보안 LDAP 인증서에 주체 대체 이름 추가

  • 아티클

이 문서에서는 안전한 LDAP(Lightweight Directory Access Protocol) 인증서에 SAN(주체 대체 이름)을 추가하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 931351

요약

LDAP 인증서는 Windows Server 2003 기반 컴퓨터에 구성된 CA(인증 기관)에 제출됩니다. SAN을 사용하면 컴퓨터 이름 이외의 DNS(Domain Name System) 이름을 사용하여 도메인 컨트롤러에 연결할 수 있습니다. 이 문서에는 엔터프라이즈 CA, 독립 실행형 CA 또는 타사 CA에 제출되는 인증 요청에 SAN 특성을 추가하는 방법에 대한 정보가 포함되어 있습니다.

이 문서에서는 다음 작업을 수행하는 방법도 설명합니다.

  • 인증서 요청에서 SAN 특성을 수락하도록 CA를 구성합니다.
  • 인증서 요청을 만들고 엔터프라이즈 CA에 제출합니다.
  • 인증서 요청을 만들고 독립 실행형 CA에 제출합니다.
  • Certreq.exe 도구를 사용하여 인증서 요청을 만듭니다.
  • 인증서 요청을 만들고 타사 CA에 제출합니다.

인증서 요청 만들기 및 제출

엔터프라이즈 CA에 인증서 요청을 제출할 때 Active Directory 디렉터리 서비스의 정보를 사용하는 대신 요청에 SAN을 사용하도록 인증서 템플릿을 구성해야 합니다. 버전 1 웹 서버 템플릿을 사용하여 SSL(Secure Sockets Layer)을 통해 LDAP를 지원하는 인증서를 요청할 수 있습니다. 버전 2 템플릿은 인증서 요청 또는 Active Directory에서 SAN을 검색하도록 구성할 수 있습니다. 버전 2 템플릿을 기반으로 하는 인증서를 발급하려면 엔터프라이즈 CA가 Windows Server 2003 Enterprise Edition 실행하는 컴퓨터에서 실행되고 있어야 합니다.

독립 실행형 CA에 요청을 제출하면 인증서 템플릿이 사용되지 않습니다. 따라서 SAN은 항상 인증서 요청에 포함되어야 합니다. SAN 특성은 Certreq.exe 프로그램을 사용하여 만든 요청에 추가할 수 있습니다. 또는 웹 등록 페이지를 사용하여 제출된 요청에 SAN 특성을 포함할 수 있습니다.

웹 등록 페이지를 사용하여 엔터프라이즈 CA에 인증서 요청 제출

엔터프라이즈 CA에 SAN이 포함된 인증서 요청을 제출하려면 다음 단계를 수행합니다.

  1. Internet Explorer를 엽니다.

  2. 인터넷 Explorer 에 연결합니다http://<servername>/certsrv.

    참고

    자리 표시자 <서버 이름은> Windows Server 2003을 실행하고 액세스하려는 CA가 있는 웹 서버의 이름을 나타냅니다.

  3. 인증서 요청을 클릭합니다.

  4. 고급 인증서 요청을 클릭합니다.

  5. 이 CA에 요청을 만들어 제출합니다를 클릭합니다.

  6. 인증서 템플릿 목록에서 웹 서버를 클릭합니다.

    참고

    웹 서버 인증서를 발급하도록 CA를 구성해야 합니다. CA가 웹 서버 인증서를 발급하도록 아직 구성되지 않은 경우 인증 기관 스냅인의 인증서 템플릿 폴더에 웹 서버 템플릿을 추가해야 할 수 있습니다.

  7. 필요에 따라 식별 정보를 제공합니다.

  8. 이름 상자에 도메인 컨트롤러의 정규화된 도메인 이름을 입력합니다.

  9. 키 옵션에서 다음 옵션을 설정합니다.

    • 새 키 집합 만들기
    • CSP: Microsoft RSA SChannel 암호화 공급자
    • 주요 사용법: Exchange
    • 키 크기: 1024 - 16384
    • 자동 키 컨테이너 이름
    • 로컬 컴퓨터 인증서 저장소에 인증서 저장

  10. 고급 옵션에서 요청 형식을 CMC로 설정합니다.

  11. 특성 상자에 원하는 SAN 특성을 입력합니다. SAN 특성은 다음 형식을 사용합니다.

    san:dns=dns.name[&dns=dns.name]

    여러 DNS 이름은 앰퍼샌드(&)로 구분됩니다. 예를 들어 도메인 컨트롤러의 이름이 이 corpdc1.fabrikam.com 고 별칭이 ldap.fabrikam.com인 경우 두 이름 모두 SAN 특성에 포함되어야 합니다. 결과 특성 문자열은 다음과 같이 표시됩니다.

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 전송을 클릭합니다.

  13. 인증서 발급 웹 페이지가 표시되면 이 인증서 설치를 클릭합니다.

웹 등록 페이지를 사용하여 독립 실행형 CA에 인증서 요청 제출

SAN을 포함하는 인증서 요청을 독립 실행형 CA에 제출하려면 다음 단계를 수행합니다.

  1. Internet Explorer를 엽니다.

  2. 인터넷 Explorer 에 연결합니다http://<servername>/certsrv.

    참고

    자리 표시자 <서버 이름은> Windows Server 2012 R2를 실행하고 액세스하려는 CA가 있는 웹 서버의 이름을 나타냅니다.

  3. 인증서 요청을 클릭합니다.

  4. 고급 인증서 요청을 클릭합니다.

  5. 이 CA에 요청을 만들어 제출합니다를 클릭합니다.

  6. 필요에 따라 식별 정보를 제공합니다.

  7. 이름 상자에 도메인 컨트롤러의 정규화된 도메인 이름을 입력합니다.

  8. 인증서 필요 서버 유형 목록에서 서버 인증 인증서를 클릭합니다.

  9. 키 옵션에서 다음 옵션을 설정합니다.

    • 새 키 집합 만들기
    • CSP: Microsoft RSA SChannel 암호화 공급자
    • 주요 사용법: Exchange
    • 키 크기: 1024 - 16384
    • 자동 키 컨테이너 이름
    • 로컬 컴퓨터 인증서 저장소에 인증서 저장

  10. 고급 옵션에서 요청 형식을 CMC로 설정합니다.

  11. 특성 상자에 원하는 SAN 특성을 입력합니다. SAN 특성은 다음 형식을 사용합니다.

    san:dns=dns.name[&dns=dns.name]

    여러 DNS 이름은 앰퍼샌드(&)로 구분됩니다. 예를 들어 도메인 컨트롤러의 이름이 corpdc1.fabrikam.com 별칭이 ldap.fabrikam.com 경우 두 이름 모두 SAN 특성에 포함되어야 합니다. 결과 특성 문자열은 다음과 같이 표시됩니다.

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 전송을 클릭합니다.

  13. CA가 인증서를 자동으로 발급하도록 구성되지 않은 경우 인증서 보류 중인 웹 페이지가 표시되고 관리자가 요청한 인증서를 발급할 때까지 기다리도록 요청합니다.

    관리자가 발급한 인증서를 검색하려면 에 http://<servername>/certsrv연결한 다음 보류 중인 인증서 확인을 클릭합니다. 요청된 인증서를 클릭한 다음 다음을 클릭합니다.

    인증서가 발급된 경우 인증서 발급 웹 페이지가 표시됩니다. 이 인증서 설치를 클릭하여 인증서를 설치합니다.

Certreq.exe 사용하여 SAN을 포함하는 인증서 요청을 만들고 제출합니다.

Certreq.exe 유틸리티를 사용하여 인증서 요청을 만들고 제출하려면 다음 단계를 수행합니다.

  1. 인증서 요청에 대한 설정을 지정하는 .inf 파일을 만듭니다. .inf 파일을 만들려면 사용자 지정 주체 대체 이름으로 인증서를 요청하는 방법RequestPolicy.inf 파일 만들기 섹션에 있는 샘플 코드를 사용할 수 있습니다.

    SAN은 [확장] 섹션에 포함될 수 있습니다. 예제는 샘플 .inf 파일을 참조하세요.

  2. 파일을 Request.inf로 저장합니다.

  3. 명령 프롬프트를 엽니다.

  4. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    certreq -new request.inf certnew.req

    이 명령은 Request.inf 파일의 정보를 사용하여 .inf 파일의 RequestType 값으로 지정된 형식으로 요청을 만듭니다. 요청을 만들면 퍼블릭 및 프라이빗 키 쌍이 자동으로 생성되고 로컬 컴퓨터의 등록 요청 저장소에 있는 요청 개체에 배치됩니다.

  5. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    certreq -submit certnew.req certnew.cer

    이 명령은 CA에 인증서 요청을 제출합니다. 환경에 -config 둘 이상의 CA가 있는 경우 명령줄에서 스위치를 사용하여 요청을 특정 CA로 전송할 수 있습니다. 스위치를 -config 사용하지 않으면 요청을 제출해야 하는 CA를 선택하라는 메시지가 표시됩니다.

    스위치는 -config 다음 형식을 사용하여 특정 CA를 참조합니다.

    computername\Certification Authority Name

    예를 들어 CA 이름이 회사 정책 CA1이고 도메인 이름이 임을 가정합니다 corpca1.fabrikam.com. certreq 명령을 스위치와 함께 -config 사용하여 이 CA를 지정하려면 다음 명령을 입력합니다.

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    이 CA가 엔터프라이즈 CA이고 인증서 요청을 제출하는 사용자에게 템플릿에 대한 읽기 및 등록 권한이 있는 경우 요청이 제출됩니다. 발급된 인증서는 Certnew.cer 파일에 저장됩니다. CA가 독립 실행형 CA인 경우 인증서 요청은 CA 관리자가 승인할 때까지 보류 중인 상태가 됩니다. certreq -submit 명령의 출력에는 제출된 요청의 요청 ID 번호가 포함됩니다. 인증서가 승인되는 즉시 요청 ID 번호를 사용하여 검색할 수 있습니다.

  6. 요청 ID 번호를 사용하여 다음 명령을 실행하여 인증서를 검색합니다.

    certreq -retrieve RequestID certnew.cer

    여기에서 스위치를 -config 사용하여 특정 CA에서 인증서 요청을 검색할 수도 있습니다. 스위치를 -config 사용하지 않으면 인증서를 검색할 CA를 선택하라는 메시지가 표시됩니다.

  7. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    certreq -accept certnew.cer

    인증서를 검색한 후에는 인증서를 설치해야 합니다. 이 명령은 인증서를 적절한 저장소로 가져온 다음 4단계에서 만든 프라이빗 키에 인증서를 연결합니다.

타사 CA에 인증서 요청 제출

타사 CA에 인증서 요청을 제출하려면 먼저 Certreq.exe 도구를 사용하여 인증서 요청 파일을 만듭니다. 그런 다음 해당 공급업체에 적합한 방법을 사용하여 타사 CA에 요청을 제출할 수 있습니다. 타사 CA는 CMC 형식으로 인증서 요청을 처리할 수 있어야 합니다.

참고

대부분의 공급업체는 인증서 요청을 CSR(인증서 서명 요청)으로 참조합니다.

참조

타사 인증 기관과 함께 SSL을 통해 LDAP를 사용하도록 설정하는 방법에 대한 자세한 내용은 타사 인증 기관에서 SSL을 통해 LDAP를 사용하도록 설정하는 방법을 참조하세요.

사용자 지정 주체 대체 이름이 있는 인증서를 요청하는 방법에 대한 자세한 내용은 사용자 지정 주체 대체 이름으로 인증서를 요청하는 방법을 참조하세요.

certutil 작업을 사용하여 CA(인증 기관)를 관리하는 방법에 대한 자세한 내용은 MSDN(Microsoft Developer Network) 웹 사이트: CA(인증 기관 관리용 Certutil 작업)로 이동하세요.