SSTP(Secure Socket Tunneling Protocol) 및 IKEv2(Internet Key Exchange 버전 2) 기반 VPN(가상 사설망)은 인증서 기반 인증 방법을 사용합니다. SSTP 또는 IKEv2 기반 VPN을 지원하려면 VPN 서버에서 올바르게 구성된 인증서를 설치해야 합니다.

RRAS 서버에서 구성하는 컴퓨터 인증서는 서버 인증 또는 모든 용도 EKU(확장된 키 사용) 속성이 있어야 합니다. 세션이 설정될 때 RRAS 서버를 인증하기 위해 VPN 클라이언트에서 이 컴퓨터 인증서를 사용합니다.

인증서 설치 위치

RRAS 서버의 경우

  • Local Computer\Trusted Root Certification Authorities 저장소에 서버 인증 인증서를 발급한 CA(인증 기관)에 대한 루트 CA 인증서를 설치합니다.

  • Local Computer\Personal 저장소에 CA가 발급한 서버 인증 인증서를 설치합니다.

원격 VPN 클라이언트의 경우

  • Local Computer\Trusted Root Certification Authorities 저장소에 서버 인증 인증서를 발급한 CA에 대한 루트 CA 인증서를 설치합니다. 서버에 의해 제공된 서버 인증 인증서를 신뢰하기 위해 클라이언트에 이 인증서가 필요합니다.

  • 클라이언트가 서버에 대한 IKEv2 VPN 연결을 사용해야 할 경우 CA에 의해 발급된 클라이언트 인증 인증서를 Local Computer\Personal 저장소에 설치해야 합니다.

중요
  • SSTP VPN 연결의 경우 기본적으로 클라이언트는 CRL(인증서 해지 목록)을 호스팅하는 것으로 인증서에서 식별된 서버를 검사하여 인증서가 해지되지 않았는지 확인할 수 있어야 합니다. CRL을 호스팅하는 서버에 연결할 수 없는 경우 유효성 검사에 실패하고 VPN 연결이 끊어집니다. 이를 방지하려면 인터넷에서 액세스할 수 있는 서버에 CRL을 게시하거나 CRL 검사를 요구하지 않도록 클라이언트를 구성해야 합니다. CRL 검사를 사용하지 않도록 설정하려면 다음 위치에 레지스트리 설정을 만듭니다.
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
  • 설정은 NoCertRevocationCheck라는 DWORD 값이어야 합니다. 이 값을 1로 설정합니다.

추가 참조

목차