이 항목에서는 사용자가 인증서 신뢰 체인, 인증서 서명 및 일반 공개 키 인프라와 인증서 구성 원칙을 알고 있다고 가정합니다. Windows Server 2008의 PKI 구성에 대한 자세한 내용은 ITPROADD-204: Windows Vista와 Windows Server 2008의 PKI 개선 사항(https://go.microsoft.com/fwlink/?LinkId=93995(페이지는 영문일 수 있음))을 참조하십시오. Windows Server 2003의 PKI 구성에 대한 자세한 내용은 공개 키 인프라(https://go.microsoft.com/fwlink/?LinkID=54917(페이지는 영문일 수 있음))를 참조하십시오.

기본적으로 TLS(전송 계층 보안) 1.0은 인터넷을 통한 원격 데스크톱 서비스 클라이언트와 RD 게이트웨이 서버 간의 통신을 암호화하는 데 사용됩니다. TLS는 인터넷이나 인트라넷에서 보안 웹 통신을 제공하는 데 사용하는 표준 프로토콜입니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전으로 가장 안전합니다. TLS에 대한 자세한 내용은 다음을 참조하십시오.

TLS가 제대로 작동하도록 하려면 RD 게이트웨이 서버에 SSL 호환 X.509 인증서를 설치해야 합니다.

인증서 설치 및 구성 프로세스 개요

RD 게이트웨이 서버에 대한 인증서를 얻고, 설치하고, 구성하는 프로세스는 다음 단계들로 이루어집니다.

1단계: 원격 데스크톱 게이트웨이 서버에 대한 인증서 얻기

다음 방법 중 하나를 사용하여 RD 게이트웨이 서버에 대한 인증서를 얻을 수 있습니다.

  • 회사에서 RD 게이트웨이 요구 사항을 충족하는 SSL 호환 X.509 인증서를 발급하도록 구성된 독립 실행형 또는 엔터프라이즈 CA를 유지 관리하는 경우 조직의 CA 정책 및 구성에 따라 여러 가지 방법으로 인증서 요청을 생성하고 제출할 수 있습니다. 인증서를 얻는 방법은 다음과 같습니다.

    • 인증서 스냅인에서 자동 등록 시작

    • 인증서 요청 마법사를 사용하여 인증서 요청

    • 웹을 통해 인증서 요청

      참고

      Windows Server 2003 CA가 있을 경우 Windows Server 2003 인증서 서비스 웹 등록 기능을 사용하려면 Xenroll이라는 ActiveX 컨트롤이 필요합니다. 이 ActiveX 컨트롤은 Microsoft Windows Server 2003, Windows 2000 및 Windows XP에서 사용할 수 있습니다. 그러나 Windows Server 2008 및 Windows Vista에서는 Xenroll이 사용되지 않습니다. Windows Server 2003, Windows Server 2003 SP1(서비스 팩 1) 및 Windows Server 2003 SP2(서비스 팩 2)의 원래 릴리스 버전에 포함된 예제 인증서 등록 웹 페이지에는 Windows Server 2008 및 Windows Vista에서 웹 기반 인증서 등록 작업을 수행하는 방법에 대한 변경 사항이 포함되어 있지 않습니다. 이러한 문제를 해결하는 단계에 대한 자세한 내용은 Microsoft 기술 자료 문서 922706(https://go.microsoft.com/fwlink/?LinkId=94472(페이지는 영문일 수 있음))을 참조하십시오.

    • Certreq 명령줄 도구 사용

    이러한 방법 중 하나를 사용하여 Windows Server 2008 R2에 대한 인증서를 얻는 방법에 대한 자세한 내용은 인증서 스냅인 도움말의 "인증서 얻기" 항목 및 Windows Server 2008 R2 명령 참조의 "Certreq" 항목을 참조하십시오. 인증서 스냅인 도움말 항목을 검토하려면 시작, 실행을 차례로 클릭하고 hh certmgr.chm을 입력한 다음 확인을 클릭합니다. Windows Server 2003에 대한 인증서를 요청하는 방법은 인증서 요청(https://go.microsoft.com/fwlink/?LinkID=19638(페이지는 영문일 수 있음))을 참조하십시오.

    독립 실행형 또는 엔터프라이즈 CA에서 발급한 인증서는 Microsoft Root Certification Program Members 프로그램(https://go.microsoft.com/fwlink/?LinkID=59547(페이지는 영문일 수 있음))에 참여하는 신뢰할 수 있는 공공 CA로부터 공동으로 서명을 받아야 합니다. 그렇지 않으면 가정용 컴퓨터나 키오스크에서 연결하는 사용자는 TS 게이트웨이 또는 RD 게이트웨이 서버에 연결하지 못할 수도 있습니다. 이는 가정용 컴퓨터나 키오스크와 같이 도메인 구성원이 아닌 컴퓨터에서는 CA 발급 루트가 신뢰되지 않을 수 있기 때문입니다.

  • 회사에서 SSL 호환 X.509 인증서를 발급하도록 구성된 독립 실행형 또는 엔터프라이즈 CA를 유지 관리하지 않는 경우 Microsoft Root Certificate Program Members 프로그램(https://go.microsoft.com/fwlink/?LinkID=59547(페이지는 영문일 수 있음))에 참여하는 신뢰할 수 있는 공공 CA로부터 인증서를 구입할 수 있습니다. 이러한 공공 CA 중 일부에서는 평가를 목적으로 인증서를 무료로 제공하는 경우도 있습니다.

  • 또는 회사에서 독립 실행형 또는 엔터프라이즈 CA를 유지 관리하지 않으며 신뢰할 수 있는 공공 CA에서 발급한 호환 인증서가 없을 경우 기술 평가 및 테스트를 목적으로 RD 게이트웨이 서버에 대한 자체 서명된 인증서를 만들고 가져올 수 있습니다. 자세한 내용은 원격 데스크톱 게이트웨이 서버에 대한 자체 서명된 인증서 만들기를 참조하십시오.

    중요

    처음 두 방법 중 하나를 사용하여 인증서를 얻는 즉, 독립 실행형 CA, 엔터프라이즈 CA 또는 신뢰할 수 있는 공공 CA에서 인증서를 얻는 경우 원격 데스크톱 게이트웨이 서버로 인증서 가져오기원격 데스크톱 게이트웨이의 기존 인증서 선택 또한 수행해야 합니다. 그러나 원격 데스크톱 게이트웨이 역할 서비스를 설치하는 동안 역할 추가 마법사를 사용하여 자체 서명된 인증서를 만들거나, 설치 후 원격 데스크톱 게이트웨이 서버에 대한 자체 서명된 인증서 만들기에 설명된 대로 원격 데스크톱 게이트웨이 관리자를 사용하여 자체 서명된 인증서를 만드는 경우에는 인증서를 RD 게이트웨이 서버에 설치하거나 매핑할 필요가 없습니다. 이러한 경우 인증서가 자동으로 생성되어 RD 게이트웨이 서버의 올바른 위치에 설치되고 RD 게이트웨이 서버에 매핑됩니다.

    원격 데스크톱 서비스 클라이언트의 신뢰할 수 있는 루트 인증 기관 저장소에 서버 인증서를 발급한 CA의 인증서가 있어야 합니다. 클라이언트에 인증서를 설치하는 방법에 대한 단계별 지침은 원격 데스크톱 서비스 클라이언트에 원격 데스크톱 게이트웨이 서버 루트 인증서 설치를 참조하십시오.

    처음 두 방법 중 하나를 사용하여 인증서를 얻었고 발급 CA를 원격 데스크톱 서비스 클라이언트 컴퓨터에서 신뢰하는 경우 클라이언트 컴퓨터의 인증서 저장소에 서버 인증서를 발급한 CA의 인증서를 설치할 필요가 없습니다. 예를 들어 VeriSign 또는 신뢰할 수 있는 기타 공공 CA 인증서가 RD 게이트웨이 서버에 설치된 경우 클라이언트 컴퓨터 인증서 저장소에 발급 CA의 인증서를 설치할 필요가 없습니다. 하지만 세 번째 방법을 사용하여 인증서를 얻는 경우(즉, 자체 서명된 인증서를 만드는 경우) 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 서버 인증서를 발급한 CA의 인증서를 설치해야 합니다. 자세한 내용은 원격 데스크톱 서비스 클라이언트에 원격 데스크톱 게이트웨이 서버 루트 인증서 설치를 참조하십시오.

2단계: 인증서 가져오기

인증서를 얻고 나면 다음 방법 중 하나를 사용하여 인증서를 RD 게이트웨이 서버로 가져올 수 있습니다.

추가 참조


목차