스마트 카드를 사용하는 TLS나 인증서를 사용하는 TLS와 같이 강력한 형식의 EAP를 사용하면 클라이언트와 서버 모두 인증서를 사용하여 서로의 ID를 확인해야 합니다. 이 경우 인증이 성공적으로 이루어지려면 서버와 클라이언트에서 인증서가 특정 요구 사항을 충족해야 합니다.
요구 사항 중 하나는 인증서의 EKU(확장된 키 사용) 확장에 해당 인증서의 사용 목적에 맞는 용도가 하나 이상 구성되어 있어야 한다는 것입니다. 예를 들어 서버에서 클라이언트를 인증하는 데 사용되는 인증서는 클라이언트 인증 용도로 구성되어야 하고 서버를 인증하는 데 사용되는 인증서는 서버 인증 용도로 구성되어야 합니다. 인증서를 사용하여 인증하는 경우 인증자는 클라이언트 인증서를 검토하면서 EKU 확장에서 올바른 용도 개체 식별자를 찾습니다. 예를 들어 클라이언트 인증 용도의 개체 식별자는 1.3.6.1.5.5.7.3.2입니다.
인증서의 최소 요구 사항
네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서 요구 사항뿐만 아니라 SSL(Secure Sockets Layer) 암호화 및 TLS(Transport Level Security) 암호화를 사용하는 연결에 대한 요구 사항도 충족해야 합니다. 이러한 최소 요구 사항을 충족하는 클라이언트 인증서와 서버 인증서는 다음과 같은 추가적인 요구 사항도 충족해야 합니다.클라이언트 인증서 요구 사항
EAP-TLS 또는 PEAP-EAP-TLS를 사용할 경우 서버는 인증서가 다음과 같은 요구 사항을 충족할 때 클라이언트의 인증을 허용합니다.- 클라이언트 인증서를 엔터프라이즈 CA(인증 기관)에서 발급했거나 클라이언트 인증서가 Active Directory 디렉터리 서비스에 포함된 사용자 계정 또는 컴퓨터 계정에 매핑됩니다.
- 클라이언트의 사용자 또는 컴퓨터 인증서가 신뢰할 수 있는 루트 CA에 연결되어 있습니다.
- 클라이언트의 사용자 또는 컴퓨터 인증서에 클라이언트 인증 용도가 포함되어 있습니다.
- 사용자 또는 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행하는 모든 검사를 통과하고 원격 액세스 정책의 요구 사항을 충족합니다.
- 사용자 또는 컴퓨터 인증서가 IAS(인터넷 인증 서비스) 원격 액세스 정책에 지정되어 있는 인증서 개체 식별자 검사를 모두 통과합니다.
- 802.1x 클라이언트가 스마트 카드 인증서 또는 암호로 보호되는 인증서와 같이 레지스트리를 기반으로 하는 인증서를 사용하지 않습니다.
- 인증서의 주체 대체 이름(SubjectAltName) 확장에 사용자의 UPN(사용자 이름)이 포함되어 있습니다.
- 클라이언트에서 EAP-TLS 또는 PEAP-EAP-TLS 인증을 사용하면 설치되어 있는 모든 인증서의 목록이 인증서 스냅인에 표시되지만 다음의 경우는 예외입니다.
- 무선 클라이언트에는 레지스트리 기반 인증서 및 스마트 카드 로그온 인증서가 표시되지 않습니다.
- 무선 클라이언트와 VPN(가상 사설망) 클라이언트에는 암호로 보호되는 인증서가 표시되지 않습니다.
- EKU 확장에 클라이언트 인증 용도가 포함되어 있지 않은 인증서는 표시되지 않습니다.
서버 인증서 요구 사항
서버 인증서의 유효성을 검사하도록 클라이언트를 구성하려면 네트워크 연결 속성의 인증 탭에서 서버 인증서 유효성 확인 옵션을 사용합니다. PEAP-EAP-MS-CHAP(Challenge Handshake 인증 프로토콜) 버전 2 인증, PEAP-EAP-TLS 인증 또는 EAP-TLS 인증을 사용하는 클라이언트에서는 다음과 같은 요구 사항을 충족하는 서버 인증서를 허용합니다.- 서버의 컴퓨터 인증서가 다음 중 하나에 연결되어 있습니다.
- 신뢰할 수 있는 Microsoft 루트 CA
- 게시된 루트 인증서가 포함된 NTAuthCertificates 저장소가 있는 Active Directory 도메인의 Microsoft 독립 실행형 루트 또는 타사 루트 CA 타사 CA 인증서를 가져오는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
295663 Enterprise NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 방법
- IAS 또는 VPN 서버 컴퓨터 인증서가 서버 인증 용도로 구성되어 있습니다. 서버 인증의 개체 식별자는 1.3.6.1.5.5.7.3.1입니다.
- 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행하는 모든 검사를 통과하고 원격 액세스 정책 요구 사항을 모두 충족합니다.
- 서버 인증서의 제목에 있는 이름이 클라이언트에서 연결 대상으로 구성되어 있는 이름과 일치합니다.
- 무선 클라이언트의 경우 주체 대체 이름(SubjectAltName) 확장에 서버의 FQDN(정규화된 도메인 이름)이 포함되어 있습니다.
- 클라이언트가 특정 이름의 서버 인증서를 신뢰하도록 구성된 경우 다른 이름의 인증서를 신뢰할지 여부를 묻는 메시지가 표시됩니다. 사용자가 인증서를 거부하면 인증이 실패하고 사용자가 인증서를 허용하면 인증서가 로컬 컴퓨터의 신뢰할 수 있는 루트 인증서 저장소에 저장됩니다.