엔터프라이즈 NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 방법

타사 CA의 인증서를 Enterprise NTAuth 저장소로 가져오는 데 사용할 수 있는 두 가지 방법이 있습니다. 타사 CA를 사용하여 스마트 카드 로그온 또는 도메인 컨트롤러 인증서를 발급하는 경우 이 프로세스가 필요합니다. 엔터프라이즈 NTAuth 저장소에 CA 인증서를 게시하면 관리자는 CA가 이러한 유형의 인증서를 발급하도록 신뢰할 수 있음을 나타냅니다. Windows CA는 해당 CA 인증서를 이 저장소에 자동으로 게시합니다.

적용 대상: Windows Server 2016, Windows Server 2012 R2
원래 KB 번호: 295663

추가 정보

NTAuth 저장소는 포리스트의 구성 컨테이너에 있는 Active Directory 디렉터리 서비스 개체입니다. LDAP(Lightweight Directory Access Protocol) 고유 이름은 다음 예제와 유사합니다.

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

NTAuth 저장소에 게시되는 인증서는 cACertificate 다중 값 특성에 기록됩니다. 이 특성에 인증서를 추가하는 두 가지 지원되는 방법이 있습니다.

방법 1 - PKI 상태 도구를 사용하여 인증서 가져오기

PKIView(PKI Health Tool)는 MMC 스냅인 구성 요소입니다. PKI를 구성하는 하나 이상의 Microsoft Windows CA의 상태 표시합니다. Windows Server 2003 리소스 키트 도구의 일부로 사용할 수 있습니다.

PKIView는 엔터프라이즈의 각 CA에서 CA 인증서 및 CRL(인증서 해지 목록)에 대한 정보를 수집합니다. 그런 다음 인증서 및 CRL의 유효성을 검사하여 올바르게 작동하는지 확인합니다. 제대로 작동하지 않거나 실패하려는 경우 PKIView는 자세한 경고 또는 일부 오류 정보를 제공합니다.

PKIView는 Active Directory 포리스트에 설치된 Windows Server 2003 CA의 상태 표시합니다. PKIView를 사용하여 엔터프라이즈 CA와 연결된 하위 및 루트 CA를 포함한 모든 PKI 구성 요소를 검색할 수 있습니다. 또한 이 도구는 Active Directory 포리스트의 구성 파티션에도 포함된 루트 CA 트러스트 및 NTAuth 저장소와 같은 중요한 PKI 컨테이너를 관리할 수 있습니다. 이 문서에서는 이 후자의 기능에 대해 설명합니다. PKIView에 대한 자세한 내용은 Microsoft Windows Server 2003 Resource Kit Tools 설명서를 참조하세요.

CA 인증서를 Enterprise NTAuth 저장소로 가져오려면 다음 단계를 수행합니다.

1. CA 인증서를 .cer 파일로 내보냅니다. 지원되는 파일 형식은 다음과 같습니다.

   • DER 인코딩된 이진 X.509(.cer)
   • Base-64로 인코딩된 X.509(.cer)

2. Windows Server 2003 리소스 키트 도구를 설치합니다. 도구 패키지에는 Windows XP 이상이 필요합니다.

3. Microsoft 관리 콘솔(Mmc.exe)을 시작한 다음, PKI Health 스냅인을 추가합니다.

   1. 콘솔 메뉴에서 스냅인 추가/제거를 선택합니다.
   2. 독립 실행형 탭을 선택한 다음, 추가 단추를 선택합니다.
   3. 스냅인 목록에서 Enterprise PKI를 선택합니다.
   4. 추가를 선택한 다음, 닫기를 선택합니다.
   5. 확인을 선택합니다.

4. Enterprise PKI를 마우스 오른쪽 단추로 클릭한 다음, AD 컨테이너 관리를 선택합니다.

5. NTAuthCertificates 탭을 선택한 다음, 추가를 선택합니다.

6. 파일 메뉴에서 열기를 선택합니다.

7. CA 인증서를 찾아 선택한 다음 확인을 선택하여 가져오기를 완료합니다.

방법 2 - Certutil.exe 사용하여 인증서 가져오기

Certutil.exe Windows CA를 관리하기 위한 명령줄 유틸리티입니다. Windows Server 2003에서는 Certutil.exe 사용하여 Active Directory에 인증서를 게시할 수 있습니다. Certutil.exe Windows Server 2003과 함께 설치됩니다. Microsoft Windows Server 2003 관리 도구 팩의 일부로도 사용할 수 있습니다.

CA 인증서를 Enterprise NTAuth 저장소로 가져오려면 다음 단계를 수행합니다.

1. CA 인증서를 .cer 파일로 내보냅니다. 지원되는 파일 형식은 다음과 같습니다.

   • DER 인코딩된 이진 X.509(.cer)
   • Base-64로 인코딩된 X.509(.cer)

2. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   certutil -dspublish -f filename NTAuthCA
   

NTAuth 저장소의 콘텐츠는 다음 레지스트리 위치에 캐시됩니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

이 레지스트리 키는 Active Directory 구성 컨테이너의 NTAuth 저장소에 게시된 인증서를 반영하도록 자동으로 업데이트되어야 합니다. 이 동작은 그룹 정책 설정이 업데이트되고 자동 등록을 담당하는 클라이언트 쪽 확장이 실행되는 경우에 발생합니다. Active Directory 복제 대기 시간과 같은 특정 시나리오에서 또는 인증서를 자동으로 등록하지 않음 정책 설정을 사용하도록 설정하면 레지스트리가 업데이트되지 않습니다. 이러한 시나리오에서 다음 명령을 수동으로 실행하여 레지스트리 위치에 인증서를 삽입합니다.

certutil -enterprise -addstore NTAuth CA_CertFilename.cer