인증서 등록 웹 서비스에서는 새 인증서와 인증서 갱신에 대한 등록 요청을 처리할 수 있습니다. 두 경우 모두 클라이언트 컴퓨터에서 웹 서비스에 요청을 제출하고 웹 서비스에서는 클라이언트 컴퓨터를 대신해서 CA(인증 기관)에 요청을 제출합니다. 따라서 웹 서비스 계정은 위임용으로 트러스트되어야 CA에 클라이언트 ID를 제공할 수 있습니다.

인터넷에서 요청을 받는 인증서 등록 웹 서비스로 인해 보안 위험이 높아질 수 있으므로 일부 조직에서는 웹 서비스 계정을 위임용으로 트러스트하지 않을 수 있습니다. 인증서 등록 웹 서비스를 갱신 전용 모드로 구성하면 인터넷에서 요청을 받아들일 때의 위험을 줄일 수 있습니다.

갱신 전용 모드에서 웹 서비스는 인증서 갱신 요청만 받아들이고 새 인증서에 대한 요청은 거부합니다. 갱신 전용 모드를 지원하려면 CA가 갱신 요청의 서명과 클라이언트 컴퓨터의 기존 인증서를 사용하여 클라이언트 컴퓨터를 인증하도록 구성되어 있어야 합니다. 이 구성에서는 웹 서비스 계정을 위임용으로 트러스트하기 위한 요구 사항이 없습니다.

갱신 전용 모드를 사용하려면 다음 세 가지 요구 사항을 충족해야 합니다.

  • Windows Server 2008 R2를 실행하는 엔터프라이즈 CA

  • Windows 7 또는 Windows Server 2008 R2를 실행하는 클라이언트 컴퓨터

  • 인증서 갱신을 요청하는 클라이언트 컴퓨터에는 만료되지 않았으며 발급 CA에서 확인할 수 있는 인증서가 있어야 합니다.

이 절차를 완료하려면 최소한 Enterprise Admins 그룹의 구성원 자격이 있어야 합니다.

인증서 등록 웹 서비스를 갱신 전용 모드로 구성하려면

  1. 서버 관리자를 엽니다.

  2. 콘솔 트리에서 역할을 클릭합니다.

  3. 역할 요약 페이지에 Active Directory 인증서 서비스가 표시되면 역할 서비스 추가를 클릭하고 다음 단계를 계속합니다. 이 서비스가 표시되지 않으면 계속하기 전에 다음 단계를 완료합니다.

    1. 역할 요약 페이지에서 역할 추가를 클릭합니다.

    2. 시작하기 전 페이지에서 다음을 클릭합니다.

    3. 서버 역할 선택 페이지에서 Active Directory 인증서 서비스를 클릭하고 다음을 클릭합니다.

    4. Active Directory 인증서 서비스 소개 페이지의 내용을 검토하고 다음을 클릭합니다.

  4. 역할 서비스 선택 페이지에서 인증서 등록 웹 서비스 확인란을 선택합니다.

    참고

    AD CS 역할이 추가되면 CA(인증 기관) 역할 서비스가 자동으로 선택되지만 이 역할 서비스는 인증서 등록 웹 서비스와 동시에 설치할 수 없습니다. CA와 인증서 등록 웹 서비스를 모두 설치하려면 먼저 CA 설치를 완료해야 합니다. 자세한 내용은 Active Directory 인증서 서비스 설정을 참조하십시오.

  5. 필요한 역할 서비스와 기능을 설치하라는 메시지가 표시되면 필요한 역할 서비스 추가를 클릭하고 다음을 클릭합니다.

  6. CA를 지정하려면 CA 이름 또는 컴퓨터 이름을 클릭하고 찾아보기를 클릭합니다. CA를 선택하거나 컴퓨터 이름을 입력한 다음 확인을 클릭합니다.

  7. 인증서 등록 웹 서비스를 갱신 전용 모드로 구성합니다. 확인란을 선택합니다.

  8. 인증 유형 선택 페이지에서 사용자 이름 및 암호클라이언트 인증서 인증을 클릭합니다.

  9. 계정 자격 증명 지정 페이지에서 서비스 계정 지정 또는 기본 제공 응용 프로그램 풀 ID 사용을 클릭합니다. 서비스 계정을 지정하려면 선택을 클릭하고 도메인 계정의 사용자 이름 및 암호를 입력한 다음 확인을 클릭합니다. 다음을 클릭합니다.

  10. 기존 서버 인증서를 선택하고 가져오기를 클릭하여 인증서 파일을 가져오거나 서버 인증서를 나중에 선택하고 할당을 클릭한 후 다음을 클릭합니다. 자세한 내용은 인증서 등록 웹 서비스에 대한 서버 인증서 구성을 참조하십시오.

  11. 웹 서버(IIS) 소개 페이지에서 다음을 클릭합니다.

  12. 역할 서비스 선택 페이지에서 선택한 역할 서비스를 검토하고 다음을 클릭합니다.

  13. 설치 선택 확인 페이지의 내용을 검토한 후 설치를 클릭합니다.

  14. 설치 결과 페이지에 표시되는 메시지를 검토합니다. 사용자가 요청을 제출할 수 있도록 하려면 먼저 추가 작업을 수행하여 인증서 등록 웹 서비스를 구성해야 할 수 있습니다.

다음 명령을 사용하여 Active Directory 인증서 서비스를 구성하고 다시 시작할 수 있습니다. 이 구성에서 CA는 새 인증서에 대한 요청도 처리할 수 있습니다.

갱신 전용 모드를 지원하도록 CA를 구성하려면

  1. CA에서 명령 프롬프트에 certutil –setreg policy\editflags +enablerenewonbehalfof를 입력하고 Enter 키를 누릅니다.

  2. 인증 기관 스냅인을 엽니다.

  3. 콘솔 트리에서 CA를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

  4. 보안 탭을 클릭합니다.

  5. 그룹 또는 사용자 이름에 웹 서비스 계정이 표시되면 읽기 권한이 선택되어 있는지 확인합니다. 웹 서비스 계정이 표시되지 않으면 다음 단계를 수행합니다.

    1. 추가를 클릭합니다.

    2. 계정 이름을 입력하고 이름 확인을 클릭합니다. 이름을 찾을 수 없으면 개체 유형을 클릭하고 올바른 계정 유형이 선택되어 있는지 확인합니다. 올바른 계정 이름을 찾은 후 확인을 클릭합니다.

    3. 읽기 확인란을 선택하고 확인을 클릭합니다.

  6. sc stop certsvc를 입력하고 Enter 키를 누릅니다.

  7. sc start certsvc를 입력하고 Enter 키를 누릅니다.

추가 참조

목차