Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
이동철입니다.
이제 한해가 마무리되는 12월 이네요,,, 이제 저도 12월이 지나면 40대 중반의 나이로 접어드네요,,, 갑자기 우울해지만, 그래도 여러분들과 여러 가지 얘기를 나눌 수 있어서 그나마 위안이 됩니다.
오늘 포스팅할 주제는 Windows 환경에서의 PKI 입니다.
PKI가 뭐냐? 뭐 간단히 얘기하면 TCP/IP 환경의 네트워크 트래픽에 대한 안전성을 높힐 수 있는 방안 중의 하나지요...
핵심은 "인증서(Certificate)" 인 건 다들 아시지요,, 뭐 요즘 대한민국에서 인터넷 뱅킹 및 모든 돈에 관련된 커머셜 트랜잭션을 할려면 인증서 없이는 안 되지요....
제가 여기서 공인 인증서 환경과 사설 인증서 환경의 차이점까지 논의할려면 밑도 끝도 없을 것 같구요...
다만, 사설 인증서 환경을 Windows 서버 및 기타 Windows 클라이언트들 사이에서 구축할려면 어떤 방법론이 필요할지에 대해서만 제가 여러분들에게 알려 드릴려고 합니다.
Windows 환경에서만 제한적으로 얘가하자면, IIS의 HTTPS, OCS의 TLS, 기타 ISA, TMG, SharePoint 를 포함하여, 일반 TCP/IP 환경에서 암호화를 덧 붙일려면, PKI 및 인증서가 필요하지 않는 곳은 거의 없습니다.
제가 이번 첨부 문서에서 다룬 내용은 EAP(Extensible Authentication Protocol) 를 적용하기 위해 필요한 컴퓨터 인증서 및 사용자 인증서의 배포 및 관리 방안입니다.
EAP-TLS 환경에서의 인증서 배포를 위한 개략적인 방안은 아래와 같습니다.
①. EAP 및 RADIUS 를 완벽하게 지원하는 Network Access Server(RADIUS clients, ex, RRAS) 를 먼저 설치한다. 아래 그림에서 VPN1.KAVPN.com 서버에 Network Access Server 로써 RRAS 모듈을 설치했다. 또한, NPS1.KAVPN.com 서버에는 Windows Server 2008 R2 기반의 NPS(Network Policy Server , RADIUS Server)가 설치되어 있다.
②. NPS(RADIUS Server) 및 Network Access Server 에 해당 "서버 인증서"를 발급한다. 아래 그림에서 DC1.KAVPN.com 은 Enterprise Root CA 역할을 수행하고, 실제 서버 인증서를 발급하는 역할은 SUBCA1.KAVPN.com 서버가 수행한다. SUBCA1 서버에는 Enterprise Subordinate CA가 설치되어 있다. SUBCA1 서버가 NPS 와 RRAS 서버 각각에 아래 그림 보라색 선과 같이 "서버 인증서"를 발급한다.
③. Network Access Server에 EAP 인증 방식을 통해 연결하고자 하는 도메인 멤버 컴퓨터 및 도메인 멤버 사용자 각각에 "컴퓨터 인증서" 및 "사용자 인증서"를 발급한다. 아래 그림과 같이 XP01.KAVPN.com 클라이언트 컴퓨터에 각기 "컴퓨터 인증서(CN : XP01.KAVPN.com)" 및 "사용자 인증서(CN : user01@KAVPN.com)" 를 발급한다.
④. NPS 콘솔에서 Network Access Server 를 RADIUS Client 로 구성한다. 아래 그림은 RADIUS Proxy 까지 구성된 홖경이므로, 아래와 같이 구성해야 한다.
- On VPN1
- RADIUS Server : NPSProxy1
- On NPSProxy1
- RADIUS Server : NPS1
- RADIUS Client : VPN1
- On NPS1
- RADIUS Client : NPSProxy1
⑤. NPS 또는 Network Access Server 의 연결 정책에서 인증 방법을 EAP 인증으로 구성한다. 아래 그림은, Windows Server 2008 R2 NPS 에서 추가 가능한 EAP 인증 형식을 구성하는 예제이다.
⑥. EAP를 지원하는 클라이언트를 확인한다. 기본적으로, Windows 7, Windows Vista, Windows XP 가 EAP를 지원한다.
이 문서를 참조하시면 Windows 환경에서의 PKI 관리 방안 및 각종 인증서 관리 방법에 대해서 확인하실 수 있습니다.
기타 문의 사항이 있으시면 언제든지 질문 남겨주세요.
감사합니다.
Comments
Anonymous
January 01, 2003
네 당근 스마트카드를 이용한 윈도우 로긴에도 활용할 수 있습니다. 특히, 사용자 인증서 배포에 신경쓰시면 아마 아무 문제 없을 겁니다. 그럼 수고하세요Anonymous
March 08, 2011
Smartcard를 이용한 Windows Logon을 4월 안에 적용해야 했는데 좋은 정보 감사합니다.