인증서 신뢰 관리

완료됨

인증서는 인증 및 기타 보안 관련 작업을 보호하고 유효성을 검사하는 데 중요한 역할을 합니다. 이러한 기능을 사용하도록 설정하는 핵심 원칙 중 하나가 인증서 신뢰입니다. 인증서를 효과적으로 사용하려면 해당 인증서를 사용하는 모든 사용자, 디바이스 또는 애플리케이션에서 해당 인증서를 발급한 CA를 신뢰해야 합니다.

인증서 신뢰란?

인증서를 사용하는 경우 신뢰성과 유효성을 평가하는 데 필요할 수 있는 사용자 또는 대상을 고려하는 것이 중요합니다. 사용할 수 있는 세 가지 유형의 인증서는 다음과 같습니다.

  • AD CS 역할을 호스트하는 서버와 같은 조직 CA의 내부 인증서.
  • 상용 사이버 보안 소프트웨어나 ID 서비스를 제공하는 조직과 같은 공용 CA의 외부 인증서.
  • 자체 서명된 인증서.

엔터프라이즈 루트 CA를 배포하고 사용하여 도메인에 조인된 사용자의 디바이스에 인증서를 등록하는 경우 이러한 디바이스는 등록된 인증서를 신뢰할 수 있는 것으로 승인합니다. 그러나 모든 작업 그룹 디바이스는 동일한 인증서를 신뢰할 수 없는 것으로 고려합니다. 이 문제를 해결하려면 다음을 수행하세요.

  • 작업 그룹 디바이스에 대한 외부 CA에서 퍼블릭 인증서를 가져옵니다. 이 작업은 추가로 퍼블릭 인증서 비용이 듭니다.
  • 엔터프라이즈 루트 CA를 신뢰하도록 작업 그룹 디바이스를 구성합니다. 이 작업은 추가 구성이 필요합니다.

Windows에서 인증서 및 인증서 신뢰 관리

Windows Admin Center, 인증서 Microsoft Management Console 스냅인, Windows PowerShell, certutil 명령줄 도구를 비롯한 다양한 도구를 사용하여 Windows 운영 체제 내에 저장된 인증서를 관리할 수 있습니다. 각 항목을 통해 현재 사용자, 로컬 컴퓨터, 해당 서비스의 인증서 저장소에 액세스할 수 있습니다. 각 저장소는 다음과 같은 여러 폴더로 구성됩니다.

Store

설명

Personal

선택한 저장소에 따라 로컬 사용자, 로컬 컴퓨터 또는 해당 서비스에 발급된 인증서를 포함합니다.

신뢰할 수 있는 루트 인증 기관

신뢰할 수 있는 루트 CA의 인증서를 포함합니다.

엔터프라이즈 신뢰

다른 조직에서 자체 서명된 인증서의 신뢰를 구현하는 인증서 신뢰 목록을 포함합니다.

중간 인증 기관

인증 계층 구조의 하위 CA에 발급된 인증서를 포함합니다.

작업 그룹 디바이스가 엔터프라이즈 루트 CA를 신뢰하는지 확인하려면 도메인에 조인된 컴퓨터의 신뢰할 수 있는 루트 인증 기관 폴더에서 해당 인증서를 내보낸 후 이러한 디바이스의 동일한 폴더로 가져옵니다.

참고

또는 해당 역할을 호스트하는 서버의 CertEnroll 공유에서 엔터프라이즈 루트 CA의 인증서를 가져올 수 있습니다.

테스트용으로 자체 서명된 인증서 생성

자체 서명된 인증서는 프로덕션 시나리오에 적합하지 않지만 테스트에는 유용할 수 있습니다. Windows PowerShell New-SelfSignedCertificate cmdlet을 사용하여 자체 서명된 인증서를 만들 수 있습니다. CloneCert 매개 변수를 포함하고 기존 인증서를 제공하는 경우 새 인증서의 설정은 퍼블릭 키를 제외하고 일치합니다. 대신 cmdlet은 알고리즘 및 길이가 동일한 새 키를 생성합니다.

다음 예에서는 주체 대체 이름이 www.fabrikam.com, www.contoso.com으로 설정되고 주체 및 발급자 이름이 www.fabrikam.com으로 설정된 로컬 머신 개인 저장소에 자체 서명된 SSL 서버 인증서를 생성합니다.

New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"