EAP TLS를 사용 하 여 EAP-TLS 또는 PEAP를 사용 하면 요구 사항을 인증서합니다

소개

클라이언트 인증서와 서버 인증서 EAP TLS를 사용 하 여 확장할 수 있는 인증 프로토콜-전송 계층 보안 (EAP-TLS) 또는 보호 된 확장할 수 있는 인증 프로토콜 (PEAP)를 사용할 때 충족 해야 할 요구 사항을 설명 합니다.

자세한 내용

스마트 카드를 사용 하 여 TLS 또는 TLS 인증서와 같은 강력한 EAP 종류를 사용 하 여 EAP를 사용 하면 클라이언트와 서버 모두 서로 자신의 id를 확인 하려면 인증서 사용 합니다. 인증서는 인증이 성공적으로 클라이언트와 서버에서 특정 요구 사항을 충족 해야 합니다.



요구 사항 중 하나는 인증서는 확장 키 용도 (EKU) 확장에 해당 인증서의 사용과 일치 하는 하나 이상의 용도로 구성 되어야 합니다. 예를 들어, 서버에 클라이언트의 인증에 사용 되는 인증서는 클라이언트 인증 용도로 구성 되어야 합니다. 또는, 서버 인증 용도와 서버 인증에 사용 되는 인증서를 구성 합니다. 인증을 위해 인증서를 사용할 경우 인증자는 클라이언트 인증서를 검사 하 고 EKU 확장에서 올바른 용도 개체 식별자를 찾습니다. 예를 들어, 클라이언트 인증 용도 개체 식별자는 1.3.6.1.5.5.7.3.2입니다.

최소 인증서 요구 사항

Secure Sockets Layer (SSL) 암호화 및 전송 수준 보안 (TLS) 암호화를 사용 하는 연결에 대 한 요구 사항도 충족 해야 하기 하 고 네트워크 액세스 인증에 사용 되는 모든 인증서의 X.509 인증서 요구 사항을 충족 해야 합니다. 이러한 최소 요구 사항을 충족 하는 클라이언트 인증서와 서버 인증서는 다음과 같은 추가 요구 사항을 충족 해야 합니다.

클라이언트 인증서 요구 사항

EAP-TLS 또는 EAP-TLS가 있는 PEAP를 사용 하 여 서버 인증서는 다음 요구 사항을 충족 하는 경우 클라이언트의 인증을 받습니다.

  • 클라이언트 인증서는 엔터프라이즈 인증 기관 (CA)에서 발급 하거나 또는 컴퓨터 계정에 Active Directory 디렉터리 서비스 사용자 계정에 매핑합니다.
  • 사용자 또는 컴퓨터 인증서는 신뢰할 수 있는 루트 CA에 클라이언트 연결 합니다.
  • 사용자 또는 클라이언트에 컴퓨터 인증서에 클라이언트 인증 용도가 포함 되어 있습니다.
  • 사용자 또는 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행 되는 검사 중 하나라도 실패 하지 하 고 원격 액세스 정책의 요구 사항을 통과 합니다.
  • 사용자 또는 컴퓨터 인증서에는 인터넷 인증 서비스 (IAS) 원격 액세스 정책에 지정 된 인증서 개체 식별자 검사 중 하나라도 실패 하지 않습니다.
  • 802.1x 클라이언트가 스마트 카드 인증서 또는 암호로 보호 되는 인증서는 레지스트리 기반 인증서를 사용 하지 않습니다.
  • 인증서의 주체 대체 이름 (SubjectAltName) 확장에는 사용자의 사용자 계정 이름 (UPN) 포함 되어 있습니다.

  • 클라이언트가 PEAP 또는 EAP-TLS를 사용 하 여 EAP TLS 인증을 사용 하 여, 설치 된 모든 인증서의 목록이 인증서 스냅인 제외 하 고 다음에 표시 됩니다.
    • 무선 클라이언트는 레지스트리 기반 인증서 및 스마트 카드 로그온 인증서를 표시 하지 않습니다.
    • 가상 개인 네트워크 (VPN) 클라이언트와 무선 클라이언트는 암호로 보호 되는 인증서를 표시 하지 않습니다.
    • EKU 확장에 클라이언트 인증 용도가 없는 인증서는 표시 되지 않습니다.

서버 인증서 요구 사항

네트워크 연결 속성의 인증 탭에서 서버 인증서 유효성 확인 옵션을 사용 하 여 서버 인증서를 확인 하도록 클라이언트를 구성할 수 있습니다. 클라이언트가 PEAP-EAP-MS-챌린지 핸드셰이크 인증 프로토콜 (CHAP) 버전 2 인증을 사용 하는 경우 PEAP EAP TLS 인증 또는 EAP-TLS 인증, 클라이언트 인증서는 다음 요구 사항을 충족 하는 경우 서버 인증서를 받습니다.

  • 컴퓨터 인증서는 다음 중 하나에 서버 연결:
    • 신뢰할 수 있는 Microsoft 루트 CA.
    • 독립 실행형 루트 Microsoft 또는 타사 루트 CA에 게시 된 루트 인증서를 포함 하는 NTAuthCertificates 저장소가 있는 Active Directory 도메인에 있습니다. 타사 CA의 인증서를 가져오는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

      295663 엔터프라이즈 NTAuth 저장소에 타사 인증 기관 (CA) 인증서를 가져오는 방법

  • IAS 또는 VPN 서버 컴퓨터 인증서는 서버 인증용으로 구성 됩니다. 서버 인증의 개체 식별자는 1.3.6.1.5.5.7.3.1입니다.
  • 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행 되는 검사 중 하나라도 실패 하지 하 고 원격 액세스 정책에서 요구 사항 중 하나라도 실패 하지 않습니다.
  • 클라이언트 연결에 대해 구성 된 이름과 일치 하는 서버 인증서의 제목 줄에 있는 이름.
  • 무선 클라이언트에 대 한 주체 대체 이름 (SubjectAltName) 확장에 서버의 정규화 된 도메인 이름 (FQDN) 포함 되어 있습니다.
  • 클라이언트가 특정 이름의 서버 인증서를 신뢰 하도록 구성 되어 있으면 다른 이름으로 인증서를 신뢰 하는 방법에 대 한 여부를 결정 하 라는 메시지가 나타납니다. 사용자가 인증서를 거부 하는 경우 인증이 실패 합니다. 사용자가 인증서를 수락 하는 경우 인증서는 로컬 컴퓨터의 신뢰할 수 있는 루트 인증서 저장소에 추가 됩니다.

참고: PEAP 또는 EAP-TLS 인증을 사용 하 여 서버는 설치 된 모든 인증서의 목록이 인증서 스냅인에 표시합니다. 그러나 EKU 확장에 서버 인증 용도가 포함 되어 있는 인증서는 표시 되지 않습니다.

참조

무선 네트워크 기술에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.

313242 Windows XP에서 무선 네트워크 연결 문제를 해결 하는 방법

속성

문서 ID: 814394 - 마지막 검토: 2017. 2. 18. - 수정: 3

피드백