본문 바로가기
Windows Client

AD CS 인증서 서비스 2008R2 변경된점

System Neophyte 2010. 3. 31. 02:09

 

    주요 변경 내용

    Windows Server® 2008 R2의 AD CS(Active Directory® 인증서 서비스)에서는 PKI(공개 키 인프라)를 보다 유연하게 배포하고, 관리 비용을 줄이며 NAP(네트워크 액세스 보호)를 보다 쉽게 배포할 수 있도록 해주는 다양한 기능과 서비스를 도입했습니다.

    다음 표에는 Windows Server 2008 R2에 새로 도입된 AD CS 기능과 서비스가 정리되어 있습니다.

    기능

    이점

    인증서 등록 웹 서비스 및 인증서 등록 정책 웹 서비스

    HTTP를 통해 인증서 등록을 할 수 있습니다.

    포리스트 간 인증서 등록 지원

    여러 포리스트 배포에서 CA(인증 기관)를 통합할 수 있습니다.

    대용량 CA 지원 향상

    일부 NSP 배포 및 기타 대용량 CA에 대한 CA 데이터베이스 크기가 감소되었습니다.

    인증서 등록 웹 서비스 및 인증서 등록 정책 웹 서비스

    인증서 등록 웹 서비스는 자동 등록과 같은 기존 방법을 사용하여 HTTP를 통한 정책 기반 인증서 등록을 수행할 수 있도록 해주는 새로운 AD CS 역할 서비스입니다. 웹 서비스는 클라이언트 컴퓨터와 CA 간의 프록시 역할을 하여 클라이언트 컴퓨터와 CA 간에 직접 통신하지 않고도 인터넷을 통해 포리스트 간 인증서를 등록할 수 있도록 합니다.

    이 기능의 대상 사용자

    새 PKI 및 기존 PKI를 사용하는 조직에서는 다음과 같은 배포 시나리오에서 인증서 등록 웹 서비스에서 제공하는 확장된 인증서 등록 기능을 활용할 수 있습니다.

    • 다중 포리스트 배포에서 다른 포리스트에 있는 CA의 인증서를 클라이언트 컴퓨터에 등록할 수 있습니다.

    • 엑스트라넷 배포에서는 이동 작업자와 비즈니스 파트너가 인터넷을 통해 등록할 수 있습니다.

        특별 고려 사항

        인증서 등록 웹 서비스는 클라이언트 컴퓨터를 대신하여 요청을 제출하므로 위임에 대해 신뢰할 수 있어야 합니다. 이 웹 서비스를 엑스트라넷으로 배포하면 네트워크 공격 위협이 증가하므로, 일부 조직에서는 위임에 대해 서비스를 신뢰하지 않을 수 있습니다. 그럴 경우 위임이 필요하지 않은 기존 인증서로 서명된 갱신 요청만 승인하도록 인증서 등록 웹 서비스 및 발급 CA를 구성할 수 있습니다.

        또한 인증서 등록 웹 서비스에는 다음과 같은 요구 사항이 있습니다.

        • Windows Server 2008 R2 스키마가 있는 Active Directory 포리스트

        • Windows Server 2008 R2, Windows Server 2008 또는 Windows Server 2003을 실행하는 엔터프라이즈 CA

        • 포리스트 간 인증서 등록을 수행하려면 Windows Server Enterprise 또는 Datacenter 버전을 실행 중인 엔터프라이즈 CA가 필요합니다.

        • Windows® 7을 실행하는 클라이언트 컴퓨터

            이 기능을 포함하는 버전

            인증서 등록 웹 서비스는 모든 Windows Server 2008 R2 버전에서 사용할 수 있습니다.

            포리스트 간 인증서 등록 지원

            포리스트 간 등록을 도입하기 전에는 CA가 동일한 포리스트의 구성원에게만 인증서를 발급할 수 있고 각 포리스트에 자체 PKI가 있었습니다. LDAP 조회를 추가 지원하여 Windows Server 2008 R2 CA는 양방향 트러스트 관계가 있는 포리스트 간 인증서를 발급할 수 있습니다.

            이 기능의 대상 사용자

            여러 Active Directory 포리스트가 있고 포리스트 단위 PKI 배포를 사용하는 조직에서는 포리스트 간 인증서 등록을 수행하도록 설정하여 CA 통합을 활용할 수 있습니다.

            특별 고려 사항

            • Active Directory 포리스트에서는 Windows Server 2003 포리스트 기능 수준 및 양방향 전이적 트러스트가 필요합니다.

            • Windows XP, Windows Server 2003 및 Windows Vista®를 실행 중인 클라이언트 컴퓨터에서는 포리스트 간 인증서 등록을 지원하기 위해 업데이트할 필요가 없습니다.

              이 기능을 포함하는 버전

              이 기능은 Windows Server 2008 R2 Enterprise 또는 Windows Server 2008 R2 Datacenter를 실행하는 엔터프라이즈 CA에서 사용할 수 있습니다.

              대용량 CA 지원 향상

              이 기능의 대상 사용자

              IPsec 적용을 사용하는 NAP를 배포한 조직이나 기타 대용량 CA에서는 특정 CA 데이터베이스 작업을 무시하여 CA 데이터베이스 크기를 줄일 수 있습니다.

              NAP 상태 인증서는 일반적으로 발급 후 몇 시간 이내에 만료되며, CA는 매일 컴퓨터별로 여러 인증서를 발급할 수 있습니다. 기본적으로 각 요청과 발급된 인증서에 대한 레코드는 CA 데이터베이스에 저장됩니다. 대용량의 요청으로 CA 데이터베이스의 용량이 빠르게 증가하고 관리 비용이 높아집니다.

              특별 고려 사항

              발급된 인증서가 CA 데이터베이스에 저장되지 않기 때문에 인증서를 해지할 수 없습니다. 하지만 대용량 단기 인증서에 대한 인증서 해지 목록을 유지 관리하는 것이 실용적이거나 유용하지 않은 경우도 있습니다. 따라서 일부 조직에서는 이 기능을 사용하고 해지에 대한 제한 사항을 수용하도록 선택하는 경우도 있습니다.

              이 기능을 포함하는 버전

              이 기능은 모든 버전의 Windows Server 2008 R2를 실행하는 엔터프라이즈 CA에서 사용할 수 있습니다

              'Windows Client' Related Articles

              티스토리툴바