램에서 자동으로 인증서 업데이트

  • CRL 및 경로 유효성 검사의 검색 제한 시간 값 구성. 네트워크 상태가 최적이 아닌 경우에는 기본값이 클수록 유용할 수 있습니다.

  • 경로 유효성 검사 중 발급자 인증서 검색 사용

  • 상호 인증서 다운로드 빈도 정의

해지 탭

해지 검사를 지원하기 위해 AD CS(Active Directory 인증서 서비스)는 온라인 응답자에 의해 배포된 OCSP(온라인 인증서 상태 프로토콜) 및 CRL과 델타 CRL의 사용을 지원합니다.

경로 유효성 검사 그룹 정책을 통해 관리자는 CRL 및 온라인 응답자의 사용을 최적화할 수 있으며, 특히 지나치게 큰 CRL이나 네트워크 상태로 인해 성능이 저하되는 경우에는 더욱 그렇습니다.

다음 설정을 사용할 수 있습니다.

  • 항상 OCSP(온라인 인증서 상태 프로토콜) 응답보다 CRL(인증서 해지 목록) 선호. 일반적으로 클라이언트는 출처가 CRL인지 온라인 응답자인지 여부에 관계없이 사용 가능한 최신 해지 데이터를 사용해야 합니다. 이 옵션을 선택하면 온라인 응답자의 해지 검사는 유효한 CRL 또는 델타 CRL을 사용할 수 없을 경우에만 사용됩니다.

  • CRL 및 OCSP 응답이 해당 수명보다 오랫동안 유효하도록 허용. 일반적으로 CRL 및 OCSP 응답이 해당 유효 기간보다 오랫동안 유효하도록 허용하는 것은 좋지 않습니다. 하지만 클라이언트가 장시간 CRL 배포 지점 또는 온라인 응답자에 연결할 수 없는 경우에는 이 옵션이 필요할 수 있습니다. 그러나 CRL 또는 OCSP 응답이 사용될 수 있는 명시된 유효 기간을 초과하는 시간도 이 정책 설정에서 구성할 수 있습니다.

추가 참조

목차