Enterprise NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 방법

이 문서에서는 Enterprise NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 데 사용할 수 있는 두 가지 방법을 설명합니다. 타사 CA를 사용하여 스마트 카드 로그온 또는 도메인 컨트롤러 인증서를 발급하는 경우 Enterprise NTAuth 저장소로 타사 CA 인증서를 가져와야 합니다. 관리자는 Enterprise NTAuth 저장소에 CA 인증서를 게시하여 해당 CA가 이러한 종류의 인증서를 발급할 수 있도록 신뢰되었음을 나타냅니다. Windows CA는 자동으로 해당 CA 인증서를 이 저장소에 게시합니다.

NTAuth 저장소는 포리스트의 구성 컨테이너에 있는 Active Directory 디렉터리 서비스 개체입니다. LDAP(Lightweight Directory Access Protocol) 고유 이름은 다음과 유사합니다.

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

NTAuth 저장소에 게시되는 인증서는 cACertificate 다중 값 특성에 기록됩니다. 이 특성에 인증서를 추가하는 데 사용할 수 있는 방법은 두 가지가 있습니다.

방법 1: PKI 상태 도구를 사용하여 인증서 가져오기

PKI 상태 도구(PKIView)는 공개 키 인프라를 구성하는 하나 이상의 Microsoft Windows 인증 기관 상태를 표시하는 MMC 스냅인 구성 요소입니다. 이 도구는 Windows Server 2003 Resource Kit 도구의 일부로 제공됩니다. 이 도구를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en

(http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)

(영문)

PKIView는 엔터프라이즈에 있는 각 CA에서 CA 인증서와 CRL(인증서 해지 목록)에 대한 정보를 수집한 다음 이 인증서와 CRL이 올바로 작동하는지 확인하기 위해 유효성을 검사합니다. 이 인증서와 CRL이 올바로 작동하지 않거나 이 인증서와 CRL에서 오류가 발생하려고 하면 PKIView는 자세한 경고나 몇 가지 오류 정보를 제공합니다.

PKIView는 Active Directory 포리스트에 설치된 Windows Server 2003 인증 기관의 상태를 표시합니다. PKIView를 사용하면 엔터프라이즈 CA와 연결된 하위 및 루트 CA를 포함하여 모든 PKI 구성 요소를 검색할 수 있고 루트 CA 트러스트 및 NTAuth 저장소 같은 중요한 PKI 컨테이너를 관리할 수도 있습니다. 이 컨테이너는 Active Directory 포리스트의 구성 파티션에도 있습니다. 이 문서에서는 앞에서 두 번째로 설명한 기능에 대해 설명합니다. PKIView에 대한 자세한 내용은 Microsoft Windows Server 2003 Resource Kit 도구 설명서를 참조하십시오.

참고 PKIView를 사용하여 Windows 2000 CA와 Windows Server 2003 CA를 둘 다 관리할 수 있습니다. Windows Server 2003 Resource Kit 도구를 설치하려면 컴퓨터에서 Windows XP 이상을 실행해야 합니다.

Enterprise NTAuth 저장소로 CA 인증서를 가져오려면 다음과 같이 하십시오.

CA 인증서를 .cer 파일로 내보냅니다. 다음과 같은 파일 형식이 지원됩니다.
- DER로 인코딩된 이진 X.509(.cer)
- Base 64로 인코딩된 X.509(.cer)
Windows Server 2003 Resource Kit 도구를 설치합니다. 이 도구 패키지에는 Windows XP 이상이 필요합니다.
Microsoft Management Console(Mmc.exe)을 시작하고 다음과 같이 PKI 상태 스냅인을 추가합니다.
1. 콘솔 메뉴에서 스냅인 추가/제거를 누릅니다.
2. 독립 실행형 탭을 누른 다음 추가 단추를 누릅니다.
3. 스냅인 목록에서 Enterprise PKI를 누릅니다.
4. 추가를 누른 다음 닫기를 누릅니다.
5. 확인을 누릅니다.
Enterprise PKI를 마우스 오른쪽 단추로 누른 다음 Manage AD Containers를 누릅니다.
NTAuthCertificates 탭을 누른 다음 추가를 누릅니다.
파일 메뉴에서 열기를 누릅니다.
CA 인증서를 찾아서 누른 다음 확인을 눌러 가져오기를 완료합니다.

방법 2: Certutil.exe를 사용하여 인증서 가져오기

Certutil.exe는 Windows CA를 관리하기 위한 명령줄 유틸리티입니다. Windows Server 2003에서는 Certutil.exe를 사용하여 Active Directory에 인증서를 게시할 수 있습니다. Certutil.exe는 Windows Server 2003과 함께 설치됩니다. 이 도구는 Windows Server 2003 관리 도구 팩의 일부로도 제공됩니다. 이 도구 팩을 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en)

(영문)

Enterprise NTAuth 저장소로 CA 인증서를 가져오려면 다음과 같이 하십시오.

CA 인증서를 .cer 파일로 내보냅니다. 다음과 같은 파일 형식이 지원됩니다.
- DER로 인코딩된 이진 X.509(.cer)
- Base 64로 인코딩된 X.509(.cer)
명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
certutil -dspublish -f filename NTAuthCA

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹
(http://support.microsoft.com/newsgroups/default.aspx)
에 참여하시기 바랍니다.