타사 인증 기관 사용하여 스마트 카드 로그온 사용 지침

기술 자료 번역 기술 자료 번역
기술 자료: 281245 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에 나와 있는 지침에 따라 Microsoft Windows 2000 및 타사 인증 기관 (CA) 스마트 카드 로그온 프로세스를 사용할 수 있습니다. 이 문서의 뒷부분에서 설명한 대로 이 구성에 대한 제한된 지원이 있습니다.

추가 정보

요구 사항

스마트 카드 인증 Active Directory에 필요한 해당 스마트 카드 워크스테이션, Active Directory 및 Active Directory 도메인 컨트롤러에 제대로 구성된. Active Directory는 해당 CA에서 인증서를 기반으로 사용자를 인증하는 인증 기관을 신뢰해야 합니다. 스마트 카드 워크스테이션과 도메인 컨트롤러가 올바르게 구성된 인증서를 구성해야 합니다.

모든 PKI 구현을 사용하여 모든 당사자가 루트 CA에 있는 신뢰해야 합니다 같이 발급 CA 체인을. 이 루트 도메인 컨트롤러 및 스마트 카드 워크스테이션 트러스트.

현재 디렉터리 및 도메인 컨트롤러 구성

  • 필수: Active Directory 타사 발급 CA 현재 디렉터리에 사용자를 인증하도록 NTAuth 저장소에 있어야 합니다.
  • 필수: 도메인 컨트롤러가 스마트 카드 사용자를 인증하기 위해 도메인 컨트롤러 인증서는 사용하여 구성해야 합니다.
  • 옵션: Active Directory 그룹 정책을 사용하여 모든 도메인 구성원이 신뢰할 수 있는 루트 CA 저장소에 타사 루트 CA를 배포하기 위해 구성할 수 있습니다.

스마트 카드 인증서 및 워크스테이션 요구 사항

  • 필요한: "구성 방법" 절에서 설명하는 스마트 카드 요구 사항을 모두, 해당 필드의 텍스트 서식을 포함하여 충족되어야 합니다. 이들은 맞지 않으면 스마트 카드 인증에 실패합니다.
  • 필수: 있는 스마트 카드 및 개인 키가 있는 스마트 카드 설치되어 있어야 합니다.

구성 지침

  1. 내보내기 또는 타사 루트 인증서 다운로드. 어떻게 받을 수 있는 타사 루트 인증서 공급업체에서 다릅니다. Base64 인코딩된 X.509 형식으로 인증서를 합니다.
  2. Active Directory 그룹 정책 개체에서 신뢰할 수 있는 루트를 타사 루트 CA를 추가하십시오. 모든 도메인 컴퓨터 신뢰할 수 있는 루트 저장소에 타사 CA를 배포할 Windows 2000 도메인의 그룹 정책을 구성하려면 다음과 같이 하십시오.
    1. 시작 을 누르고, 프로그램, 관리 도구 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭하십시오.
    2. 왼쪽된 창에서 편집할 정책이 적용되는지 도메인을 찾습니다.
    3. 도메인을 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
    4. 그룹 정책 탭을 클릭하십시오.
    5. 기본 도메인 정책 그룹 정책 개체를 클릭한 다음 편집 을 클릭하십시오. 새 창이 열립니다.
    6. 왼쪽된 창에서 다음 항목을 확장하십시오.
      • 컴퓨터 구성
      • Windows 설정
      • 보안 설정
      • 공개 키 정책
    7. 신뢰된 루트 인증 기관 마우스 오른쪽 단추로 클릭하십시오.
    8. 모든 작업 을 선택한 다음 가져오기 를 클릭하십시오.
    9. 인증서 가져오기 마법사의 지시를 따릅니다.
    10. 확인 을 클릭하십시오.
    11. 그룹 정책 창을 닫습니다.
  3. Active Directory의 NTAuth 저장소에 CA 발급 타사 추가하십시오.

    스마트 카드 로그온 인증서가 NTAuth 저장소에 CA에서 발급해야 합니다. 기본적으로 Microsoft 엔터프라이즈 CA가 추가되는 NTAuth 저장소에.
    • 스마트 카드 로그온 인증서 또는 도메인 컨트롤러 인증서를 발급한 CA가 올바르게 게시할 경우 NTAuth 저장소에 스마트 카드 로그온 프로세스가 작동하지 않습니다. 해당 응답 "자격 증명을 확인할 수 없습니다." 입니다.
    • NTAuth 저장소에 포리스트의 구성 컨테이너에 위치합니다. 예를 들어, 샘플 위치는 다음과 같습니다.
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public 키 서비스, CN 서비스, CN = 구성, DC = 이름, DC = com =
    • Microsoft 엔터프라이즈 CA를 설치할 때 기본적으로 이 저장소가 만들어집니다. 개체는 수동으로 또는 LDIFDE를 사용하여 ADSIedit.msc Windows 2000 지원 도구를 사용하여 만들 수도 있습니다.추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:
      295663엔터프라이즈 NTAuth 저장소에 타사 인증 기관 (CA) 인증서를 가져오는 방법
    • 관련 특성 cACertificate, 8진수 문자열, ASN 인코딩된 인증서 목록 여러 반환 수 있습니다.

      NTAuth 저장소에 타사 CA에 넣을 후 도메인 기반 그룹 정책은 도메인에 있는 모든 컴퓨터의 다음 위치에 레지스트리 키 (인증서 손도장) 넣습니다.
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      8시간마다 워크스테이션 (일반적인 그룹 정책 펄스 간격) 고쳐집니다.
  4. 요청 및 도메인 컨트롤러에 대한 도메인 컨트롤러 인증서를 설치하십시오. 스마트 카드 사용자를 인증할 수 있는 각 도메인 컨트롤러는 도메인 컨트롤러 인증서가 있어야 합니다.

    Active Directory 포리스트에서 Microsoft 엔터프라이즈 CA를 설치하는 경우, 모든 도메인 컨트롤러에 대한 도메인 컨트롤러 인증서를 자동으로 등록합니다. 타사 CA에서 도메인 컨트롤러 인증서 위한 요구 사항에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    291010타사 CA에서 도메인 컨트롤러 인증서 위한 요구 사항
    참고: 도메인 컨트롤러 인증서가 SSL (Secure Sockets Layer) 인증, 단순 메일 전송 프로토콜 (SMTP) 암호화, 원격 프로시저 호출 (RPC) 서명, 스마트 카드 로그온 프로세스가 사용됩니다. 비-Microsoft CA에 도메인 컨트롤러에 인증서를 발급하도록 사용하면 예기치 않은 동작 또는 지원되지 않는 결과가 발생할 수 있습니다. 잘못 포맷된 인증서 또는 인증서 주체 이름으로 태양이 이러한 또는 다른 기능을 응답하지 발생할 수 있습니다.
  5. 타사 CA에서 스마트 카드 인증서를 요청하십시오.

    정해진된 요구 사항에 맞는 타사 CA에서 인증서를 등록할. 등록 위한 메서드를 CA 공급업체에서 다릅니다.

    스마트 카드 인증서를 특정 형식 요구 사항은 다음과 같습니다.
    • CRL 인증서 해지 목록을 수 CDP (CRL 배포 지점) 위치를 채워진, 온라인 및 사용할 수 있어야 합니다. 예를 들면:
      [1]CRL 배포 지점
      배포 지점 이름:
      전체 이름:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • 키 용도 디지털 서명 =
    • 기본 제약 조건 [주체 종류 = 최종 엔터티, 경로 길이 제한 = 없음] (선택 사항)
    • 향상된 키 용도 =
      • 클라이언트 인증 (1.3.6.1.5.5.7.3.2)
        (클라이언트 인증 OID) 인증서 하나만 필요한 경우 SSL 인증을 위해 사용됩니다.)
      • 스마트 카드 로그온 (1.3.6.1.4.1.311.20.2.2)
    • 주체 대체 이름 = 기타 이름: 사용자 이름 (UPN) =. 예를 들면:
      UPN user1@name.com =
      UPN OtherName OID 있습니다: "1.3.6.1.4.1.311.20.2.3"
      UPN OtherName 값을: UTF8 ASN1 인코딩된 문자열이어야 합니다.
    • 제목 = 사용자 고유 이름입니다. 이 필드가 필수 확장명을 있지만 이 필드는 채우기 선택 사항입니다.
  6. 미리 정의된 두 가지 유형의 개인 키가 있습니다. 이러한 키가 서명 Only(AT_SIGNATURE)키 Exchange(AT_KEYEXCHANGE) 있습니다. 올바르게 작동하기 위해 스마트 카드 로그온 키 Exchange(AT_KEYEXCHANGE) 개인 키 유형을 스마트 카드 로그온 인증서가 있어야 합니다.
  7. 스마트 카드 워크스테이션에 스마트 카드 드라이버와 소프트웨어를 설치하십시오.

    스마트 카드 워크스테이션에서 적절한 스마트 카드 판독기 장치 및 드라이버 소프트웨어가 설치되어 있는지 확인하십시오. 스마트 카드 판독기 공급업체에서 다릅니다.
  8. 타사 스마트 카드 인증서를 스마트 카드 워크스테이션에 설치하십시오.

    다음 해당 스마트 카드 이미 4단계에서 등록 프로세스 스마트 카드 사용자의 개인 저장소에 않았습니다 않은 경우 사용자의 개인 저장소로 인증서를 가져와야 합니다. 이렇게 하려면 다음을 수행합니다.
    1. 해당 MMC (Microsoft 관리 콘솔 (인증서 스냅인을 포함하는)를 엽니다.
    2. 콘솔 트리에서 인증서개인 에서 클릭하십시오.
    3. 모든 작업 메뉴에서 인증서 가져오기 마법사를 시작하려면 가져오기 클릭하십시오.
    4. 가져올 인증서가 포함된 파일을 클릭하십시오.

      참고: 개인 정보 교환 PKCS # 12 파일 인증서가 포함된 파일의 경우 개인 키, 클릭하여 개인 키를 내보낼 수, 수 및 이 기능을 사용하려면 강력한 개인 키 보호를 해제할 경우 해당 확인란을 선택하고 암호화하는 데 사용된 암호를 입력합니다.

      참고: 강력한 개인 키 보호를 해제할 받는 논리 인증서 저장소 보기 모드를 사용해야 합니다.
    5. 인증서 종류 기준으로 인증서 저장소에 인증서를 자동으로 넣을 수 있는 옵션을 선택하십시오.
  9. 해당 스마트 카드 끌어다 타사 스마트 카드 인증서를 설치하십시오. 이 방법에 따라 암호화 서비스 공급자(CSP) 및 스마트 카드 공급업체에 의해 달라집니다. 공급업체의 documentations에 대한 지침 참조하십시오.
  10. 해당 스마트 카드 함께 워크스테이션에 로그온하십시오.

가능한 문제

스마트 카드 로그온 중에 나타나는 가장 일반적인 오류 메시지는 다음과 같습니다.
시스템에 로그온할 수 없습니다. 자격 증명을 확인할 수 없습니다.
일반 오류 메시지 및 아래에 설명된 몇 가지 문제 중 하나 이상이 발생할 수 있습니다.

인증서 및 구성 문제

  • 도메인 컨트롤러는 도메인 컨트롤러 인증서가 있습니다.
  • 스마트 카드 인증서 SubjAltName 필드 형식이 있습니다. 16진수 파일로 SubjAltName 필드의 정보가 나타나는 경우/ASCII 원시 데이터, 텍스트 서식 ASN1 경우/UTF-8.
  • 도메인 컨트롤러가 그렇지 않으면 잘못되었거나 완전하지 않은 인증서에 있습니다.
  • 각 다음과 같은 새 유효한 도메인 컨트롤러 인증서를 요청해야 합니다. 유효한 도메인 컨트롤러 인증서가 만료된 경우 도메인 컨트롤러 인증서를 갱신할 수 있지만 이 프로세스를 보다 복잡한 일반적으로 더 어려운 새 도메인 컨트롤러 인증서를 요청할 경우 보다.
    • 도메인 컨트롤러 인증서가 만료되었습니다.
    • 도메인 컨트롤러가 신뢰할 수 없는 인증서에 있습니다. NTAuth 저장소에 포함되지 않은 경우 도메인 컨트롤러 인증서의 인증 기관 (CA) 인증서를 발급 처리하며, NTAuth 저장소에 추가 또는 NTAuth 저장소에 있는 인증서를 발급 CA DC 인증서를 얻어야 합니다.

      이러한 컴퓨터가 신뢰할 수 구성해야 합니다 도메인 컨트롤러 또는 스마트 카드 워크스테이션에 있는 도메인 컨트롤러 인증서가 연결되는지, 루트 CA 신뢰할 수 없으면 해당 루트 CA.
    • 해당 스마트 카드 신뢰할 수 없는 인증서에 있습니다. NTAuth 저장소에 포함되지 않은 경우 스마트 카드 인증서 CA 인증서를 발급 처리하며, NTAuth 저장소에 추가 또는 인증서를 가진 NTAuth 저장소에 있는 발급 CA에서 스마트 카드 인증서를 얻어야 합니다.

      이러한 컴퓨터가 신뢰할 수 구성해야 합니다 도메인 컨트롤러 또는 스마트 카드 워크스테이션에 있는 사용자의 스마트 카드 인증서가 연결되는지, 루트 CA 신뢰할 수 없으면 해당 루트 CA.
    • 스마트 카드 인증서는 사용자 저장소에 워크스테이션에 설치되어 있지 않습니다. 저장되어 있는 스마트 카드 인증서를 스마트 카드 워크스테이션에서 스마트 카드로 로그온하는 사용자의 프로필이 있어야 합니다.

      참고: 워크스테이션의 사용자 프로필에 개인 키를 저장할 필요가 없습니다. 스마트 카드에 저장할 경우에만 필요합니다.
    • 올바른 스마트 카드 인증서 또는 개인 키가 있는 스마트 카드 설치되어 있지 않습니다. 올바른 스마트 카드 인증서가 있는 스마트 카드 개인 키를 사용하여 설치하고 인증서가 스마트 카드 워크스테이션에서 스마트 카드 사용자 프로필에 저장된 인증서 일치해야 합니다.
    • 스마트 카드 인증서는 스마트 카드 판독기에서 검색할 수 없습니다. 스마트 카드 판독기 하드웨어를 또는 스마트 카드 판독기 드라이버 소프트웨어를 문제가 될 수 있습니다. 인증서와 개인 키가 있는 스마트 카드 보려면 스마트 카드 판독기 공급업체의 소프트웨어를 사용할 수 있는지 확인하십시오.
    • 스마트 카드 인증서가 만료되었습니다.
    • 없음 사용자 사용자 이름 (UPN) 스마트 카드 인증서의 SubjAltName 확장명을 사용할 수 있습니다.
    • 스마트 카드 인증서의 SubjAltName 필드에서 UPN 형식이 있습니다. 16진수 파일로 있는 SubjAltName 정보를 나타나는 경우/ASCII 원시 데이터, 텍스트 서식 ASN1 경우/UTF-8.
    • 해당 스마트 카드 그렇지 않으면 잘못되었거나 완전하지 않은 인증서에 있습니다. 각 이러한 조건에 대한 새 올바른 스마트 카드 인증서를 요청할 하며 끌어다 해당 스마트 카드 및 스마트 카드 워크스테이션의 사용자 프로필에 설치합니다. 스마트 카드 인증서를 SubjAltName 필드 서식이 올바로 지정된 UPN 필드에 포함될 요구가 이 문서의 앞부분에서 설명한 만족해야 합니다.

      올바른 스마트 카드 인증서가 만료된 경우 스마트 카드 인증서를 갱신할 수도 있습니다 있지만 일반적으로 더 복잡하고 어려운 새 스마트 카드 인증서를 요청하는 것보다 때문입니다.
    • 사용자 UPN 자신의 Active Directory 사용자 계정이 정의되어 있지 않습니다. 사용자 계정이 Active Directory에서 스마트 카드 사용자 Active Directory 사용자 계정 userPrincipalName 속성의 유효한 UPN이 있어야 합니다.
    • 인증서의 UPN 사용자의 Active Directory 사용자 계정이 정의된 UPN을 일치하지 않습니다. 스마트 카드 사용자 제어하여 Active Directory 사용자 계정 UPN은 UPN 재발급 UPN 일치 SubjAltName 필드 값 있음을 사용하여 스마트 카드 인증서 또는 스마트 카드 사용자 Active Directory 사용자 계정을 수정해야 합니다. 스마트 카드 UPN 서드 파티 CA userPrincipalName 사용자 계정 특성에 일치하는 것이 좋습니다. 그러나 인증서의 UPN “ UPN implict ” 계정 (형식 samAccountName@domain_FQDN) 의 경우, UPN userPrincipalName 속성을 명시적으로 일치시킬 수 없습니다.

해지 확인을 문제

도메인 컨트롤러가 스마트 카드 로그온 인증서를 확인할 때 해지 확인 실패하면 도메인 컨트롤러 로그온을 거부합니다. 도메인 컨트롤러가 앞에서 설명한 오류 메시지나 다음 오류 메시지를 반환할 수 있습니다.
시스템에 로그온할 수 없습니다. 인증에 사용된 스마트 카드 인증서를 신뢰할 수 없습니다.
참고: 찾기 및 CRL (인증서 해지 목록), 잘못된 CRL, 해지된 인증서 및 "알 수 없음" 해지 상태를 다운로드 실패 모두 해지 오류로 간주됩니다.

해지 확인 클라이언트 및 도메인 컨트롤러 모두 성공해야 합니다. 다음 해당하는 확인하십시오.
  • 해지 확인 해제되지 않습니다.

    해지 기본 제공 해지 공급자 해제할 수 있는지 확인하십시오. 사용자 지정 설치 가능한 해지 공급자가 설치된 경우 이가 설정되어 있어야 합니다.
  • 모든 CA 인증서를 제외하고 루트 CA 인증서 체인에 있는 인증서의 CDP 확장에 유효한 포함되어 있습니다.
  • CRL을 다음 업데이트 가지며 CRL 최신 상태입니다. CRL Internet Explorer에서 다운로드 CDP에서 온라인 및 유효한 있는지 확인할 수 있습니다. 다운로드 및 스마트 카드 워크스테이션에 및 도메인 컨트롤러 Internet Explorer의 HTTP (하이퍼텍스트 전송 프로토콜) 또는 파일 전송 프로토콜 (FTP) CDP에서 CRL 볼 수 있어야 합니다.
각 고유 HTTP 및 FTP CDP 기업의 인증서를 사용하는 온라인 및 사용할 수 있는지 확인하십시오.

CRL을 온라인 및 FTP 또는 HTTP CDP에서 사용할 수 있는지 확인하려면 다음과 같이 하십시오.
  1. 질문에서 인증서 열려면 .cer 파일을 두 번 클릭합니다 또는 저장소에 있는 인증서를 두 번 클릭하십시오.
  2. 자세히 탭을 클릭하고 아래로 스크롤하여 CRL 배포 지점 필드를 선택하십시오.
  3. 아래쪽 창에서 전체 FTP 또는 HTTP Uniform URL) 강조 표시하고 복사하십시오.
  4. Internet Explorer 열고 URL 주소 표시줄에 붙여 넣습니다.
  5. 메시지가 나타나면 열기 CRL 옵션을 선택하십시오.
  6. 있는지 CRL에 다음 새로 필드를 확인한 다음 업데이트 필드에 시간이 없는 지났습니다 확인하십시오.
다운로드하거나 있는 경량 디렉터리 액세스 프로토콜 (LDAP) CDP 유효한지 확인할 수 있는 스크립트 또는 CRL을 다운로드하려면 응용 프로그램을 작성해야 합니다. 다운로드 후 CRL을 열려 있는지 CRL에 다음 새로 필드를 확인한 다음 업데이트 필드에 시간이 없는 지났습니다 확인하십시오.

지원

다음 항목 중 하나 이상이 문제의 기여하는 결정되는 경우 Microsoft 고객기술지원부 타사 CA가 스마트 카드 로그온 프로세스를 지원하지 않습니다.
  • 잘못된 인증서 형식입니다.
  • 인증서 상태 또는 사용할 수 없는 타사 CA에서 해지 상태.
  • 인증서 등록 타사 CA에서 발급합니다.
  • 타사 CA가 Active Directory에 게시할 수 없습니다.
  • 타사 CSP입니다.

추가 정보

클라이언트 컴퓨터가 도메인 컨트롤러 인증서가 있는지 확인합니다. 따라서 로컬 컴퓨터에 도메인 컨트롤러 인증서에 대한 CRL CRL 캐시에 다운로드합니다.

오프라인 로그온 프로세스에서 인증서, 캐시된 자격 증명만 해결하지는지 않습니다.

로컬 컴퓨터에 다음 그룹 정책 전파 기다리는 대신 즉시 채울 수 NTAuth 저장소에 강제로 그룹 정책 업데이트를 시작하려면 다음 명령을 실행하십시오.
dsstore.exe - 펄스

사용자가 또한 Windows Server 2003 및 Windows XP에서 스마트 카드 정보를 Certutil.exe를 - scinfo 명령을 사용하여 덤프할 수 있습니다.

속성

기술 자료: 281245 - 마지막 검토: 2009년 5월 7일 목요일 - 수정: 6.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
키워드:?
kbmt kbenv kbinfo kbtool KB281245 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com