인증 기관을 다른 서버로 이동하는 방법

  • 아티클

이 문서에서는 CA(인증 기관)를 다른 서버로 이동하는 방법을 설명합니다.

적용 대상: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
원본 KB 번호: 298138

참고

이 문서는 Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022에 적용됩니다. Windows 2000에 대한 지원은 2010년 7월 13일에 종료되었습니다. Windows 2000 지원 종료 솔루션 센터는 Windows 2000에서 마이그레이션 전략을 계획하기 위한 시작점입니다. Windows 2008 및 2008 R2에 대한 지원은 2020년 1월 14일에 종료되었습니다. 자세한 내용은 Microsoft 지원 수명 주기 정책을 참조하세요.

요약

CA(인증 기관)는 organization PKI(공개 키 인프라)의 핵심 구성 요소입니다. CA는 수년 또는 수십 년 동안 존재하도록 구성되며, 이 기간 동안 CA를 호스팅하는 하드웨어가 업그레이드될 수 있습니다.

참고

Windows 2000 Server를 실행하는 서버에서 Windows Server 2003을 실행하는 서버로 CA를 이동하려면 먼저 Windows 2000 Server를 실행하는 CA 서버를 Windows Server 2003으로 업그레이드해야 합니다. 그런 다음 이 문서에 설명된 단계를 따를 수 있습니다.

대상 서버의 %Systemroot%가 시스템 상태 백업이 수행되는 서버의 %Systemroot% 에 일치하는지 확인합니다.

CA 서버 구성 요소가 백업 위치와 일치하게 설치할 때 CA 파일의 경로를 변경해야 합니다. 예를 들어 D:\Winnt\System32\Certlog 폴더에서 백업하는 경우 백업을 D:\Winnt\System32\Certlog 폴더로 복원해야 합니다. 백업을 C:\Winnt\System32\Certlog 폴더로 복원할 수 없습니다. 백업을 복원한 후 CA 데이터베이스 파일을 기본 위치로 이동할 수 있습니다.

백업을 복원하려고 하면 백업의 %Systemroot% 와 대상 서버가 일치하지 않으면 다음 오류 메시지가 표시될 수 있습니다.

전체 이미지에서 복원을 수행하기 전에 증분 이미지 복원을 수행할 수 없습니다. 디렉터리 이름이 잘못되었습니다. 0x8007010b(WIN32/HTTP:267)

인증서 서비스를 32비트 운영 체제에서 64비트 운영 체제로 이동하거나 그 반대로 이동하면 다음 오류 메시지 중 하나로 실패할 수 있습니다.

예상 데이터가 이 디렉터리에 없습니다.

전체 이미지 0x8007010b 복원을 수행하기 전에 증분 이미지 복원을 수행할 수 없습니다(WIN32/HTTP:267).

데이터베이스 형식이 32비트 버전에서 64비트 버전으로 변경되면 비호환성이 발생하고 복원이 차단됩니다. 이는 Windows 2000에서 Windows Server 2003 CA로의 이동과 유사합니다. 그러나 32비트 버전의 Windows Server 2003에서 64비트 버전으로 업그레이드 경로는 없습니다. 따라서 기존 32비트 데이터베이스를 Windows Server 2003 기반 컴퓨터의 64비트 데이터베이스로 이동할 수 없습니다. 그러나 Windows Server 2003 CA(Windows Server 2003 x86에서 실행 중)에서 Windows Server 2008 R2 CA(Windows Server 2008 R2 x64에서 실행)로 업그레이드할 수 있습니다. 이 업그레이드가 지원됩니다.

x64 기반 버전의 Windows Server 2003 R2 CD2는 EM64T 아키텍처 또는 AMD64 아키텍처를 기반으로 하는 64비트 버전의 Windows Server 2003만 업데이트합니다.

인증 기관 키 및 데이터베이스 백업 및 복원

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

  1. 인증 기관 스냅인의 인증서 템플릿 폴더에 구성된 인증서 템플릿을 확인합니다. 인증서 템플릿 설정은 Active Directory에 저장됩니다. 자동으로 백업되지 않습니다. 동일한 템플릿 집합을 유지하려면 새 CA에서 인증서 템플릿 설정을 수동으로 구성해야 합니다.

    참고

    인증서 템플릿 폴더는 엔터프라이즈 CA에만 존재합니다. 독립 실행형 CA는 인증서 템플릿을 사용하지 않습니다. 따라서 이 단계는 독립 실행형 CA에 적용되지 않습니다.

  2. 인증 기관 스냅인을 사용하여 CA 데이터베이스 및 프라이빗 키를 백업합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 백업을 클릭하여 인증 기관 백업 마법사를 시작합니다.
    2. 다음을 클릭한 다음 프라이빗 키 및 CA 인증서를 클릭합니다.
    3. 인증서 데이터베이스 및 인증서 데이터베이스 로그를 클릭합니다.
    4. 빈 폴더를 백업 위치로 사용합니다. 새 서버에서 백업 폴더에 액세스할 수 있는지 확인합니다.
    5. 다음을 클릭합니다. 지정된 백업 폴더가 없으면 인증 기관 백업 마법사에서 만듭니다.
    6. CA 프라이빗 키 백업 파일에 대한 암호를 입력한 다음 확인합니다.
    7. 다음을 클릭한 다음 백업 설정을 확인합니다. 다음 설정을 표시해야 합니다.
      • 프라이빗 키 및 CA 인증서
      • 발급된 로그 및 보류 중인 요청
    8. 마침을 클릭합니다.

  3. 이 CA에 대한 레지스트리 설정을 저장합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
    2. 다음 레지스트리 하위 키를 찾아서 우측 클릭합니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 내보내기를 클릭합니다.
    4. 2d단계에서 정의한 CA 백업 폴더에 레지스트리 파일을 저장합니다.

    참고

    기본적으로 AD CS(Active Directory Certificate Services)는 경로에 CA 컴퓨터 호스트 이름을 포함하는 CRL(인증서 해지 목록) 배포 지점 확장으로 구성됩니다. 즉, 마이그레이션 전에 CA에서 발급한 인증서에는 이전 호스트 이름을 가진 인증서 유효성 검사 경로가 포함될 수 있습니다. 이러한 경로는 마이그레이션 후에 더 이상 유효하지 않을 수 있습니다. 해지 검사 오류를 방지하려면 이전(마이그레이션 전) 경로 및 새 경로에 CRL을 게시하도록 새 CA를 구성해야 합니다. 이전 CA를 영구적으로 삭제해야 하는 경우 새 CA에 두 번째 컴퓨터 이름을 추가할 수 있습니다. 이렇게 하려면 Active Directory에서 이전 컴퓨터 이름을 사용할 수 있어야 합니다. 이 시점에서 CRL 배포 지점을 새 CA에 추가할 수 있습니다.

  4. 이전 CA에서 CRL 배포 지점을 확인합니다. 이러한 설정은 새 CA에서 구성해야 합니다.

    1. 이전 CA에서 cmd.exe 엽니다.
    2. 를 입력합니다 pkiview.
    3. 구성을 내보냅니다.

  5. 이전 서버에서 인증서 서비스를 제거합니다.

    참고

    이 단계에서는 Active Directory에서 개체를 제거합니다. 이 단계를 순서대로 수행하지 마세요. 대상 CA를 설치한 후 원본 CA 제거가 수행되면(이 섹션의 7단계) 대상 CA를 사용할 수 없게 됩니다.

  6. 이전 서버의 이름을 바꾸거나 네트워크에서 영구적으로 연결을 끊습니다.

  7. 새 서버에 인증서 서비스를 설치합니다. 이를 위해 다음 작업을 수행하십시오.

    참고

    새 서버의 컴퓨터 이름은 이전 서버와 동일해야 합니다.

    1. 제어판에서 프로그램 추가/제거를 두 번 클릭합니다.
    2. Windows 구성 요소 추가/제거를 클릭하고 Windows 구성 요소 마법사에서 인증서 서비스를 클릭한 다음 다음을 클릭합니다.
    3. CA 형식 대화 상자에서 적절한 CA 유형을 클릭합니다.
    4. 사용자 지정 설정 사용을 클릭하여 키 쌍 및 CA 인증서를 생성하고 다음을 클릭합니다.
    5. 가져오기를 클릭하고 의 경로를 입력합니다. 백업 폴더에 P12 파일을 입력하고 2단계에서 선택한 암호를 입력한 다음 확인을 클릭합니다.
    6. 퍼블릭 및 프라이빗 키 쌍 대화 상자에서 기존 키 사용이 선택되어 있는지 확인합니다.
    7. 다음을 두 번 클릭합니다.
    8. 인증서 데이터베이스 설정 기본 설정을 적용하고 다음을 클릭한 다음 마침 을 클릭하여 인증서 서비스 설치를 완료합니다.

    중요

    새 서버에 다른 컴퓨터 이름이 있는 경우 다음 단계를 수행합니다.

    1. 제어판에서 프로그램 추가/제거를 두 번 클릭합니다.
    2. Windows 구성 요소 추가/제거를 클릭하고 Windows 구성 요소 마법사에서 인증서 서비스를 클릭한 다음 다음을 클릭합니다.
    3. CA 형식 대화 상자에서 적절한 CA 유형을 클릭합니다.
    4. 사용자 지정 설정 사용을 클릭하여 키 쌍 및 CA 인증서를 생성하고 다음을 클릭합니다.
    5. 가져오기를 클릭하고 의 경로를 입력합니다. 백업 폴더에 P12 파일을 입력하고 2단계에서 선택한 암호를 입력한 다음 확인을 클릭합니다.
    6. 퍼블릭 및 프라이빗 키 쌍 대화 상자에서 기존 키 사용이 선택되어 있는지 확인합니다.
    7. 다음을 두 번 클릭합니다.
    8. 인증서 데이터베이스 설정 기본 설정을 적용하고 다음을 클릭한 다음 마침 을 클릭하여 인증서 서비스 설치를 완료합니다.
    9. 다음과 같이 3단계에서 이전에 내보낸 레지스트리 키를 수정합니다.
      1. 내보낸 키를 마우스 오른쪽 단추로 클릭합니다.
      2. 편집.
      3. CAServerName 값을 새 서버 이름으로 바꿉니다.
      4. 저장하고 닫습니다.

  8. 인증서 서비스 서비스를 중지합니다.

  9. 3단계에서 저장한 레지스트리 파일을 찾은 다음 두 번 클릭하여 레지스트리 설정을 가져옵니다. 이전 CA의 레지스트리 내보내기에서 표시되는 경로가 새 경로와 다른 경우 그에 따라 레지스트리 내보내기를 조정해야 합니다. 기본적으로 새 경로는 Windows Server 2003의 C:\Windows 입니다.

  10. 인증 기관 스냅인을 사용하여 CA 데이터베이스를 복원합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 복원을 클릭합니다.

      인증 기관 복원 마법사가 시작됩니다.

    2. 다음을 클릭한 다음 프라이빗 키 및 CA 인증서를 클릭합니다.

    3. 인증서 데이터베이스 및 인증서 데이터베이스 로그를 클릭합니다.

    4. 백업 폴더 위치를 입력하고 다음을 클릭합니다.

    5. 백업 설정을 확인합니다. 발급된 로그보류 중인 요청 설정이 표시되어야 합니다.

    6. 마침을 클릭한 다음 예를 클릭하여 CA 데이터베이스가 복원될 때 인증서 서비스를 다시 시작합니다.

    CA 백업 폴더가 올바른 폴더 구조 형식이 아닌 경우 복원 CA 프로세스 중에 다음 오류가 발생할 수 있습니다.

    ---------------------------
    Microsoft Certificate Services
    ---------------------------

    예상 데이터가 이 디렉터리에 없습니다.
    다른 디렉터리를 선택하세요. 디렉터리 이름이 잘못되었습니다. 0x8007010b(WIN32/HTTP: 267)

    올바른 폴더 구조는 다음과 같습니다.

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    여기서 C:\Ca_Backup 2단계의 백업 CA 단계에서 선택한 폴더입니다.

  11. 인증 기관 스냅인에서 인증서 템플릿을 수동으로 추가하거나 제거하여 1단계에서 적어 둔 인증서 템플릿 설정을 복제합니다.

참고

새 템플릿 또는 사용자 지정 템플릿을 게시하는 데 문제가 발생하는 경우 아래 단계를 수행합니다.

  1. CA 역할을 마이그레이션한 포리스트 내의 도메인 컨트롤러 에서 ADSI 편집을 시작합니다.
  2. ADSI 편집 -> 연결 대상을 마우스 오른쪽 단추로 클릭합니다.>잘 알려진 명명 컨텍스트 선택 에서 구성 -> 확인을 선택합니다.
  3. CN=구성으로 이동 | CN=Services | CN=공개 키 서비스 | CN=Enrollment Services.
  4. 등록하려는 오른쪽 창에서 CA를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. flags 특성을 찾습니다. 가 10으로 설정되어 있는지 확인합니다.
  5. 그렇지 않은 경우 10 으로 설정하고 Active Directory 복제를 기다리거나 수동으로 강제 적용합니다.
  6. ADSI 편집을 닫고 CA 서버에서 새 템플릿을 게시할 수 있는지 확인합니다.

Windows 2000 Server에서 인증 기관 키 및 데이터베이스 백업 및 복원

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

  1. 인증 기관 스냅인의 인증서 템플릿 폴더에 구성된 인증서 템플릿을 확인합니다. 인증서 템플릿 설정은 Active Directory에 저장됩니다. 자동으로 백업되지 않습니다. 동일한 템플릿 집합을 유지하려면 새 CA에서 인증서 템플릿 설정을 수동으로 구성해야 합니다.

    참고

    인증서 템플릿 폴더는 엔터프라이즈 CA에만 존재합니다. 독립 실행형 CA는 인증서 템플릿을 사용하지 않습니다. 따라서 이 단계는 독립 실행형 CA에 적용되지 않습니다.

  2. 인증 기관 스냅인을 사용하여 CA 데이터베이스 및 프라이빗 키를 백업합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 백업을 클릭하여 인증 기관 백업 마법사를 시작합니다.
    2. 다음을 클릭한 다음 프라이빗 키 및 CA 인증서를 클릭합니다.
    3. 발급된 인증서 로그 및 보류 중인 인증서 요청 큐를 클릭합니다.
    4. 빈 폴더를 백업 위치로 사용합니다. 새 서버에서 백업 폴더에 액세스할 수 있는지 확인합니다.
    5. 다음을 클릭합니다. 지정된 백업 폴더가 없으면 인증 기관 백업 마법사에서 만듭니다.
    6. CA 프라이빗 키 백업 파일에 대한 암호를 입력한 다음 확인합니다.
    7. 다음을 두 번 클릭한 다음 백업 설정을 확인합니다. 다음 설정을 표시해야 합니다.
      • 프라이빗 키 및 CA 인증서
      • 발급된 로그 및 보류 중인 요청
    8. 마침을 클릭합니다.

  3. 이 CA에 대한 레지스트리 설정을 저장합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
    2. 다음 레지스트리 하위 키를 찾아 마우스 오른쪽 단추로 클릭합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. 구성을 클릭한 다음 레지스트리 메뉴에서 레지스트리 파일 내보내기를 클릭합니다.
    4. 2d단계에서 정의한 CA 백업 폴더에 레지스트리 파일을 저장합니다.

  4. 이전 CA에서 CRL 배포 지점을 확인합니다. 이러한 설정은 새 CA에서 구성해야 합니다.

    1. 이전 CA에서 cmd.exe 엽니다.
    2. 를 입력합니다 pkiview.
    3. 구성을 내보냅니다.

  5. 이전 서버에서 인증서 서비스를 제거합니다.

    참고

    이 단계에서는 Active Directory에서 개체를 제거합니다. 이 단계를 순서대로 수행하지 마세요. 대상 CA를 설치한 후 원본 CA 제거가 수행되면(이 섹션의 7단계) 대상 CA를 사용할 수 없게 됩니다.

  6. 이전 서버의 이름을 바꾸거나 네트워크에서 영구적으로 연결을 끊습니다.

  7. 새 서버에 인증서 서비스를 설치합니다. 이를 위해 다음 작업을 수행하십시오.

    참고

    새 서버의 컴퓨터 이름은 이전 서버와 동일해야 합니다.

    1. 제어판에서 프로그램 추가/제거를 두 번 클릭합니다.
    2. Windows 구성 요소 추가/제거를 클릭하고 Windows 구성 요소 마법사에서 인증서 서비스를 클릭한 다음 다음을 클릭합니다.
    3. 인증 기관 유형 대화 상자에서 적절한 CA 유형을 클릭합니다.
    4. 고급 옵션을 클릭한 다음 다음을 클릭합니다.
    5. 퍼블릭 및 프라이빗 키 쌍 대화 상자에서 기존 키 사용을 클릭한 다음 가져오기를 클릭합니다.
    6. 의 경로를 입력합니다. 백업 폴더에 P12 파일을 입력하고 2단계에서 선택한 암호를 입력한 다음 확인을 클릭합니다.
    7. 다음을 클릭하고, 적절한 경우 CA 설명을 입력한 다음, 다음을 클릭합니다.
    8. 데이터 스토리지 위치 기본 설정을 적용하고 다음을 클릭한 다음 마침 을 클릭하여 인증서 서비스 설치를 완료합니다.

  8. 인증서 서비스 서비스를 중지합니다.

  9. 3단계에서 저장한 레지스트리 파일을 찾은 다음 두 번 클릭하여 레지스트리 설정을 가져옵니다.

  10. 인증 기관 스냅인을 사용하여 CA 데이터베이스를 복원합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 복원을 클릭합니다.

      인증 기관 복원 마법사가 시작됩니다.

    2. 다음을 클릭한 다음 발급된 인증서 로그 및 보류 중인 인증서 요청 큐를 클릭합니다.

    3. 백업 폴더 위치를 입력하고 다음을 클릭합니다.

    4. 백업 설정을 확인합니다. 다음 설정을 표시해야 합니다.

      • 발급된 로그
      • 보류 중인 요청

    5. 마침을 클릭한 다음 예를 클릭하여 CA 데이터베이스가 복원될 때 인증서 서비스를 다시 시작합니다.

  11. 인증 기관 스냅인에서 인증서 템플릿을 수동으로 추가하거나 제거하여 1단계에서 적어 둔 인증서 템플릿 설정을 복제합니다.

추가 정보

Windows Server 2003 및 Windows Server 2008의 업그레이드 및 마이그레이션 시나리오에 대한 자세한 내용은 "Active Directory 인증서 서비스 업그레이드 및 마이그레이션 가이드" 백서를 참조하세요. 백서를 보려면 Active Directory 인증서 서비스 업그레이드 및 마이그레이션 가이드를 참조하세요.