도메인 사용자 계정을 사용하도록 네트워크 디바이스 등록 서비스 구성

  • 아티클

적용 대상: Windows Server(지원되는 모든 버전)

추가 단계가 필요한 사용자 계정을 지정하도록 NDES를 구성하는 것이 좋습니다. 기본 제공 애플리케이션 풀 ID를 선택한 경우에는 추가 구성이 필요하지 않습니다.

이 문서에서는 지정된 서비스 계정으로 실행되도록 NDES(네트워크 디바이스 등록 서비스)를 구성하는 방법에 대해 알아봅니다.

NDES(네트워크 디바이스 등록 서비스)를 사용하면 도메인 자격 증명 없이 라우터 및 기타 네트워크 디바이스의 소프트웨어에서 SCEP(단순 인증서 등록 프로토콜)를 기반으로 인증서를 가져올 수 있습니다.

SCEP는 기존 CA(인증 기관)를 사용하여 네트워크 디바이스에 안전하고 확장 가능한 방식으로 인증서를 발급하도록 지원하기 위해 개발되었습니다. 이 프로토콜은 CA 및 등록 기관 공개 키 배포, 등록 및 인증서 해지 쿼리를 지원합니다.

NDES 정보 및 단순 인증서 등록 프로토콜을 사용하여 인증서를 사용하는 방법에 대한 자세한 내용은 Active Directory 인증서 서비스에 대한 네트워크 디바이스 등록 서비스란?을 참조하세요.

필수 조건

AD CS(Active Directory Certificate Services)에 대한 NDES 역할 서비스를 설치한 후 다음 필수 구성 요소를 충족하는지 확인합니다.

  • 도메인 사용자 계정이어야 합니다.

  • 로컬 IIS_IUSRS 그룹의 구성원이어야 합니다.

  • 구성된 CA(인증 기관)에 대한 요청 권한이 있어야 합니다.

  • 자동으로 구성된 NDES 인증서 템플릿에 대한 읽기 및 등록 권한이 있어야 합니다.

  • CNAME 또는 부하가 분산된 네트워크 이름을 사용하는 경우 Active Directory Domain Services에서 SPN(서비스 사용자 이름)을 구성합니다.

NDES 서비스 계정 역할을 할 도메인 사용자 계정을 만듭니다.

그런 다음 NDES 서비스 계정 역할을 할 도메인 사용자 계정을 만들어야 합니다.

  1. Active Directory Domain Services 원격 서버 관리 도구가 설치되어 있는 도메인 컨트롤러 또는 관리 컴퓨터에 로그인합니다. 도메인에 사용자를 추가할 권한이 있는 계정을 사용하여 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 콘솔 트리에서 사용자 계정을 만들 컨테이너가 표시될 때까지 구조를 확장합니다. 예를 들어 일부 조직에는 서비스 OU 또는 이와 유사한 계정이 있습니다. 컨테이너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 후 사용자를 선택합니다.

  3. 새 개체 - 사용자 텍스트 상자에 사용자 계정을 만들고 있다는 것을 명확히 알 수 있도록 모든 필드에 대한 적절한 이름을 입력합니다. 서비스 계정 만들기에 대한 조직의 정책이 있는 경우 이러한 정책을 따라야 합니다. 예를 들어 다음을 입력한 후 다음을 선택할 수 있습니다.

    • 이름: Ndes

    • : 서비스

    • 사용자 로그온 이름: NdesService

  4. 계정에 대해 복잡한 암호를 설정하고 암호를 확인해야 합니다. 서비스 계정에 대한 조직의 보안 정책에 해당하는 암호 옵션을 구성하세요. 암호가 만료되도록 구성된 경우 필요한 간격으로 암호를 재설정할 수 있는 프로세스가 있어야 합니다.

  5. 다음을 선택한 다음 완료를 선택합니다.

  • New-ADUser Windows PowerShell 명령을 사용하여 도메인 사용자 계정을 추가할 수도 있습니다.

  • AD DS(Active Directory 도메인 서비스) 구성에 따라 NDES에 대한 관리 서비스 계정 또는 그룹 관리 서비스 계정을 구현할 수도 있습니다. 관리 서비스 계정에 대한 자세한 내용은 관리 서비스 계정을 참조하세요. 그룹 관리 서비스 계정에 대한 자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.

NDES 서비스 계정을 로컬 IIS_IUSRS 그룹에 추가합니다.

도메인 사용자 계정을 NDES 서비스 계정으로 만든 후 이 NDES 서비스 계정을 로컬 IIS_IUSRS 그룹에 추가해야 합니다.

  1. NDES 서비스를 호스트하는 서버에서 컴퓨터 관리 (compmgmt.msc)를 엽니다.

  2. 컴퓨터 관리 콘솔 트리에서 시스템 도구 아래의 로컬 사용자 및 그룹을 확장합니다. 그룹을 선택합니다.

  3. 세부 정보 창에서 IIS_IUSRS를 선택합니다.

  4. 일반 탭에서 추가를 선택합니다.

  5. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 서비스 계정으로 구성한 계정의 사용자 로그인 이름을 입력합니다.

  6. 이름 확인을 선택하고 확인을 선택한 후 컴퓨터 관리를 닫습니다.

net localgroup IIS_IUSRS <domain>\<username> /Add을 사용하여 로컬 IIS_IUSRS 그룹에 NDES 서비스 계정을 추가할 수도 있습니다. 관리자 권한으로 명령 프롬프트 또는 Windows PowerShell을 실행해야 합니다. 자세한 내용은 Add-LocalGroupMember] PowerShell 명령을 참조하세요.

CA에 대한 요청 권한 설정

NDES 서비스 계정은 NDES에서 사용할 CA에 대한 권한을 요청해야 합니다.

  1. NDES에서 사용할 CA에서 CA 관리 권한이 있는 계정으로 CA 콘솔을 엽니다.

  2. 인증 기관 콘솔을 엽니다. CA를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  3. 보안 탭에서 인증서 요청 권한이 있는 계정을 확인할 수 있습니다. 기본적으로 Authenticated Users 그룹에 이 권한이 있습니다. 만든 서비스 계정은 사용 중인 경우 인증된 사용자의 구성원으로 사용됩니다. Authenticated Users 에 인증서 요청 권한이 있는 경우 추가 권한을 부여할 필요가 없습니다. 그러나 그렇지 않은 경우에는 NDES 서비스 계정에 CA에 대한 인증서 요청 권한을 부여해야 합니다. 수행할 작업:

    • 추가를 선택합니다.

    • 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 NDES 서비스 계정의 이름을 입력하고 이름 확인을 선택한 후 확인을 선택합니다.

    • NDES 서비스 계정이 선택되어 있는지 확인합니다. 인증서 요청 에 해당하는 허용 확인란이 선택되어 있는지 확인합니다. 확인을 선택합니다.

NDES에 대한 서비스 사용자 이름을 설정해야 하는지 확인

부하 분산 장치 또는 가상 이름을 사용하는 경우 Active Directory에서 SPN(서비스 사용자 이름)을 구성해야 합니다. 이 섹션에서는 Active Directory에서 SPN을 설정해야 하는지 여부를 확인하는 방법을 알아봅니다.

  • 단일 NDES 서버와 실제 호스트 이름(가장 일반적인 시나리오)을 사용하는 경우 계정에 SPN이 등록될 필요는 없습니다. HOST/computerFQDN에 대한 컴퓨터 계정 기본 SPN은 이 경우를 다룹니다. 다른 모든 기본값(특히 IIS 커널 모드 인증과 관련됨)을 사용하는 경우 이 문서의 다음 섹션으로 건너뛸 수 있습니다.

  • 사용자 지정 A 레코드를 호스트 이름으로 사용하거나 가상 IP를 사용한 부하 분산을 사용하는 경우 SCEPSvc(NDES 서비스 계정)에 대해 SPN을 등록해야 합니다. NDES 서비스 계정에 대해 SPN을 등록하려면 다음을 수행합니다.

    1. 명령을 입력할 때 Setspn -s HTTP/<computerfqdn> <domainname\accountname>의 Setspn 명령 구문을 사용합니다. 예를 들어 도메인은 Fabrikam.com이고 NDES CNAME은 NDESFARM이며 이름이 SCEPSvc인 서비스 계정을 사용하고 있습니다. 예를 들어, 다음 명령을 실행합니다.

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

    2. 그런 다음 사이트에 대해 IIS 커널 모드 인증을 사용하지 않도록 설정합니다.

NDES 역할 서비스 설정

설치가 완료되면 NDES 컴퓨터 구성을 완료하기 위해 몇 가지 단계를 수행해야 합니다.

NDES가 CA에 설치되어 있는 경우에는 로컬 CA가 사용되므로 CA를 선택할 수 없습니다.

CA가 아닌 컴퓨터에 NDES를 설치할 때는 대상 CA를 선택해야 합니다. CA 이름을 사용하거나 컴퓨터 이름으로 CA를 선택할 수 있습니다.

CA를 선택하려면 다음을 수행해야 합니다.

  1. 서버 관리자에서 AD CS 구성을 엽니다.

  2. NDES의 CA 를 선택합니다.

  3. CA 이름 또는 컴퓨터 이름을 선택한 후 선택을 선택합니다.

  4. 선택한 옵션에 따라 다음에 표시되는 대화 상자의 유형이 결정됩니다.

    • CA 이름을 클릭한 경우 선택할 수 있는 CA 목록이 있는 인증 기관 선택 대화 상자가 나타납니다.

      또는

    • 컴퓨터 이름을 클릭한 경우 위치를 설정하고 CA로 지정할 컴퓨터 이름을 입력할 수 있는 컴퓨터 선택 대화 상자가 표시됩니다.

이제 NDES 역할 서비스 설정을 완료할 준비가 되었습니다. 나머지 단계에서는 등록 기관 정보를 확인하고 암호화를 설정합니다.

  1. 제공하는 RA(등록 기관) 정보는 서비스에 발급된 서명 인증서를 생성하는 데 사용됩니다. 서버 관리자에서 RA 정보를 설정합니다.

  2. 모든 필드를 확인하고 RA 정보가 올바른지 확인합니다(또는 기본값으로 설정됨).

NDES는 두 개의 인증서와 해당 키를 사용하여 디바이스 등록을 사용하도록 설정합니다. 조직에서는 서로 다른 CSP(암호화 서비스 공급자)를 사용하여 이러한 키를 저장하거나, 서비스에서 사용되는 키의 길이를 변경할 수 있습니다. RA 키에는 암호화 애플리케이션 프로그래밍 인터페이스(CryptoAPI) 서비스 공급자만 지원됩니다. CNG(Cryptography API: Next Generation) 공급자는 지원되지 않습니다.

  1. 암호화를 구성하려면 서버 관리자에서 NDES에 대한 암호화를 선택해야 합니다.

  2. 서명 키 공급자 및/또는 암호화 키 공급자의 값을 입력하고 키 길이 값을 결정합니다.

  3. 마법사를 계속 진행하여 NDES 설치를 완료합니다.

역할 서비스를 구성했으므로 NDES 구성 및 작업에 대한 자세한 내용을 알아볼 수 있습니다. AD CS(Active Directory 인증서 서비스)의 NDES(네트워크 디바이스 등록 서비스)를 참조하세요.

NDES 또는 NDES에서 사용되는 인증서 템플릿에 대한 구성을 변경하는 경우 NDES, IIS 및 CA 서비스를 중지하고 다시 시작해야 합니다.

다음 단계