다음을 통해 공유

자습서: Always On VPN에 대한 인증 기관 템플릿 구성

이 자습서에서는 Always On VPN 배포에 대한 CA(인증 기관) 템플릿을 구성하는 방법을 보여 줍니다. 샘플 환경에서 Always On VPN을 배포하는 시리즈를 계속합니다. 이전에 시리즈에서 샘플 인프라를 배포했습니다.

CA 템플릿은 VPN 서버, NPS 서버 및 사용자에게 인증서를 발급하는 데 사용됩니다. 인증서는 클라이언트에 대한 VPN 서버 및 NPS 서버를 인증하고 VPN 서버에 사용자를 인증하는 데 사용됩니다.

이 자습서에서는 다음을 수행합니다.

  • 사용자 인증 템플릿을 만듭니다.
  • VPN 서버 인증 템플릿을 만듭니다.
  • NPS 서버 인증 템플릿을 만듭니다.
  • 사용자 인증서를 등록하고 유효성을 검사합니다.
  • VPN 서버 인증서를 등록하고 유효성을 검사합니다.
  • NPS 서버 인증서를 등록하고 유효성을 검사합니다.

다양한 템플릿에 대한 설명은 다음과 같습니다.

Template Description
사용자 인증 템플릿 이 템플릿은 VPN 클라이언트에 대한 사용자 인증서를 발급하는 데 사용됩니다. 사용자 인증서는 VPN 서버에 사용자를 인증하는 데 사용됩니다.

사용자 인증 템플릿을 사용하면 업그레이드된 호환성 수준을 선택하고 Microsoft 플랫폼 암호화 공급자를 선택해 인증서 보안을 향상시킬 수 있습니다. Microsoft 플랫폼 암호화 공급자를 사용하면 클라이언트 컴퓨터에서 TPM(신뢰할 수 있는 플랫폼 모듈) 을 사용하여 인증서를 보호할 수 있습니다. 사용자 템플릿은 자동 등록을 위해 구성됩니다.
VPN 서버 인증 템플릿 이 템플릿은 VPN 서버에 대한 서버 인증서를 발급하는 데 사용됩니다. 서버 인증서는 클라이언트에 대한 VPN 서버를 인증하는 데 사용됩니다.

VPN 서버 인증 템플릿을 사용하여 IP 보안(IPsec) IKE 중간 애플리케이션 정책을 추가합니다. IP 보안(IPsec) IKE 중간 애플리케이션 정책은 인증서 사용 방법을 결정하며, 둘 이상의 인증서를 사용할 수 있는 경우 서버에서 인증서를 필터링하도록 허용할 수 있습니다. VPN 클라이언트는 공용 인터넷에서 이 서버에 액세스하므로 주체와 대체 이름은 내부 서버 이름과 다릅니다. 따라서 자동 등록을 위해 VPN 서버 인증서를 구성하지 않습니다.
NPS 서버 인증 템플릿 이 템플릿은 NPS 서버에 대한 서버 인증서를 발급하는 데 사용됩니다. NPS 서버 인증서는 VPN 서버에 NPS 서버를 인증하는 데 사용됩니다.

NPS 서버 인증 템플릿을 사용하면 표준 RAS 및 IAS 서버 템플릿을 복사하고 NPS 서버의 범위를 지정합니다. 새 NPS 서버 템플릿에 서버 인증 애플리케이션 정책이 포함됩니다.

지원되는 통합, 보안 및 연결 기능을 포함하여 Always On VPN에 대한 자세한 내용은 Always On VPN 개요를 참조하세요.

Prerequisites

이 자습서를 완료하려면 다음이 필요합니다.

  • 이전 자습서의 모든 단계를 완료하려면 Always On VPN 인프라를 배포합니다.

  • Active Directory 도메인에 가입된 Always On VPN에 연결하기 위해 지원되는 버전의 Windows를 실행하는 Windows 클라이언트 디바이스입니다.

사용자 인증 템플릿 생성

  1. 이 자습서에서 도메인 컨트롤러인 Active Directory 인증서 서비스가 설치된 서버에서 인증 기관 스냅인을 엽니다.

  2. 왼쪽 창에서 인증서 템플릿 을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.

  3. 인증서 템플릿 콘솔에서 사용자를 마우스 오른쪽 단추로 클릭하고 중복 템플릿을 선택합니다. 모든 탭에 대한 정보 입력을 마칠 때까지 적용 또는 확인을 선택하지 마세요. 일부 선택 항목은 템플릿을 만들 때만 구성할 수 있습니다. 모든 매개 변수를 입력하기 전에 이러한 단추를 선택하면 변경할 수 없습니다. 그렇지 않으면 템플릿을 삭제하고 다시 만들어야 합니다.

  4. 새 템플릿의 속성 대화 상자의 일반 탭에서 다음 단계를 완료합니다.

    1. 템플릿 표시 이름VPN 사용자 인증 을 입력합니다.

    2. Active Directory에서 인증서 게시 확인란의 선택을 취소합니다.

  5. 보안 탭에서 다음 단계를 완료합니다.

    1. 추가를 선택합니다.

    2. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 VPN 사용자를 입력한 다음 확인을 선택합니다.

    3. 그룹 또는 사용자 이름 에서 VPN 사용자 를 선택합니다.

    4. VPN 사용자에 대한 사용 권한 에서 허용 열에서 등록자동 등록 확인란을 선택합니다.

      Important

      읽기 권한 확인란을 선택한 상태로 유지해야 합니다. 등록에 대한 읽기 권한이 필요합니다.

    5. 그룹 또는 사용자 이름 에서 도메인 사용자를 선택한 다음 제거 를 선택합니다.

  6. 호환성 탭에서 다음 단계를 완료합니다.

    1. 인증 기관에서Windows Server 2016을 선택합니다.

    2. 결과 변경 내용 대화 상자에서 확인을 선택합니다.

    3. 인증서 받는 사람에서 Windows 10/Windows Server 2016을 선택합니다.

    4. 결과 변경 내용 대화 상자에서 확인을 선택합니다.

  7. 요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용을 취소합니다.

  8. 암호화 탭에서 다음 단계를 완료합니다.

    1. 공급자 범주에서 키 스토리지 공급자를 선택합니다.

    2. 요청은 다음 공급자 중 하나를 사용해야 합니다 를 선택합니다.

    3. Microsoft 플랫폼 암호화 공급자Microsoft 소프트웨어 키 스토리지 공급자 를 모두 선택합니다.

  9. 제목 이름 탭에서 주체 이름 및 전자 메일 이름에 전자 메일 포함 이름을웁다.

  10. 확인을 선택하여 VPN 사용자 인증 인증서 템플릿을 저장합니다.

  11. 인증서 템플릿 콘솔을 닫습니다.

  12. 인증 기관 스냅인의 왼쪽 창에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 발급할 인증서 템플릿을 선택합니다.

  13. VPN 유저 인증 을 선택한 다음 확인 을 선택합니다.

VPN Server 인증 템플릿 생성하기

  1. 인증 기관 스냅인의 왼쪽 창에서 인증서 템플릿 을 마우스 오른쪽 단추로 클릭하고 관리를 선택하여 인증서 템플릿 콘솔을 엽니다.

  2. 인증서 템플릿 콘솔에서 RAS 및 IAS 서버 를 마우스 오른쪽 버튼으로 클릭하고 중복 템플릿 을 선택합니다 . 모든 탭에 대한 정보 입력을 마칠 때까지 적용 또는 확인을 선택하지 마세요. 일부 선택 항목은 템플릿을 만들 때만 구성할 수 있습니다. 모든 매개 변수를 입력하기 전에 이러한 단추를 선택하면 변경할 수 없습니다. 그렇지 않으면 템플릿을 삭제하고 다시 만들어야 합니다.

  3. 새 템플릿의 속성 대화 상자의 일반 탭에 있는 템플릿 표시 이름에서 VPN 서버 인증을 입력합니다.

  4. 확장 탭에서 다음 단계를 완료 합니다 .

    1. 애플리케이션 정책을 선택한 다음 편집을 선택합니다.

    2. 애플리케이션 정책 확장 편집 대화에서 추가 를 클릭합니다.

    3. 애플리케이션 정책 추가 대화 상자에서 IP 보안 IKE 중간 을 선택한 다음 확인 을 선택합니다.

    4. 확인을 선택하여 새 템플릿의 속성 대화 상자로 돌아갑니다.

  5. 보안 탭에서 다음 단계를 완료합니다.

    1. 추가를 선택합니다.

    2. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 VPN 사용자 를 입력한 다음, 확인 을 선택합니다.

    3. 그룹 혹은 사용자 이름 에서 VPN 사용자 를 선택합니다.

    4. VPN 서버에 대한 사용 권한허용 열에서 등록 을 선택합니다.

    5. 그룹 또는 사용자 이름 에서 RAS 및 IAS 서버 를 선택한 다음 제거 를 선택합니다.

  6. 주체 이름 탭에서 다음 단계를 완료합니다.

    1. 요청에서 공급 을 선택합니다.

    2. 인증서 템플릿 경고 대화 상자에서 확인을 선택합니다.

  7. 확인을 선택하여 VPN Server 인증서 템플릿을 저장합니다.

  8. 인증서 템플릿 콘솔을 닫습니다.

  9. 인증 기관 스냅인의 왼쪽 창에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음 발급할 인증서 템플릿을 선택합니다.

  10. VPN 유저 인증 을 선택한 뒤 확인 을 선택합니다.

  11. VPN 서버를 다시 시작합니다.

NPS Server 인증 템플릿 생성하기

  1. 인증 기관 스냅인의 왼쪽 창에서 인증서 템플릿 을 마우스 오른쪽 단추로 클릭하고 관리를 선택하여 인증서 템플릿 콘솔을 엽니다.

  2. 인증서 템플릿 콘솔에서 RAS 및 IAS 서버 를 마우스 오른쪽 버튼으로 클릭하고 중복 템플릿 을 선택합니다 . 모든 탭에 대한 정보 입력을 마칠 때까지 적용 또는 확인을 선택하지 마세요. 일부 선택 항목은 템플릿을 만들 때만 구성할 수 있습니다. 모든 매개 변수를 입력하기 전에 이러한 단추를 선택하면 변경할 수 없습니다. 그렇지 않으면 템플릿을 삭제하고 다시 만들어야 합니다.

  3. 새 템플릿의 속성 대화 상자의 일반 탭에 있는 템플릿 표시 이름에서 NPS 서버 인증을 입력합니다.

  4. 보안 탭에서 다음 단계를 완료합니다.

    1. 추가를 선택합니다.

    2. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 NPS 사용자 를 입력한 다음, 확인 을 선택합니다.

    3. 그룹 혹은 사용자 이름 에서 NPS 사용자 를 선택합니다.

    4. NPS 서버에 대한 사용 권한허용 열에서 등록 을 선택합니다.

    5. 그룹 또는 사용자 이름 에서 RAS 및 IAS 서버 를 선택한 다음 제거 를 선택합니다.

  5. 확인을 선택하여 NPS 서버 인증서 템플릿을 저장합니다.

  6. 인증서 템플릿 콘솔을 닫습니다.

  7. 인증 기관 스냅인의 왼쪽 창에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음 발급할 인증서 템플릿을 선택합니다.

  8. NPS 유저 인증 을 선택한 뒤 확인 을 선택합니다.

이제 인증서를 등록하고 유효성을 검사하는 데 필요한 인증서 템플릿을 만들었습니다.

사용자 인증서 등록과 유효성 검사

그룹 정책은 사용자 인증서를 자동 등록하도록 구성되므로 정책이 Windows 클라이언트 디바이스에 적용되면 사용자 계정을 올바른 인증서에 자동으로 등록합니다. 그런 다음 로컬 디바이스의 인증서 콘솔에서 인증서 의 유효성을 검사할 수 있습니다.

정책이 적용되고 인증서가 등록되어 있는지 확인하려면 다음을 수행합니다.

  1. VPN 사용자 그룹에 대해 만든 사용자로 Windows 클라이언트 디바이스에 로그인합니다.

  2. 명령 프롬프트를 열고 다음 명령을 실행합니다. 또는 Windows 클라이언트 디바이스를 다시 시작합니다.

    gpupdate /force

  3. 시작 메뉴에서 certmgr.msc를 입력하고 Enter 키를 누릅니다.

  4. 인증서 스냅인의 개인에서 인증서를 선택합니다. 인증서가 세부 정보 창에 나타납니다.

  5. 현재 도메인 사용자 이름이 있는 인증서를 마우스 오른쪽 단추로 클릭한 다음 열기를 선택합니다.

  6. 일반 탭에서 유효한 날짜 아래에 나열된 날짜가 오늘 날짜인지 확인합니다. 그렇지 않은 경우, 잘못된 인증서를 선택했을 수 있습니다.

  7. 확인을 선택하고 인증서 스냅인을 닫습니다.

VPN 서버 인증서 등록과 유효성 검사

VPN 서버의 인증서를 등록하려면 다음을 수행합니다.

  1. VPN 서버의 시작 메뉴에서 certlm.msc 를 입력하여 인증서 스냅인을 열고 Enter 키를 누릅니다.

  2. 개인을 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 새 인증서 요청을 선택하여 인증서 등록 마법사를 시작합니다.

  3. 시작하기 전에 페이지에서 다음을 선택합니다.

  4. 인증서 등록 정책 선택 페이지에서 다음을 선택합니다.

  5. 인증서 요청 페이지에서 VPN 서버 인증 을 선택합니다.

  6. VPN 서버 확인란 아래에서 인증서 속성 대화 상자를 열려면 추가 정보가 필요합니다 를 선택합니다.

  7. 제목 탭을 선택하고 제목 이름 섹션에 다음 정보를 입력합니다.

    1. 형식의 경우 일반 이름을 선택합니다.
    2. 의 경우 클라이언트가 VPN에 연결하는 데 사용하는 외부 도메인의 이름을 입력합니다(예: vpn.contoso.com).
    3. 추가를 선택합니다.

  8. 확인을 선택하여 인증서 속성을 닫습니다.

  9. 등록을 선택합니다.

  10. 마침을 선택합니다.

VPN 서버 인증서의 유효성을 검사하려면 다음을 수행합니다.

  1. 인증서 스냅인의 개인에서 인증서를 선택합니다. 나열된 인증서가 세부 정보 창에 나타나 있어야 합니다.

  2. VPN 서버 이름이 있는 인증서를 마우스 오른쪽 단추로 클릭한 다음 열기를 선택합니다.

  3. 일반 탭에서 유효한 날짜 아래에 나열된 날짜가 오늘 날짜인지 확인합니다. 그렇지 않은 경우, 잘못된 인증서를 선택했을 수 있습니다.

  4. 세부 정보 탭에서 향상된 키 사용을 선택하고 IP 보안 IKE 중간서버 인증이 목록에 표시되는지 확인합니다.

  5. 확인을 선택하여 인증서를 닫습니다.

NPS 인증서 등록 및 유효성 검사하기

NPS 인증서를 등록하려면 다음을 수행합니다.

  1. NPS 서버의 시작 메뉴에서 certlm.msc 를 입력하여 인증서 스냅인을 열고 Enter 키를 누릅니다.

  2. 개인을 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 새 인증서 요청을 선택하여 인증서 등록 마법사를 시작합니다.

  3. 시작하기 전에 페이지에서 다음을 선택합니다.

  4. 인증서 등록 정책 선택 페이지에서 다음을 선택합니다.

  5. 인증서 요청 페이지에서 NPS 서버 인증 을 선택합니다.

  6. 등록을 선택합니다.

  7. 마침을 선택합니다.

NPS 인증서의 유효성을 검사하려면 다음을 수행합니다.

  1. 인증서 스냅인의 개인에서 인증서를 선택합니다. 나열된 인증서가 세부 정보 창에 나타나 있어야 합니다.

  2. NPS 서버 이름이 있는 인증서를 마우스 오른쪽 단추로 클릭한 다음 열기를 선택합니다.

  3. 일반 탭에서 유효한 날짜 아래에 나열된 날짜가 오늘 날짜인지 확인합니다. 그렇지 않은 경우, 잘못된 인증서를 선택했을 수 있습니다.

  4. 확인을 선택하고 인증서 스냅인을 닫습니다.

다음 단계

이제 인증서 템플릿을 만들고 인증서를 등록했으므로 Always On VPN 연결을 사용하도록 Windows 클라이언트 디바이스를 구성할 수 있습니다.

자습서: Windows 클라이언트 디바이스에 대한 Always On VPN 연결 만들기

  • Last updated on