CA(인증 기관)에서는 정의된 규칙 집합을 사용하여 각 인증서 요청을 처리합니다. CA는 ID 증명이 없는 일부 인증서를 발급할 수 있으며 다른 종류의 인증서를 발급하기 위해 ID 증명을 요구할 수 있습니다. 이렇게 하면 서로 다른 인증서에 대해 각기 다른 수준의 보증을 제공할 수 있습니다. 이러한 보증 수준은 발급 정책으로 인증서에 표시됩니다.

발급 정책(등록 정책 또는 인증서 정책이라고도 함)은 인증서 발급 시 구현되는 관리 규칙 그룹입니다. 이는 CA에서 정의한 개체 식별자(OID라고도 함)로 인증서에 표시됩니다. 이 개체 식별자는 발급된 인증서에 포함되어 있습니다. 주체가 인증서를 제출하면 대상이 인증서를 검사하여 발급 정책을 확인하고 해당 수준의 발급 정책이 요청된 작업을 수행하기에 적합한지를 결정합니다.

Windows Server 2008 R2, Windows Server 2008 및 Windows Server 2003에는 다음의 네 가지 미리 정의된 발급 정책이 포함되어 있습니다.

  • 모든 발급(2.5.29.32.0). 모든 발급 정책이란 이 발급 정책에 모든 다른 발급 정책이 포함되어 있음을 나타냅니다. 일반적으로 이 개체 식별자는 CA 인증서에만 할당됩니다.

  • 낮은 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.400). 낮은 보증 개체 식별자는 추가 보안 요구 사항 없이 발급되는 인증서를 나타내는 데 사용됩니다.

    참고

    개체 식별자의 x.y.z 부분은 임의로 생성되는 숫자 시퀀스이며 이는 Active Directory 포리스트별로 고유합니다.

  • 보통 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.401). 보통 보증 개체 식별자는 발급을 위한 추가 보안 요구 사항이 있는 인증서를 나타내는 데 사용됩니다. 예를 들어 스마트 카드 발급자와의 회의를 통해 발급되는 스마트 카드 인증서를 보통 보증 인증서로 간주할 수 있으며 여기에는 보통 보증 개체 식별자가 포함됩니다.

  • 높은 보증(1.3.6.1.4.1.311.21.8.x.y.z.1.402). 높은 보증 개체 식별자는 가장 높은 보안으로 발급되는 인증서를 나타내는 데 사용됩니다. 예를 들어 이 인증서를 보관 중인 개인이 엔터프라이즈 CA에서 개인 키 자료를 복구할 수 있기 때문에 키 복구 에이전트 인증서의 발급에는 지정된 승인자로부터의 추가 백그라운드 확인 및 디지털 서명이 필요할 수 있습니다.

또한 사용자 지정 발급 정책을 나타내기 위해 사용자 고유의 개체 식별자를 만들 수 있습니다.

주체가 CA에 인증서 요청을 제출하면 해당 요청은 자동으로 승인될 수도 있고 "보류 중" 상태로 저장될 수도 있습니다. 보류 중 상태는 일반적으로 높은 수준의 보증을 필요로 하고 이에 따라 더 많은 관리와 더 강력한 요청 확인을 필요로 하는 인증서에 사용됩니다. 템플릿을 기반으로 하는 발급 인증서에 대한 인증 및 서명 요구 사항을 구성할 수 있는 여러 가지 설정이 있습니다.

설정 설명

CA 인증서 관리자 승인

모든 인증서는 인증서 관리자가 발급하거나 거부할 수 있도록 보류 중 컨테이너에 저장됩니다.

다음 개수의 인증된 서명

이 설정을 사용하려면 인증서 요청이 발급되기 전에 하나 이상의 주체에 의해 디지털 서명되어야 합니다. 이렇게 하면 다른 여러 매개 변수를 구성할 수 있습니다.

서명에 필요한 정책 종류

인증서 발급에 필요한 서명에는 특정 응용 프로그램 정책, 발급 정책 또는 둘 다가 포함되어야 합니다. CA는 이 방법을 통해 주체가 제출한 인증서의 발급을 인증하는 데 해당 서명이 적합한지를 결정합니다. 이 옵션은 다음 개수의 인증된 서명이 설정되어 있으면 사용할 수 있습니다.

응용 프로그램 정책

인증서 요청을 서명할 때 확인할 응용 프로그램 정책을 지정합니다. 이 옵션은 서명에 필요한 정책 종류응용 프로그램 정책 또는 응용 프로그램 및 발급 정책으로 설정되어 있으면 사용할 수 있습니다.

발급 정책

인증서 요청을 서명할 때 확인할 발급 정책을 지정합니다. 이 옵션은 서명에 필요한 정책 종류발급 정책 또는 응용 프로그램 및 발급 정책으로 설정되어 있으면 사용할 수 있습니다.

새 응용 프로그램 정책은 버전 2 및 버전 3의 인증서 템플릿에서만 수정하거나 만들 수 있습니다. 자세한 내용은 기본 인증서 템플릿을 참조하십시오.

클라이언트에 이전 템플릿을 기반으로 한 유효한 인증서가 이미 있는 경우, 수정된 템플릿을 기반으로 한 인증서를 받으려면 해당 클라이언트를 다시 등록해야 합니다. 클라이언트를 다시 등록하는 방법에 대한 자세한 내용은 모든 인증서 소유자 다시 등록을 참조하십시오.

이 절차를 수행하려면 최소한 Domain Admins 또는 Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

발급 정책을 수정하려면
  1. 인증서 템플릿 스냅인을 엽니다.

  2. 세부 정보 창에서 변경할 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. 발급 요구 사항 탭을 클릭합니다.

  4. 요청된 정보를 제공하십시오.