블로그 이미지
System Neophyte

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

Notice

2007.11.29 14:28 Windows Server

스마트 카드를 사용하는 TLS나 인증서를 사용하는 TLS와 같이 강력한 형식의 EAP를 사용하면 클라이언트와 서버 모두 인증서를 사용하여 서로의 ID를 확인해야 합니다. 이 경우 인증이 성공적으로 이루어지려면 서버와 클라이언트에서 인증서가 특정 요구 사항을 충족해야 합니다.
요구 사항 중 하나는 인증서의 EKU(확장된 키 사용) 확장에 해당 인증서의 사용 목적에 맞는 용도가 하나 이상 구성되어 있어야 한다는 것입니다. 예를 들어 서버에서 클라이언트를 인증하는 데 사용되는 인증서는 클라이언트 인증 용도로 구성되어야 하고 서버를 인증하는 데 사용되는 인증서는 서버 인증 용도로 구성되어야 합니다. 인증서를 사용하여 인증하는 경우 인증자는 클라이언트 인증서를 검토하면서 EKU 확장에서 올바른 용도 개체 식별자를 찾습니다. 예를 들어 클라이언트 인증 용도의 개체 식별자는 1.3.6.1.5.5.7.3.2입니다.

인증서의 최소 요구 사항
네트워크 액세스 인증에 사용되는 모든 인증서는 X.509 인증서 요구 사항뿐만 아니라 SSL(Secure Sockets Layer) 암호화 및 TLS(Transport Level Security) 암호화를 사용하는 연결에 대한 요구 사항도 충족해야 합니다. 이러한 최소 요구 사항을 충족하는 클라이언트 인증서와 서버 인증서는 다음과 같은 추가적인 요구 사항도 충족해야 합니다.
클라이언트 인증서 요구 사항
EAP-TLS 또는 PEAP-EAP-TLS를 사용할 경우 서버는 인증서가 다음과 같은 요구 사항을 충족할 때 클라이언트의 인증을 허용합니다.
  • 클라이언트 인증서를 엔터프라이즈 CA(인증 기관)에서 발급했거나 클라이언트 인증서가 Active Directory 디렉터리 서비스에 포함된 사용자 계정 또는 컴퓨터 계정에 매핑됩니다.
  • 클라이언트의 사용자 또는 컴퓨터 인증서가 신뢰할 수 있는 루트 CA에 연결되어 있습니다.
  • 클라이언트의 사용자 또는 컴퓨터 인증서에 클라이언트 인증 용도가 포함되어 있습니다.
  • 사용자 또는 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행하는 모든 검사를 통과하고 원격 액세스 정책의 요구 사항을 충족합니다.
  • 사용자 또는 컴퓨터 인증서가 IAS(인터넷 인증 서비스) 원격 액세스 정책에 지정되어 있는 인증서 개체 식별자 검사를 모두 통과합니다.
  • 802.1x 클라이언트가 스마트 카드 인증서 또는 암호로 보호되는 인증서와 같이 레지스트리를 기반으로 하는 인증서를 사용하지 않습니다.
  • 인증서의 주체 대체 이름(SubjectAltName) 확장에 사용자의 UPN(사용자 이름)이 포함되어 있습니다.
  • 클라이언트에서 EAP-TLS 또는 PEAP-EAP-TLS 인증을 사용하면 설치되어 있는 모든 인증서의 목록이 인증서 스냅인에 표시되지만 다음의 경우는 예외입니다.
    • 무선 클라이언트에는 레지스트리 기반 인증서 및 스마트 카드 로그온 인증서가 표시되지 않습니다.
    • 무선 클라이언트와 VPN(가상 사설망) 클라이언트에는 암호로 보호되는 인증서가 표시되지 않습니다.
    • EKU 확장에 클라이언트 인증 용도가 포함되어 있지 않은 인증서는 표시되지 않습니다.
서버 인증서 요구 사항
서버 인증서의 유효성을 검사하도록 클라이언트를 구성하려면 네트워크 연결 속성의 인증 탭에서 서버 인증서 유효성 확인 옵션을 사용합니다. PEAP-EAP-MS-CHAP(Challenge Handshake 인증 프로토콜) 버전 2 인증, PEAP-EAP-TLS 인증 또는 EAP-TLS 인증을 사용하는 클라이언트에서는 다음과 같은 요구 사항을 충족하는 서버 인증서를 허용합니다.
  • 서버의 컴퓨터 인증서가 다음 중 하나에 연결되어 있습니다.
    • 신뢰할 수 있는 Microsoft 루트 CA
    • 게시된 루트 인증서가 포함된 NTAuthCertificates 저장소가 있는 Active Directory 도메인의 Microsoft 독립 실행형 루트 또는 타사 루트 CA 타사 CA 인증서를 가져오는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

      295663 Enterprise NTAuth 저장소로 타사 CA(인증 기관) 인증서를 가져오는 방법

  • IAS 또는 VPN 서버 컴퓨터 인증서가 서버 인증 용도로 구성되어 있습니다. 서버 인증의 개체 식별자는 1.3.6.1.5.5.7.3.1입니다.
  • 컴퓨터 인증서가 CryptoAPI 인증서 저장소에서 수행하는 모든 검사를 통과하고 원격 액세스 정책 요구 사항을 모두 충족합니다.
  • 서버 인증서의 제목에 있는 이름이 클라이언트에서 연결 대상으로 구성되어 있는 이름과 일치합니다.
  • 무선 클라이언트의 경우 주체 대체 이름(SubjectAltName) 확장에 서버의 FQDN(정규화된 도메인 이름)이 포함되어 있습니다.
  • 클라이언트가 특정 이름의 서버 인증서를 신뢰하도록 구성된 경우 다른 이름의 인증서를 신뢰할지 여부를 묻는 메시지가 표시됩니다. 사용자가 인증서를 거부하면 인증이 실패하고 사용자가 인증서를 허용하면 인증서가 로컬 컴퓨터의 신뢰할 수 있는 루트 인증서 저장소에 저장됩니다.
참고 PEAP 또는 EAP-TLS 인증을 사용하는 서버에는 설치되어 있는 모든 인증서의 목록이 인증서 스냅인에 표시됩니다. 그러나 EKU 확장에 서버 인증 용도가 포함되어 있는 인증서는 표시되지 않습니다
신고
posted by System Neophyte
2007.11.29 14:21 Trouble Shooting

현상

클라이언트에서 원격 액세스 서버에 연결하려고 하면 클라이언트에 다음과 유사한 오류 메시지 중 하나나 둘 모두가 나타날 수 있습니다.

로컬 보안 기관에 연결할 수 없습니다. (오류 0x80090304) 이 연결에 대한 사용자 지정 문제 해결 정보를 보려면 [도움말]을 클릭하십시오.

또는

오류 0x80090022: 컨텍스트에 생긴 문제로 인하여 해당 작업을 수행할 수 없습니다.

원인

경우 1: 서버 인증서의 키 크기가 464비트 이하인 경우
원격 액세스 서버에서 EAP-TLS(Extensible Authentication Protocol-Transport Level Security)를 구성한 경우 서버 인증서의 키 크기가 464비트 이하이면 클라이언트 컴퓨터에서 서버에 인증하려고 할 때 클라이언트 컴퓨터에 이 문서의 "현상" 절에서 설명하는 첫 번째 오류 메시지가 나타납니다.
참고 클라이언트가 서버 인증서의 유효성을 확인하도록 구성되었는지 여부에 관계없이 클라이언트에 이 오류 메시지가 나타납니다.
이 문제는 Windows 2000 서비스 팩 3(SP3) 기반 서버와 Window Server 2003 기반 서버에서 모두 발생하며 Windows 2000 SP3 및 Windows XP 기반 클라이언트에 모두 영향을 미칩니다.
경우 2: EAP 클라이언트가 대기 모드에서 돌아온 후 다시 연결하려고 하는 경우
EAP 클라이언트로 구성된 컴퓨터가 대기 모드나 최대 절전 전원 관리 모드에서 돌아온 후 EAP 세션 다시 시작 기능을 사용하여 서버에 연결하려고 합니다. 그러나 IAS(인터넷 인증 서비스)에서 현재 EAP 세션 다시 시작 기능을 지원하지 않기 때문에 클라이언트에서 연결을 복원하려고 하면 이 문서의 "현상" 절에서 설명하는 오류 메시지 중 하나나 둘 모두가 클라이언트에 나타납니다.
경우 3: EAP 클라이언트에서 활성 VPN 세션에 다시 연결하려는 경우
클라이어트에서 활성 VPN(가상 사설망) 세션 중 스마트 카드를 제거하고 연결을 끊은 다음 서버에 다시 연결하려고 하면 클라이언트에 다음과 같은 오류 메시지가 나타날 수 있습니다.

오류 0x80090022: 컨텍스트에 생긴 문제로 인하여 해당 작업을 수행할 수 없습니다.

이 문제는 일시적으로 발생하며, 사용자가 다시 연결을 시도하면서 PIN 번호를 입력할 때 PIN 번호가 CSP(암호화 서비스 공급자)로 제대로 전송되지 않은 경우 발생할 수 있습니다. 원격 액세스 서버의 이벤트 로그에 다음과 같은 이벤트 메시지가 나타날 수 있습니다.

날짜: date
원본: Smart Card
로그온 시간: time
범주: 없음
종류: 오류
이벤트 ID: 7
사용자: 해당 없음
컴퓨터: computername
설명:
넣은 스마트 카드를 사용하여 메시지에 서명하는 동안 오류가 발생했습니다. 컨텍스트에 생긴 문제로 인하여 해당 작업을 수행할 수 없습니다. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오. 데이터: 0000: 80090022

경우 4: ISA(Internet Security and Acceleration) 서버가 조각난 패킷을 삭제하도록 구성된 경우
PPTP(지점간 터널링 프로토콜)/1723과 GRE(Generic Routing Encapsulation)를 허용하지만 조각난 패킷을 차단하도록 ISA 서버를 구성하는 경우 클라이언트의 스마트 카드로 연결된 VPN 세션이 종료되고 클라이언트에 다음과 같은 오류 메시지가 나타납니다.

로컬 보안 기관에 연결할 수 없습니다. (오류 0x80090304) 이 연결에 대한 사용자 지정 문제 해결 정보를 보려면 [도움말]을 클릭하십시오.

해결 과정

이 문제를 해결하려면 아래 방법 중 하나를 사용하십시오.
경우 1: 서버 인증서의 키 크기가 464비트 이하인 경우
이 문제를 해결하려면 키 크기가 464비트보다 큰 인증서를 사용하여 서버를 구성하십시오. 최소값 1024를 사용하거나 수명이 긴 키의 경우 2048을 사용하는 것이 좋습니다.
경우 2: EAP 클라이언트가 대기 모드에서 돌아온 후 다시 연결하려고 하는 경우
이 문제를 해결하려면 서버에 다시 연결해 보십시오.
클라이언트가 대기 모드에서 돌아온 후 처음 연결 시도에 실패하고 나서 다시 시도하면 연결에 성공합니다.
경우 3: EAP 클라이언트에서 활성 VPN 세션에 다시 연결하려는 경우
이 문제를 해결하려면 원격 액세스 서버에 다시 연결해 보십시오.
경우 4: ISA(Internet Security and Acceleration) 서버가 조각난 패킷을 삭제하도록 구성된 경우
이 문제를 해결하려면 들어오는 조각난 패킷을 허용하도록 ISA 서버를 구성해야 합니다. 이렇게 하려면 다음과 같이 하십시오.
  1. ISA Management 유틸리티를 시작합니다.
  2. 서버 또는 어레이에서 IP Packet Filters를 찾은 다음 마우스 오른쪽 단추로 누릅니다.
  3. Properties를 누른 다음 Packet Filters 탭을 누릅니다.
  4. Enable filtering of IP fragments 확인란 선택을 취소한 다음 OK를 누릅니다.
신고
posted by System Neophyte
2007.11.29 14:13 Trouble Shooting

현상


사용자가 인증 기관(CA) 웹 등록 페이지에서 인증서를 요청하려고 하면 다음 오류 메시지가 나타납니다.

인증서 템플릿을 찾을 수 없습니다. 이 CA에서 인증서를 요청할 사용 권한이 없거나, Active Directory를 액세스하는 동안 오류가 발생했습니다.

이 문제는 웹 등록 페이지가 엔터프라이즈 CA 서버의 Active Directory 도메인에 있는 경우에 발생합니다. 웹 등록 페이지가 같은 서버에 있든 다른 구성원 서버에 있든 이 문제가 발생합니다.

원인

CA 웹 등록 페이지는 두 값에 대해 대/소문자 구분 문자열 비교를 수행합니다. 하나의 값은 인증서 서버에서 %systemroot%\System32\Certsrv 폴더에 있는 Certdat.inc 파일의 sServerConfig 값이고 다른 하나의 값은 Active Directory에 있는 pkiEnrollmentService 개체의 dnsHostName 특성입니다. 대/소문자 일치를 포함하여 두 문자열이 일치하지 않으면 등록에 실패합니다.

해결 방법

이 문제를 해결하려면 다음 단계를 수행하십시오.
  1. pkiEnrollmentService 개체에서 Active Directory dNSHostName 특성을 봅니다. 이 개체는 다음 위치에 있습니다.

    CN=CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

    dNSHostName 특성을 보려면 ADSIEdit.msc 또는 LDP.exe를 사용합니다.

  2. sServerConfig의 값이 dNSHost Name 특성의 값과 같도록 Certdat.inc 파일을 편집합니다.
  3. 인증서를 요청하려는 사용자가 Internet Explorer를 다시 시작하게 합니다. 이렇게 하면 새 자격 증명을 CA에 전달할 수 있습니다.
신고
posted by System Neophyte
prev 1 next