타사 인증 기관에서 스마트 카드 로그온을 사용하도록 설정하기 위한 지침

  • 아티클

이 문서에서는 타사 인증 기관과 스마트 카드 로그온을 사용하도록 설정하기 위한 몇 가지 지침을 제공합니다.

적용 대상: Windows Server 2012 R2, Windows 10 - 모든 버전
원래 KB 번호: 281245

요약

이 문서의 지침에 따라 Microsoft Windows 2000 및 비 Microsoft CA(인증 기관)에서 스마트 카드 로그온 프로세스를 사용하도록 설정할 수 있습니다. 이 구성에 대한 제한된 지원은 이 문서의 뒷부분에 설명되어 있습니다.

추가 정보

요구 사항

Active Directory에 대한 스마트 카드 인증을 사용하려면 Smartcard 워크스테이션, Active Directory 및 Active Directory 도메인 컨트롤러를 올바르게 구성해야 합니다. Active Directory는 인증 기관을 신뢰하여 해당 CA의 인증서를 기반으로 사용자를 인증해야 합니다. 스마트 카드 워크스테이션과 도메인 컨트롤러는 모두 올바르게 구성된 인증서로 구성해야 합니다.

PKI 구현과 마찬가지로 모든 당사자는 발급 CA 체인이 있는 루트 CA를 신뢰해야 합니다. 도메인 컨트롤러와 스마트 카드 워크스테이션 모두 이 루트를 신뢰합니다.

Active Directory 및 도메인 컨트롤러 구성

  • 필수: Active Directory에 사용자를 Active Directory에 인증하려면 NTAuth 저장소에 타사 발급 CA가 있어야 합니다.
  • 필수: 스마트 카드 사용자를 인증하려면 도메인 컨트롤러 인증서를 사용하여 도메인 컨트롤러를 구성해야 합니다.
  • 선택 사항: 그룹 정책 사용하여 타사 루트 CA를 모든 도메인 멤버의 신뢰할 수 있는 루트 CA 저장소에 배포하도록 Active Directory를 구성할 수 있습니다.

스마트 카드 인증서 및 워크스테이션 요구 사항

  • 필수: 필드의 텍스트 서식을 포함하여 "구성 지침" 섹션에 설명된 모든 스마트 카드 요구 사항을 충족해야 합니다. 스마트 카드 인증이 충족되지 않으면 실패합니다.
  • 필수: 스마트 카드 및 프라이빗 키를 스마트 카드에 설치해야 합니다.

구성 지침

  1. 타사 루트 인증서를 내보내거나 다운로드합니다. 파티 루트 인증서를 가져오는 방법은 공급업체에 따라 다릅니다. 인증서는 Base64로 인코딩된 X.509 형식이어야 합니다.

  2. Active Directory 그룹 정책 개체의 신뢰할 수 있는 루트에 타사 루트 CA를 추가합니다. 타사 CA를 모든 도메인 컴퓨터의 신뢰할 수 있는 루트 저장소에 배포하도록 Windows 2000 도메인에서 그룹 정책 구성하려면 다음을 수행합니다.

    1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
    2. 왼쪽 창에서 편집하려는 정책이 적용되는 도메인을 찾습니다.
    3. 도메인을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    4. 그룹 정책 탭을 클릭합니다.
    5. 기본 도메인 정책 그룹 정책 개체를 클릭한 다음 편집을 클릭합니다. 새 창이 열립니다.
    6. 왼쪽 창에서 다음 항목을 확장합니다.
      • 컴퓨터 구성
      • Windows 설정
      • 보안 설정
      • 공개 키 정책
    7. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 단추로 클릭합니다.
    8. 모든 작업을 선택한 다음 가져오기를 클릭합니다.
    9. 마법사의 지침에 따라 인증서를 가져옵니다.
    10. 확인을 클릭합니다.
    11. 그룹 정책 창을 닫습니다.

  3. ACTIVE Directory의 NTAuth 저장소에 CA를 발급하는 타사 를 추가합니다.

    스마트 카드 로그온 인증서는 NTAuth 저장소에 있는 CA에서 발급되어야 합니다. 기본적으로 Microsoft Enterprise CA는 NTAuth 저장소에 추가됩니다.

    • 스마트 카드 로그온 인증서 또는 도메인 컨트롤러 인증서를 발급한 CA가 NTAuth 저장소에 제대로 게시되지 않으면 스마트 카드 로그온 프로세스가 작동하지 않습니다. 해당 대답은 "자격 증명을 확인할 수 없음"입니다.

    • NTAuth 저장소는 포리스트의 구성 컨테이너에 있습니다. 예를 들어 샘플 위치는 다음과 같습니다. LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • 기본적으로 이 저장소는 Microsoft Enterprise CA를 설치할 때 만들어집니다. Windows 2000 지원 도구에서 ADSIedit.msc를 사용하거나 LDIFDE를 사용하여 개체를 수동으로 만들 수도 있습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

      295663 엔터프라이즈 NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 방법

    • 관련 특성은 cACertificate이며, 이는 ASN으로 인코딩된 인증서의 여러 값 목록인 octet String입니다.

      NTAuth 저장소에 타사 CA를 배치한 후 도메인 기반 그룹 정책 도메인의 모든 컴퓨터에서 다음 위치에 레지스트리 키(인증서 지문)를 배치합니다.

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      워크스테이션(일반적인 그룹 정책 펄스 간격)에서 8시간마다 새로 고쳐집니다.

  4. 도메인 컨트롤러에 도메인 컨트롤러 인증서를 요청하고 설치합니다. 스마트 카드 사용자를 인증하려는 각 도메인 컨트롤러에는 도메인 컨트롤러 인증서가 있어야 합니다.

    Active Directory 포리스트에 Microsoft Enterprise CA를 설치하면 모든 도메인 컨트롤러가 도메인 컨트롤러 인증서에 자동으로 등록됩니다. 타사 CA의 도메인 컨트롤러 인증서 요구 사항에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 확인합니다.

    291010 타사 CA의 도메인 컨트롤러 인증서 요구 사항

    참고

    도메인 컨트롤러 인증서는 SSL(Secure Sockets Layer) 인증, SMTP(Simple Mail Transfer Protocol) 암호화, RPC(원격 프로시저 호출) 서명 및 스마트 카드 로그온 프로세스에 사용됩니다. Microsoft CA가 아닌 CA를 사용하여 도메인 컨트롤러에 인증서를 발급하면 예기치 않은 동작이나 지원되지 않는 결과가 발생할 수 있습니다. 형식이 잘못 지정된 인증서 또는 주체 이름이 없는 인증서로 인해 이러한 기능 또는 기타 기능이 응답하지 않을 수 있습니다.

  5. 타사 CA에서 스마트 카드 인증서를 요청합니다.

    명시된 요구 사항을 충족하는 타사 CA에서 인증서를 등록합니다. 등록 방법은 CA 공급업체에 따라 다릅니다.

    스마트 카드 인증서에는 특정 형식 요구 사항이 있습니다.

    • CDP(CRL 배포 지점) 위치(여기서 CRL은 인증 해지 목록임)를 온라인으로 채우고 사용할 수 있어야 합니다. 예를 들면

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • 키 사용 = 디지털 서명

    • 기본 제약 조건 [제목 형식=끝 엔터티, 경로 길이 제약 조건=없음](선택 사항)

    • 향상된 키 사용 =

      • 클라이언트 인증(1.3.6.1.5.5.7.3.2)
        (클라이언트 인증 OID)는 인증서가 SSL 인증에 사용되는 경우에만 필요합니다.
      • 스마트 카드 로그온(1.3.6.1.4.1.311.20.2.2)

    • 주체 대체 이름 = 기타 이름: 보안 주체 이름= (UPN). 예를 들면
      UPN = user1@name.com
      UPN OtherName OID는 "1.3.6.1.4.1.311.20.2.3"입니다.
      UPN OtherName 값: ASN1로 인코딩된 UTF8 문자열이어야 합니다.

    • 제목 = 고유 사용자 이름입니다. 이 필드는 필수 확장이지만 이 필드의 모집단은 선택 사항입니다.

  6. 미리 정의된 두 가지 유형의 프라이빗 키가 있습니다. 이러한 키는 서명 전용(AT_SIGNATURE)키 교환(AT_KEYEXCHANGE)입니다. 스마트 카드 로그온이 올바르게 작동하려면 스마트 카드 로그온 인증서에 키 교환(AT_KEYEXCHANGE) 프라이빗 키 유형이 있어야 합니다.

  7. 스마트 카드 워크스테이션에 스마트 카드 드라이버 및 소프트웨어를 설치합니다.

    적절한 스마트 카드 판독기 디바이스 및 드라이버 소프트웨어가 스마트 카드 워크스테이션에 설치되어 있는지 확인합니다. 스마트 카드 판독기 공급업체에 따라 다릅니다.

  8. 타사 스마트 카드 인증서를 스마트 카드 워크스테이션에 설치합니다.

    4단계에서 등록 프로세스에서 스마트 카드 사용자의 개인 저장소에 스마트 카드를 아직 넣지 않은 경우 인증서를 사용자의 개인 저장소로 가져와야 합니다. 방법은 다음과 같습니다.

    1. 인증서 스냅인이 포함된 MMC(Microsoft Management Console)를 엽니다.

    2. 콘솔 트리의 개인에서 인증서를 클릭합니다.

    3. 모든 작업 메뉴에서 가져오기를 클릭하여 인증서 가져오기 마법사를 시작합니다.

    4. 가져오는 인증서가 포함된 파일을 클릭합니다.

      참고

      인증서가 포함된 파일이 개인 정보 교환(PKCS #12) 파일인 경우 개인 키를 암호화하는 데 사용한 암호를 입력하고 개인 키를 내보낼 수 있도록 하려면 적절한 검사 상자를 클릭한 다음 강력한 개인 키 보호를 켭니다(이 기능을 사용하려는 경우).

      참고

      강력한 프라이빗 키 보호를 설정하려면 논리 인증서 저장소 보기 모드를 사용해야 합니다.

    5. 인증서 유형에 따라 인증서 저장소에 인증서를 자동으로 배치하는 옵션을 선택합니다.

  9. 타사 스마트 카드 인증서를 스마트 카드에 설치합니다. 이 설치는 CSP(암호화 서비스 공급자) 및 스마트 카드 공급업체에 따라 달라집니다. 지침은 공급업체의 설명서를 참조하세요.

  10. 스마트 카드로 워크스테이션에 로그온합니다.

가능성이 있는 문제

스마트 카드 로그온 중에 표시되는 가장 일반적인 오류 메시지는 다음과 같습니다.

시스템에서 로그온할 수 없습니다. 자격 증명을 확인할 수 없습니다.

이 메시지는 일반적인 오류이며 아래 문제 중 하나 이상의 결과일 수 있습니다.

인증서 및 구성 문제

  • 도메인 컨트롤러에 도메인 컨트롤러 인증서가 없습니다.

  • 스마트 카드 인증서의 SubjAltName 필드 서식이 잘못 지정되었습니다. SubjAltName 필드의 정보가 16진수/ASCII 원시 데이터로 표시되는 경우 텍스트 서식은 ASN1/UTF-8이 아닙니다.

  • 도메인 컨트롤러에는 형식이 잘못되었거나 불완전한 인증서가 있습니다.

  • 다음 각 조건에 대해 유효한 새 도메인 컨트롤러 인증서를 요청해야 합니다. 유효한 도메인 컨트롤러 인증서가 만료된 경우 도메인 컨트롤러 인증서를 갱신할 수 있지만 이 프로세스는 새 도메인 컨트롤러 인증서를 요청하는 경우보다 더 복잡하고 일반적으로 더 어렵습니다.

    • 도메인 컨트롤러 인증서가 만료되었습니다.
    • 도메인 컨트롤러에 신뢰할 수 없는 인증서가 있습니다. NTAuth 저장소에 도메인 컨트롤러 인증서 발급 CA의 CA(인증 기관) 인증서가 없는 경우 NTAuth 저장소에 추가하거나 인증서가 NTAuth 저장소에 있는 발급 CA에서 DC 인증서를 가져와야 합니다.

    도메인 컨트롤러 또는 스마트 카드 워크스테이션이 도메인 컨트롤러의 인증서 체인이 있는 루트 CA를 신뢰하지 않는 경우 해당 루트 CA를 신뢰하도록 해당 컴퓨터를 구성해야 합니다.

  • 스마트 카드에는 신뢰할 수 없는 인증서가 있습니다. NTAuth 저장소에 스마트 카드 인증서 발급 CA의 CA 인증서가 없는 경우 NTAuth 저장소에 추가하거나 인증서가 NTAuth 저장소에 있는 발급 CA에서 스마트 카드 인증서를 가져와야 합니다.

    도메인 컨트롤러 또는 스마트 카드 워크스테이션이 사용자의 스마트 카드 인증서 체인이 있는 루트 CA를 신뢰하지 않는 경우 해당 루트 CA를 신뢰하도록 해당 컴퓨터를 구성해야 합니다.

  • 스마트 카드 인증서는 워크스테이션의 사용자 저장소에 설치되어 있지 않습니다. 스마트 카드에 저장된 인증서는 스마트 카드 로그온하는 사용자의 프로필에 있는 스마트 카드 워크스테이션에 있어야 합니다.

    참고

    워크스테이션의 사용자 프로필에 프라이빗 키를 저장할 필요가 없습니다. 스마트 카드에만 저장하면 됩니다.

  • 올바른 스마트 카드 인증서 또는 프라이빗 키가 스마트 카드에 설치되어 있지 않습니다. 유효한 스마트 카드 인증서는 프라이빗 키가 있는 스마트 카드에 설치해야 하며 인증서는 스마트 카드 워크스테이션의 스마트 카드 사용자 프로필에 저장된 인증서와 일치해야 합니다.

  • 스마트 카드 인증서는 스마트 카드 판독기에서 검색할 수 없습니다. 스마트 카드 판독기 하드웨어 또는 스마트 카드 판독기 드라이버 소프트웨어에 문제가 있을 수 있습니다. 스마트 카드 판독기 공급업체의 소프트웨어를 사용하여 스마트 카드의 인증서 및 프라이빗 키를 볼 수 있는지 확인합니다.

  • 스마트 카드 인증서가 만료되었습니다.

  • 스마트 카드 인증서의 SubjAltName 확장에는 UPN(사용자 계정 이름)을 사용할 수 없습니다.

  • 스마트 카드 인증서의 SubjAltName 필드의 UPN 형식이 잘못되었습니다. SubjAltName의 정보가 16진수/ASCII 원시 데이터로 표시되는 경우 텍스트 서식은 ASN1/UTF-8이 아닙니다.

  • 스마트 카드에는 형식이 잘못되었거나 불완전한 인증서가 있습니다. 이러한 각 조건에 대해 유효한 새 스마트 카드 인증서를 요청하고 스마트 카드 및 스마트 카드 워크스테이션의 사용자 프로필에 설치해야 합니다. 스마트 카드 인증서는 SubjAltName 필드에 올바르게 서식이 지정된 UPN 필드를 포함하는 이 문서의 앞부분에서 설명한 요구 사항을 충족해야 합니다.

    유효한 스마트 카드 인증서가 만료된 경우 새 스마트 카드 인증서를 요청하는 것보다 더 복잡하고 어려운 스마트 카드 인증서를 갱신할 수도 있습니다.

  • 사용자에게 Active Directory 사용자 계정에 정의된 UPN이 없습니다. Active Directory의 사용자 계정에는 스마트 카드 사용자의 Active Directory 사용자 계정의 userPrincipalName 속성에 유효한 UPN이 있어야 합니다.

  • 인증서의 UPN이 사용자의 Active Directory 사용자 계정에 정의된 UPN과 일치하지 않습니다. Smartcard 사용자의 Active Directory 사용자 계정에서 UPN을 수정하거나 SubjAltName 필드의 UPN 값이 스마트 카드 사용자의 Active Directory 사용자 계정의 UPN과 일치하게 스마트 카드 인증서를 다시 발급합니다. 스마트 카드 UPN은 타사 CA에 대한 userPrincipalName 사용자 계정 특성과 일치하는 것이 좋습니다. 그러나 인증서의 UPN이 계정의 "암시적 UPN"(형식 samAccountName@domain_FQDN)인 경우 UPN은 userPrincipalName 속성을 명시적으로 일치시킬 필요가 없습니다.

해지 검사 문제

도메인 컨트롤러가 스마트 카드 로그온 인증서의 유효성을 검사할 때 해지 검사가 실패하면 도메인 컨트롤러는 로그온을 거부합니다. 도메인 컨트롤러는 앞에서 언급한 오류 메시지 또는 다음 오류 메시지를 반환할 수 있습니다.

시스템에서 로그온할 수 없습니다. 인증에 사용되는 스마트 카드 인증서를 신뢰할 수 없습니다.

참고

CRL(인증서 해지 목록), 잘못된 CRL, 해지된 인증서 및 "알 수 없음"의 해지 상태 모두 해지 실패로 간주됩니다.

해지 검사 클라이언트와 도메인 컨트롤러 모두에서 성공해야 합니다. 다음이 true인지 확인합니다.

  • 해지 확인이 꺼져 있지 않습니다.

    기본 제공 해지 공급자에 대한 해지 검사 해제할 수 없습니다. 사용자 지정 설치 가능한 해지 공급자가 설치된 경우 켜져 있어야 합니다.

  • 인증서 체인의 루트 CA를 제외한 모든 CA 인증서에는 인증서에 유효한 CDP 확장이 포함됩니다.

  • CRL에는 다음 업데이트 필드가 있으며 CRL은 최신 상태입니다. CRL이 CDP에서 온라인이고 인터넷 Explorer 다운로드하여 유효한지 검사 수 있습니다. 스마트 카드 워크스테이션과 도메인 컨트롤러 모두에서 인터넷 Explorer HTTP(HyperText 전송 프로토콜) 또는 FTP(파일 전송 프로토콜) CDP에서 CRL을 다운로드하고 볼 수 있어야 합니다.

엔터프라이즈의 인증서에서 사용하는 각 고유한 HTTP 및 FTP CDP가 온라인이고 사용 가능한지 확인합니다.

CRL이 온라인이고 FTP 또는 HTTP CDP에서 사용할 수 있는지 확인하려면 다음을 수행합니다.

  1. 문제의 인증서를 열려면 .cer 파일을 두 번 클릭하거나 저장소에서 인증서를 두 번 클릭합니다.
  2. 세부 정보 탭을 클릭하고 CRL 배포 지점 필드를 선택합니다.
  3. 아래쪽 창에서 전체 FTP 또는 HTTP URL(Uniform Resource Locator)을 강조 표시하고 복사합니다.
  4. 인터넷 Explorer 열고 URL을 주소 표시줄에 붙여넣습니다.
  5. 프롬프트가 표시되면 CRL 열기 옵션을 선택합니다.
  6. CRL에 다음 업데이트 필드가 있고 다음 업데이트 필드의 시간이 지났는지 확인합니다.

LDAP(Lightweight Directory Access Protocol) CDP가 유효한지 다운로드하거나 확인하려면 스크립트 또는 애플리케이션을 작성하여 CRL을 다운로드해야 합니다. CRL을 다운로드하여 연 후 CRL에 다음 업데이트 필드가 있고 다음 업데이트 필드의 시간이 지났는지 확인합니다.

지원

Microsoft 제품 지원 서비스는 다음 항목 중 하나 이상이 문제에 기여한다고 판단되는 경우 타사 CA 스마트 카드 로그온 프로세스를 지원하지 않습니다.

  • 잘못된 인증서 형식입니다.
  • 인증서 상태 또는 해지 상태 타사 CA에서 사용할 수 없습니다.
  • 타사 CA의 인증서 등록 문제
  • 타사 CA는 Active Directory에 게시할 수 없습니다.
  • 타사 CSP.

추가 정보

클라이언트 컴퓨터는 도메인 컨트롤러의 인증서를 확인합니다. 따라서 로컬 컴퓨터는 도메인 컨트롤러 인증서에 대한 CRL을 CRL 캐시에 다운로드합니다.

오프라인 로그온 프로세스에는 인증서가 포함되지 않고 캐시된 자격 증명만 포함됩니다.

다음 그룹 정책 전파를 기다리는 대신 로컬 컴퓨터에 NTAuth 저장소를 즉시 채우도록 하려면 다음 명령을 실행하여 그룹 정책 업데이트를 시작합니다.

  dsstore.exe -pulse

Certutil.exe -scinfo 명령을 사용하여 Windows Server 2003 및 Windows XP에서 스마트 카드 정보를 덤프할 수도 있습니다.