HRA(상태 등록 기관)는 클라이언트 컴퓨터 대신 상태 인증서를 요청할 적어도 하나 이상의 CA(인증 기관)로 구성되어야 합니다. 새 클라이언트가 네트워크에 연결되거나 상태 인증서 유효 기간이 규격 클라이언트 컴퓨터에서 곧 만료될 예정인 경우 인증서가 요구됩니다. 또한 클라이언트 컴퓨터가 네트워크에 연결되어 있을 때 해당 성능 상태가 바뀔 경우 인증서가 제거된 후 클라이언트 컴퓨터에게 다시 발급될 수도 있습니다. HRA는 첫 번째로 구성된 서버가 사용 불가능하거나 응답하지 않는 경우가 아니면 해당 CA에서 상태 인증서를 요청합니다.

CA 구성

HRA에서 CA를 구성하려면 다음 절차를 사용하십시오. CA를 추가 또는 삭제할 수 있으며 순서를 수정할 수 있습니다. 또한 CA를 사용 불가능 상태로 식별하기 전에 요청 간 대기 시간(분)을 지정할 수 있습니다. 엔터프라이즈 CA를 사용할 경우 사용할 인증된 인증서 템플릿 및 익명 인증서 템플릿을 선택할 수 있습니다. 네트워크 액세스 제어와 함께 독립 실행형 CA를 사용할 경우 정책 OID를 사용하도록 설정하여 클라이언트 확장 상태 정보를 사용하도록 설정할 수 있습니다.

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 적절한 계정과 그룹 구성원 자격의 사용에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=83477(페이지는 영문일 수 있음)을 참조하십시오.

새 CA 추가

최적의 성능을 위해 전용 독립 실행형 하위 CA를 사용하여 상태 인증서를 발급해야 합니다. HRA 스냅인에서 둘 이상의 CA를 구성할 경우 내결함성이 제공됩니다. CA 처리 순서가 다른 추가 HRA를 구성하여 부하 분산 기능을 얻을 수 있습니다. 다음 절차에 따라 HRA에서 사용하도록 CA를 구성할 수 있습니다.

Windows 인터페이스를 사용하여 새 인증 기관을 추가하려면
  1. HRA 콘솔을 엽니다.

  2. 콘솔 트리에서 인증 기관을 마우스 오른쪽 단추로 클릭한 다음 인증 기관 추가를 클릭합니다. 인증 기관 추가 대화 상자가 열립니다.

  3. 찾아보기를 클릭합니다. 인증 기관 선택 대화 상자가 열립니다.

  4. CA에서 NAP 상태 인증서 발급에 사용할 CA의 이름을 클릭한 다음 확인을 차례로 두 번 클릭합니다.

  5. HRA 콘솔 트리에서 인증 기관을 클릭하고 구성된 CA의 이름과 순서를 확인합니다.

    참고

    작업 그룹 환경에서는 CA를 찾을 수 없습니다.

CA 대기 시간 구성

HRA는 처리 순서에서 처음 구성된 CA가 사용 불가능 상태로 표시되지 않는 한, 이 CA에서만 상태 인증서를 획득하려고 합니다. 다음 절차를 사용하여 CA를 사용 불가능 상태로 식별하기 전에 대기하는 시간(분)을 변경할 수 있습니다.

Windows 인터페이스를 사용하여 인증 기관 대기 시간을 구성하려면
  1. HRA 콘솔을 엽니다.

  2. 콘솔 트리에서 인증 기관을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 인증 기관 속성 대화 상자가 열립니다.

  3. CA를 사용 불가능 상태로 식별하기 전에 요청 간 대기 시간(분)을 입력한 후 확인을 클릭합니다.

상태 인증서 유효 기간 구성

상태 인증서의 기본 유효 기간은 4시간입니다. 클라이언트는 만료되기 15분 전이나 클라이언트 성능 상태가 변경될 때 상태 인증서를 갱신하려고 합니다. 다음 절차를 사용하여 상태 인증서의 사용자 지정 유효 기간을 구성할 수 있습니다.

Windows 인터페이스를 사용하여 HRA에서 승인한 상태 인증서의 유효 기간을 구성하려면
  1. HRA 콘솔을 엽니다.

  2. 콘솔 트리에서 인증 기관을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 인증 기관 속성 대화 상자가 열립니다.

  3. 드롭다운 목록을 사용하여 시간 단위를 선택합니다. , 시간, 또는 를 선택할 수 있습니다.

  4. 시간 단위를 선택한 후 원하는 단위 수를 입력하고 확인을 클릭합니다.

  5. 엔터프라이즈 CA를 사용하는 경우 인증서 템플릿에 구성된 유효 기간을 재정의하려면 다음 단계를 수행해야 합니다.

    1. 시작을 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

    2. 명령 창에서 Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE를 입력한 후 Enter 키를 누릅니다.

    3. 명령 창에서 net stop certsvc && net start certsvc를 입력한 후 Enter 키를 누릅니다.

    4. AD CS(Active Directory® 인증서 서비스)가 중지된 후 시작되는지 확인합니다.

중요

최대 상태 인증서 유효 기간은 CA 유효 기간에 따라 결정되며 기본적으로 52주로 설정됩니다. CA 서버에 성능 문제가 나타날 수 있으므로 유효 기간을 1시간 이내로 구성할 때는 주의해야 합니다. 유효 기간을 15분 이내로 설정하지 마십시오.

CA 유형 선택

NAP 인증 기관 유형을 구성하려면 다음 절차를 사용합니다. 앞의 절차에서 구성한 CA에 해당하는 CA 유형을 선택해야 합니다. 엔터프라이즈 CA를 사용할 경우 이 절차를 수행하기 전에 템플릿을 구성해야 합니다.

Windows 인터페이스를 사용하여 인증 기관 유형을 선택하려면
  1. HRA 콘솔을 엽니다.

  2. 콘솔 트리에서 인증 기관을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 인증 기관 속성 대화 상자가 열립니다.

  3. 독립 실행형 CA를 사용할 경우 독립 인증 기관 사용을 선택합니다.

  4. 네트워크 액세스 제어에 대한 클라이언트 확장 상태 정보를 사용하지 않을 경우 정책 OID 사용 옆의 확인란을 선택하지 마십시오.

  5. Active Directory 통합 엔터프라이즈 CA를 사용하거나 엔터프라이즈 및 독립 실행형 CA를 모두 사용하려는 경우 엔터프라이즈 인증 기관 사용을 선택한 후 사용 가능한 템플릿 드롭다운 목록에서 승인된 규격 인증서 템플릿익명의 규격 인증서 템플릿을 선택합니다. HRA 설치 중에 상태 인증서에 대한 익명 요청을 허용하도록 선택하지 않은 경우 이 절차의 익명 템플릿을 구성해도 익명 인증서 요청이 사용 가능하게 설정되지 않습니다.

순서 구성 및 CA 삭제

HRA에서 사용하는 CA의 우선 순위를 수정하거나 HRA 구성에서 CA를 제거하려면 다음 절차를 사용합니다. HRA는 목록에서 첫 번째로 구성된 CA가 사용 불가능 상태로 표시되지 않는 한, 이 CA에서만 인증서를 요청합니다.

Windows 인터페이스를 사용하여 순서를 구성하거나 인증 기관을 삭제하려면
  1. HRA 콘솔을 엽니다.

  2. 콘솔 트리에서 인증 기관을 클릭합니다.

  3. 서버 목록에서 CA 이름을 마우스 오른쪽 단추로 클릭합니다. 이 서버의 우선 순위를 높이려면 위로 이동을 클릭하고 우선 순위를 낮추려면 아래로 이동을 클릭합니다.

  4. 목록에서 CA를 삭제하려면 CA 이름을 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.

추가 참조