타사 CA에서 도메인 컨트롤러 인증서에 대 한 요구 사항

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기:291010
요약
이 문서에서는 도메인 컨트롤러 인증서는 타사 인증 기관 (CA)에서 발급 하도록 수행 하는 데 필요한 요구 사항을 설명 합니다.

타사 CA에서 Windows Server 2008 R2 도메인 컨트롤러 인증서에 대 한 요구 사항에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
추가 정보

지원

  • 현재, Microsoft는 타사 도메인 컨트롤러 인증서와 스마트 카드 로그온에만 사용할 수 있습니다.
  • 현재, Microsoft는 도메인 컨트롤러 간에 SMTP 복제를 지원할 수 있는 타사 Ca에서 인증서 사용을 지원 하지 않습니다.
  • 타사 Ca는 자동 등록 및 갱신 도메인 컨트롤러 또는 컴퓨터 인증서를 지원 하지 않습니다.

요구 사항

  • 수동으로 도메인 컨트롤러 인증서를 발급할 수 있습니다. 도메인 컨트롤러에 대 한 인증서 다음 특정 형식 요구 사항을 충족 해야 합니다.
    • 인증서는 유효한 인증서 해지 목록 (CRL) 가리키는 CRL 배포 지점 확장에 있어야 합니다.
    • 선택적으로, 인증서 주체 섹션 (고유 이름)을 서버 개체의 디렉터리 경로 예를 들어 있어야 합니다.
      CN=server1.northwindtraders.com OU 도메인 컨트롤러 DC = northwwindtraders, DC = com =
    • 인증서 키 용도 섹션을 포함 해야 합니다.
      디지털 서명, 키 암호화
    • 선택적으로, 인증서 기본 제한 구역 포함 되어야 합니다.
      [주체 종류 = 최종 엔터티, 경로 길이 제한 = 없음]
    • 인증서 향상 된 키 용도 섹션을 포함 해야 합니다.
      • 클라이언트 인증 (1.3.6.1.5.5.7.3.2)
      • 서버 인증 (1.3.6.1.5.5.7.3.1)
    • 인증서 주체 대체 이름 섹션에 도메인 이름 시스템 (DNS) 이름을 포함 해야 합니다. SMTP 복제를 사용 하는 경우 인증서 주체 대체 이름 섹션도 전역 고유 식별자 (GUID) 도메인 컨트롤러 개체 디렉터리에 있어야 합니다. 예를 들면 다음과 같습니다.
      다른 이름: 1.3.6.1.4.1.311.25.1 ac 4b = 29 06 aa d6 5d 4f a9 9 bc 4 c를 c b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 인증서 템플릿 확장 "도메인 컨트롤러". BMP 데이터 값이 있어야 합니다.

      참고dsstore.exe-dcmon 명령은 다음이 확장명 중 하나를 수행 하지 않고 인증서를 인식 하지 못합니다.
    • 키를 생성 하는 샤넬 암호화 서비스 공급자 (CSP)를 사용 해야 합니다.
  • 도메인 컨트롤러 인증서가 로컬 컴퓨터의 인증서 저장소에 설치 해야 합니다.

인증서 샘플

X509 Certificate:Version: 3Serial Number: 61497f5e000000000006Signature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..Issuer:    CN=TestCA    DC=northwindtraders    DC=comNotBefore: 2/12/2001 3:57 PMNotAfter: 7/10/2001 10:24 AMSubject:    CN=TEST-DC1    OU=Domain Controllers    DC=northwindtraders    DC=comPublic Key Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA    Algorithm Parameters:    05 00                                              ..Public Key Length: 1024 bitsPublic Key: UnusedBits = 0    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb    0080  89 16 5a 4d a4 34 27 02  03 01 00 01Certificate Extensions: 9    1.2.840.113549.1.9.15: Flags = 0, Length = 37    SMIME Capabilities        [1]SMIME Capability             Object ID=1.2.840.113549.3.2             Parameters=02 02 00 80        [2]SMIME Capability             Object ID=1.2.840.113549.3.4             Parameters=02 02 00 80        [3]SMIME Capability             Object ID=1.3.14.3.2.7        [4]SMIME Capability             Object ID=1.2.840.113549.3.7    2.5.29.15: Flags = 0, Length = 4    Key Usage        Digital Signature, Key Encipherment (a0)    2.5.29.37: Flags = 0, Length = 16    Enhanced Key Usage        Client Authentication (1.3.6.1.5.5.7.3.2)        Server Authentication (1.3.6.1.5.5.7.3.1)    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22    Certificate Template Name        DomainController    2.5.29.14: Flags = 0, Length = 16    Subject Key Identifier        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84    2.5.29.35: Flags = 0, Length = 18    Authority Key Identifier        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7    2.5.29.31: Flags = 0, Length = f8    CRL Distribution Points        [1]CRL Distribution Point             Distribution Point Name:                  Full Name:                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a    Authority Information Access        [1]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt        [2]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority    2.5.29.17: Flags = 0, Length = 3d    Subject Alternative Name        Other Name:             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a        DNS Name=test-dc1.northwindtraders.comSignature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..

도메인 컨트롤러가 GUID 확인 하는 방법

Ldp.exe를 시작 하 고 도메인 명명 컨텍스트 찾습니다. 보려는 도메인 컨트롤러의 이름을 두 번 클릭 합니다. 여 긴 숫자 앞에 나오는 "개체 GUID" 해당 개체에 대 한 특성 목록을 포함 합니다. 해당 개체의 GUID입니다.

개체 식별자에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조를 클릭 합니다.
287547Microsoft 암호화와 관련 된 개체 Id
Ldp.exe를 사용 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조를 클릭 합니다.
224543Ldp.exe를 사용 하 여 Active Directory에서 데이터를 찾으려면

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 291010 - 마지막 검토: 04/10/2013 02:37:00 - 수정: 1.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kb3rdparty kbcertservices kbinfo w2000certsrv kbmt KB291010 KbMtko
피드백