EAP-TLS와 함께 EAP-TLS 또는 PEAP를 사용하는 경우 인증서 요구 사항

EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 또는 EAP-TLS와 함께 PEAP(보호된 확장 가능한 인증 프로토콜)를 사용하는 경우 클라이언트 및 서버 인증서는 특정 요구 사항을 충족해야 합니다.

적용 대상: Windows 11, Windows 10
원래 KB 번호: 814394

요약

스마트 카드가 있는 TLS 또는 인증서가 있는 TLS와 같은 강력한 EAP 형식으로 EAP를 사용하는 경우 클라이언트와 서버 모두 인증서를 사용하여 서로 ID를 확인합니다. 인증서는 성공적인 인증을 위해 서버와 클라이언트 모두에서 특정 요구 사항을 충족해야 합니다.

인증서 사용과 일치하는 EKU(확장 키 사용) 확장에서 하나 이상의 용도로 인증서를 구성해야 합니다. 예를 들어 서버에 대한 클라이언트 인증에 사용되는 인증서는 클라이언트 인증 목적으로 구성해야 합니다. 또는 서버 인증에 사용되는 인증서를 서버 인증 목적으로 구성해야 합니다. 인증에 인증서를 사용하는 경우 인증자는 클라이언트 인증서를 검사하고 EKU 확장에서 올바른 OID(목적 개체 식별자)를 찾습니다. 예를 들어 클라이언트 인증 용도의 OID는 1.3.6.1.5.5.7.3.2이고 서버 인증 용 OID는 입니다 1.3.6.1.5.5.7.3.1.

최소 인증서 요구 사항

네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서에 대한 요구 사항을 충족해야 합니다. 또한 SSL(Secure Sockets Layer) 암호화 및 TLS(전송 수준 보안) 암호화를 사용하는 연결에 대한 요구 사항을 충족해야 합니다. 이러한 최소 요구 사항이 충족되면 클라이언트 인증서와 서버 인증서 모두 다음 추가 요구 사항을 충족해야 합니다.

클라이언트 인증서 요구 사항

EAP-TLS 또는 EAP-TLS를 사용하는 PEAP를 사용하면 인증서가 다음 요구 사항을 충족할 때 서버에서 클라이언트의 인증을 수락합니다.

  • 클라이언트 인증서는 CA(엔터프라이즈 인증 기관)에서 발급합니다. 또는 Active Directory 디렉터리 서비스의 사용자 계정 또는 컴퓨터 계정에 매핑됩니다.

  • 클라이언트의 사용자 또는 컴퓨터 인증서는 신뢰할 수 있는 루트 CA에 연결됩니다.

  • 클라이언트의 사용자 또는 컴퓨터 인증서에는 클라이언트 인증 목적이 포함됩니다.

  • 사용자 또는 컴퓨터 인증서는 CryptoAPI 인증서 저장소에서 수행하는 검사 중 하나에 실패하지 않습니다. 또한 인증서는 원격 액세스 정책의 요구 사항을 통과합니다.

  • 사용자 또는 컴퓨터 인증서는 NPS(네트워크 정책 서버) 원격 액세스 정책에 지정된 인증서 OID 검사 중 하나에 실패하지 않습니다.

  • 802.1X 클라이언트는 스마트 카드 인증서 또는 암호로 보호되는 인증서인 레지스트리 기반 인증서를 사용하지 않습니다.

  • 인증서의 주체 대체 이름(SubjectAltName) 확장에는 사용자의 UPN(사용자 계정 이름)이 포함됩니다.

  • 클라이언트가 EAP-TLS 인증과 함께 EAP-TLS 또는 PEAP를 사용하는 경우 다음 예외를 제외하고 설치된 모든 인증서 목록이 인증서 스냅인에 표시됩니다.

    • 무선 클라이언트는 레지스트리 기반 인증서 및 스마트 카드 로그온 인증서를 표시하지 않습니다.
    • 무선 클라이언트 및 VPN(가상 사설망) 클라이언트는 암호로 보호되는 인증서를 표시하지 않습니다.
    • EKU 확장의 클라이언트 인증 목적이 포함되지 않은 인증서는 표시되지 않습니다.

서버 인증서 요구 사항

서버 인증서 유효성 검사 옵션을 사용하여 서버 인증서의 유효성을 검사 하도록 클라이언트를 구성할 수 있습니다. 이 옵션은 네트워크 연결 속성의 인증 탭에 있습니다. 클라이언트가 PEAP-EAP-MS-Challenge CHAP(핸드셰이크 인증 프로토콜) 버전 2 인증, EAP-TLS 인증을 사용한 PEAP 또는 EAP-TLS 인증을 사용하는 경우 클라이언트는 인증서가 다음 요구 사항을 충족할 때 서버의 인증서를 수락합니다.

  • 서버의 컴퓨터 인증서는 다음 CA 중 하나로 연결됩니다.

  • NPS 또는 VPN 서버 컴퓨터 인증서는 서버 인증 목적으로 구성됩니다. 서버 인증에 대한 OID는 입니다1.3.6.1.5.5.7.3.1.

  • 컴퓨터 인증서는 CryptoAPI 인증서 저장소에서 수행하는 검사 중 하나에 실패하지 않습니다. 또한 원격 액세스 정책의 요구 사항 중 하나가 실패하지는 않습니다.

  • 서버 인증서의 제목 줄에 있는 이름은 연결에 대해 클라이언트에 구성된 이름과 일치합니다.

  • 무선 클라이언트의 경우 주체 대체 이름(SubjectAltName) 확장에는 서버의 FQDN(정규화된 도메인 이름)이 포함됩니다.

  • 클라이언트가 특정 이름의 서버 인증서를 신뢰하도록 구성된 경우 사용자에게 다른 이름의 인증서 신뢰 여부를 결정하라는 메시지가 표시됩니다. 사용자가 인증서를 거부하면 인증이 실패합니다. 사용자가 인증서를 수락하면 인증서가 로컬 컴퓨터에서 신뢰할 수 있는 루트 인증서 저장소에 추가됩니다.

참고

PEAP 또는 EAP-TLS 인증을 사용하는 경우 서버는 인증서 스냅인에 설치된 모든 인증서 목록을 표시합니다. 그러나 EKU 확장의 서버 인증 용도를 포함하는 인증서는 표시되지 않습니다.

추가 정보