온라인 응답자가 올바르게 작동하려면 유효한 OCSP(온라인 인증서 상태 프로토콜) 응답 서명 인증서가 있어야 합니다. 이 OCSP 응답 서명 인증서는 타사 OCSP 응답자를 사용할 경우에도 필요합니다.
OCSP 응답자 서비스를 지원하도록 CA(인증 기관)를 구성할 경우 다음 단계에 따라 작업합니다.
-
OCSP 응답 서명 인증서의 인증서 템플릿 및 발급 속성을 구성합니다.
-
온라인 응답자를 호스팅할 컴퓨터에 대한 등록 권한을 구성합니다.
-
Windows Server 2003 기반 CA인 경우 발급된 인증서에서 OCSP 확장을 사용하도록 설정합니다.
-
CA의 기관 정보 액세스 확장에 온라인 응답자 또는 OCSP 응답자의 위치를 추가합니다.
-
CA에 대한 OCSP 응답 서명 인증서 템플릿을 사용하도록 설정합니다.
OCSP 응답 서명 인증서를 발급하는 데 사용하는 인증서 템플릿에는 "OCSP 해지 확인 없음"이라는 확장과 OCSP 서명 응용 프로그램 정책이 포함되어야 합니다. 또한 온라인 응답자를 호스팅할 컴퓨터에서 이 인증서를 등록할 수 있도록 사용 권한을 구성해야 합니다.
다음은 Windows Server 2008 R2 또는 Windows Server 2008을 실행하는 컴퓨터에 설치된 CA에 대한 절차입니다.
이 절차를 완료하려면 최소한 Domain Admins, Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. PKI(공개 키 인프라) 관리에 대한 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
Windows Server 2008 R2 기반 CA 또는 Windows Server 2008 기반 CA에서 발급한 OCSP 응답 서명 인증서에 대해 인증서 템플릿을 구성하려면 |
인증서 템플릿 스냅인을 엽니다.
참고 CA 또는 온라인 응답자가 설치되어 있지 않은 컴퓨터에서 이 절차를 완료할 경우 인증서 템플릿 스냅인을 사용하기 위해 AD CS(Active Directory 인증서 서비스) 원격 서버 관리 도구를 설치해야 할 수 있습니다. 원격 서버 관리 도구에 대한 자세한 내용은 다른 컴퓨터에서 온라인 응답자 관리를 참조하십시오.
OCSP 응답 서명 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
보안 탭을 클릭합니다. 그룹 또는 사용자 이름에서 추가를 클릭합니다.
개체 유형을 클릭하고 컴퓨터 확인란을 선택한 다음 확인을 클릭합니다.
온라인 응답자 또는 OCSP 응답자 서비스를 호스팅하는 컴퓨터의 이름을 입력하거나 찾아서 선택하고 확인을 클릭합니다.
그룹 또는 사용자 이름 대화 상자에서 컴퓨터 이름을 클릭하고 사용 권한 대화 상자에서 읽기 및 등록 확인란을 선택합니다. 그런 다음 확인을 클릭합니다.
다음은 Windows Server 2003 실행 컴퓨터에 설치된 CA에 대한 절차입니다. 이 절차는 Windows Server 2008 R2 또는 Windows Server 2008을 실행하는 컴퓨터에서 완료해야 합니다.
이 절차를 완료하려면 최소한 Domain Admins, Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. PKI 관리에 대한 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
Windows Server 2003 기반 CA에서 발급한 OCSP 응답 서명 인증서에 대해 인증서 템플릿을 구성하려면 |
인증서 템플릿 스냅인을 엽니다.
OCSP 응답 서명 템플릿을 마우스 오른쪽 단추로 클릭한 후 복제를 클릭합니다. Windows 2003 Server, Enterprise Edition을 클릭한 다음 확인을 클릭합니다.
보안 탭을 클릭합니다. 그룹 또는 사용자 이름에서 추가를 클릭한 후 온라인 응답자 또는 OCSP 응답자 서비스를 호스팅하는 컴퓨터의 이름을 입력하거나 컴퓨터를 찾아서 선택합니다.
개체 유형을 클릭하고 컴퓨터 확인란을 선택한 다음 확인을 클릭합니다.
온라인 응답자 또는 OCSP 응답자 서비스를 호스팅하는 컴퓨터의 이름을 입력하거나 찾아서 선택하고 확인을 클릭합니다.
그룹 또는 사용자 이름 대화 상자에서 컴퓨터 이름을 클릭하고 사용 권한 대화 상자에서 읽기 및 등록 확인란을 선택합니다.
참고 | |
기본 OCSP 응답 서명 인증서 템플릿에는 "OCSP 해지 확인 없음"이라는 확장이 포함되어 있습니다. 이 확장은 서명 인증서를 사용하여 서명한 응답이 유효한지 확인하기 위해 여러 클라이언트에서 사용하므로 제거하지 마십시오. |
CA를 Windows Server 2003 실행 컴퓨터에 설치한 경우 다음 절차를 완료하여 이 확장을 포함하는 인증서를 발급하도록 CA의 정책 모듈을 구성해야 합니다.
이 절차를 완료하려면 로컬 관리자 권한이 있어야 합니다. PKI 관리에 대한 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
Windows Server 2003 실행 컴퓨터에서 OCSP 응답 서명 인증서를 발급하도록 준비하려면 |
CA를 호스팅하는 서버에서 명령 프롬프트를 열고 다음을 입력합니다.
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
CA를 중지했다가 다시 시작합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 실행하면 됩니다.
net stop certsvc net start certsvc
OCSP에 대한 CA를 구성하려면 인증 기관 스냅인을 사용하여 다음 CA 구성 단계를 완료해야 합니다.
-
기관 정보 액세스 확장에 온라인 응답자 또는 OCSP 응답자의 위치를 추가합니다.
-
CA에 대해 인증서 템플릿을 사용하도록 설정합니다.
이 절차를 완료하려면 CA 관리자 권한이 있어야 합니다. PKI 관리에 대한 자세한 내용은 역할 기반 관리 구현을 참조하십시오.
온라인 응답자 또는 OCSP 응답자 서비스를 지원하도록 CA를 구성하려면 |
인증 기관 스냅인을 엽니다.
콘솔 트리에서 CA 이름을 클릭합니다.
동작 메뉴에서 속성을 클릭합니다.
확징 탭을 클릭합니다.
확장 선택 목록에서 AIA(기관 정보 액세스)를 클릭한 다음 추가를 클릭합니다.
사용자가 인증서 해지 데이터를 가져올 수 있는 위치(예: http://computername/ocsp)를 지정합니다.
OCSP(온라인 인증서 상태 프로토콜) 확장을 포함 확인란을 선택합니다.
인증 기관 스냅인의 콘솔 트리에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 발급할 새 인증서 템플릿을 클릭합니다.
인증서 템플릿 사용에서 OCSP 응답 서명 템플릿 및 이전에 구성한 다른 인증서 템플릿을 선택한 다음 확인을 클릭합니다.
인증서 템플릿을 두 번 클릭하고 수정된 인증서 템플릿이 목록에 표시되는지 확인합니다.