MakeCert를 사용하여 지점 및 사이트 간 연결에 대한 인증서 생성 및 내보내기

  • 아티클

지점 및 사이트 간 연결은 인증서를 사용하여 인증을 합니다. 이 문서에서는 MakeCert를 사용하여 자체 서명된 루트 인증서를 만들고 클라이언트 인증서를 생성하는 방법을 보여 줍니다. 다른 인증서 지침을 찾는 경우 인증서 - PowerShell 또는 인증서 - Linux를 참조하세요.

Windows 10 이상 PowerShell 단계를 사용하여 인증서를 만드는 것이 좋지만 하나의 선택적 방법으로 이러한 MakeCert 지침을 제공합니다. 두 방법 중 하나를 사용하여 생성하는 인증서는 지원되는 모든 클라이언트 운영 체제에 설치할 수 있습니다. 그러나 MakeCert에는 다음과 같은 제한이 있습니다.

  • MakeCert는 더 이상 사용되지 않습니다. 즉, 언제든지 이 도구가 제거될 수 있습니다. MakeCert를 더 이상 사용할 수 없는 경우 MakeCert를 사용하여 이미 생성한 인증서는 영향을 받지 않습니다. MakeCert는 메커니즘 유효성 검사에 사용되지 않으며 인증서를 생성하는 데에만 사용됩니다.

자체 서명된 루트 인증서 만들기

다음 단계에서는 MakeCert를 사용하여 자체 서명된 인증서를 만드는 방법을 보여 줍니다. 이러한 단계는 배포 모델에 한정되지 않습니다. Resource Manager와 클래식에 대해 모두 유효합니다.

  1. MakeCert를 다운로드 및 설치합니다.

  2. 설치가 끝나면 일반적으로 'C:\Program Files (x86)\Windows Kits\10\bin<arch>' 경로 아래에서 makecert.exe 유틸리티를 찾을 수 있습니다. 하지만 다른 위치에 설치되었을 수도 있습니다. 관리자 권한으로 명령 프롬프트를 열고 MakeCert 유틸리티의 위치로 이동합니다. 적절한 위치에 대해 조정하여 다음 예제를 사용할 수 있습니다.

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. 사용자 컴퓨터의 개인 인증서 저장소에 인증서를 만들고 설치합니다. 다음 예제에서는 P2S를 구성할 때 Azure에 업로드하는 해당 .cer 파일을 만듭니다. 'P2SRootCert' 및 'P2SRootCert.cer'을 인증서에 사용하려는 이름으로 바꿉니다. 인증서는 'Certificates - Current User\Personal\Certificates'에 있습니다.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

공개 키(.cer) 내보내기

자체 서명된 루트 인증서가 만들어지면 프라이빗 키가 아닌 루트 인증서 .cer 파일을 내보냅니다. 나중에 파일에 포함된 필요한 인증서 데이터를 Azure에 업로드합니다. 다음 단계는 자체 서명된 루트 인증서에 대한 .cer 파일을 내보내고 필요한 인증서 데이터를 검색하는 데 도움이 됩니다.

  1. 인증서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다.

    일반적으로 "인증서 - 현재 사용자\개인\인증서"에서 자체 서명된 루트 인증서를 찾아 마우스 오른쪽 단추로 클릭합니다. 모든 작업 ->내보내기를 차례로 클릭합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다.

    "Current User\Personal\Certificates"에서 인증서를 찾을 수 없는 경우 “인증서 -현재 사용자” 대신 실수로 “인증서 - 로컬 컴퓨터”를 열었을 수 있습니다.

    Screenshot shows the Certificates window with All Tasks then Export selected.

  2. 마법사에서 다음을 클릭합니다.

  3. 아니요, 프라이빗를 내보내지 않습니다.를 선택한 후, 다음을 클릭합니다.

    Screenshot shows Do not export the private key.

  4. 내보내기 파일 형식 페이지에서 Base 64로 인코딩된 X.509(.CER)를 선택한 후 다음을 클릭합니다.

    Screenshot shows export Base-64 encoded.

  5. 내보낼 파일에서 인증서를 내보내려는 위치를 찾습니다. 파일 이름에는 인증서 파일의 이름을 입력합니다. 그런 후에 다음을 클릭합니다.

  6. 마침 을 클릭하여 인증서를 내보냅니다.

  7. "내보내기를 완료했습니다."라는 확인 메시지가 표시됩니다.

  8. 인증서를 내보낸 위치로 이동하여 메모장과 같은 텍스트 편집기를 사용하여 엽니다. 인증서를 필요한 Base-64로 인코딩된 X.509(.CER) 형식으로 내보낸 경우 다음 예제와 비슷한 텍스트가 표시됩니다. 파란색으로 강조 표시된 섹션에는 복사하여 Azure에 업로드하는 정보가 포함되어 있습니다.

    Screenshot shows the CER file open in Notepad with the certificate data highlighted.

    파일이 예제와 비슷하지 않은 경우 일반적으로 파일을 Base-64로 인코딩된 X.509(.CER) 형식으로 내보내지 않았음을 의미합니다. 또한 메모장 이외의 다른 텍스트 편집기를 사용하는 경우 일부 편집기에서 의도하지 않은 형식을 백그라운드로 도입할 수 있습니다. 이 경우 인증서의 텍스트를 Azure로 업로드할 때 문제가 발생할 수 있습니다.

exported.cer 파일을 Azure에 업로드해야 합니다. 자세한 내용은 지점 및 사이트 간 연결 구성을 참조하세요. 신뢰할 수 있는 루트 인증서를 추가하려면 문서의 이 섹션을 참조하세요.

자체 서명된 인증서 및 프라이빗 키를 내보내고 저장(선택 사항)

자체 서명된 루트 인증서를 내보낸 다음 안전하게 저장할 수 있습니다. 나중에 다른 컴퓨터에서 해당 인증서를 설치하고 더 많은 클라이언트 인증서를 생성하거나 다른 .cer 파일을 내보낼 수 있습니다. 자체 서명된 루트 인증서를 .pfx로 내보내려면 루트 인증서를 선택하고 클라이언트 인증서 내보내기에서 설명하는 것과 같은 단계를 사용합니다.

클라이언트 인증서 만들기 및 설치

자체 서명된 인증서를 클라이언트 컴퓨터에 직접 설치하지는 않으며, 자체 서명된 인증서에서 클라이언트 인증서를 생성해야 합니다. 그런 다음 클라이언트 인증서를 클라이언트 컴퓨터로 내보낸 후 설치해야 합니다. 이러한 단계는 배포 모델에 관계없이 적용됩니다. Resource Manager와 클래식에 대해 모두 유효합니다.

클라이언트 인증서 생성

지점 및 사이트 간을 사용하여 VNet에 연결하는 각 클라이언트 컴퓨터에 클라이언트 인증서가 설치되어 있어야 합니다. 자체 서명된 루트 인증서에서 클라이언트 인증서를 생성한 후 클라이언트 인증서를 내보내고 설치합니다. 클라이언트 인증서가 설치되어 있지 않으면 인증이 실패합니다.

다음 단계는 자체 서명된 루트 인증서에서 클라이언트 인증서를 생성하는 과정을 안내합니다. 동일한 루트 인증서에서 여러 클라이언트 인증서를 생성할 수 있습니다. 다음 단계를 사용하여 클라이언트 인증서를 생성하는 경우 클라이언트 인증서가 인증서를 생성하는 데 사용하는 컴퓨터에 자동으로 설치됩니다. 다른 클라이언트 컴퓨터에 클라이언트 인증서를 설치하려는 경우 인증서를 내보낼 수 있습니다.

  1. 자체 서명된 인증서를 만드는 데 사용한 동일한 컴퓨터에서 관리자로 명령 프롬프트를 엽니다.

  2. 샘플을 수정 및 실행하여 클라이언트 인증서를 생성합니다.

    • "P2SRootCert"는 클라이언트 인증서를 생성 중인 자체 서명된 루트의 이름으로 변경합니다. 루트 인증서의 이름을 사용하고 있는지 확인합니다. 이 경우에 'CN=' 값은 자체 서명된 루트를 만들 때 지정한 값입니다.
    • P2SChildCert는 생성하는 클라이언트 인증서에 사용할 이름으로 변경합니다.

    다음 예제를 수정하지 않고 실행하면 루트 인증서 P2SRootCert에서 생성된 클라이언트 인증서 P2SChildcert가 개인 인증서 저장소에 저장됩니다.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

클라이언트 인증서 내보내기

클라이언트 인증서를 생성하는 경우 생성하는 데 사용한 컴퓨터에 자동으로 설치됩니다. 클라이언트 인증서를 다른 클라이언트 컴퓨터에 설치하려면 먼저 클라이언트 인증서를 내보내야 합니다.

  1. 클라이언트 인증서를 내보내려면 사용자 인증서 관리를 엽니다. 기본적으로 생성하는 클라이언트 인증서는 'Certificates - Current User\Personal\Certificates'에 있습니다. 내보낼 클라이언트 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 내보내기를 클릭하여 인증서 내보내기 마법사를 엽니다.

    Screenshot shows the Certificates window with All Tasks and Export selected.

  2. 인증서 내보내기 마법사에서 다음을 클릭하여 계속합니다.

  3. 예, 프라이빗 키를 내보냅니다.를 선택한 후, 다음을 클릭합니다.

    Screenshot showing Yes export the private key selected.

  4. 파일 내보내기 형식 페이지에서 선택된 기본값을 유지합니다. 가능하면 인증 경로에 있는 인증서 모두 포함을 선택했는지 확인합니다. 이 설정은 성공적인 클라이언트 인증에 필요한 루트 인증서 정보를 추가로 내보냅니다. 이를 사용하지 않으면 클라이언트에 신뢰할 수 있는 루트 인증서가 없어 클라이언트 인증에 실패합니다. 그런 후에 다음을 클릭합니다.

    Screenshot for export file format page.

  5. 보안 페이지에서 프라이빗 키를 보호해야 합니다. 암호를 사용하도록 선택하는 경우 이 인증서에 대해 설정한 암호를 기록해두거나 기억합니다. 그런 후에 다음을 클릭합니다.

    Screenshot shows password entered and confirmed.

  6. 내보낼 파일에서 인증서를 내보낼 위치를 찾아보기합니다. 파일 이름에는 인증서 파일의 이름을 입력합니다. 그런 후에 다음을 클릭합니다.

  7. 마침 을 클릭하여 인증서를 내보냅니다.

내보낸 클라이언트 인증서 설치

클라이언트 인증서를 설치하려면 클라이언트 인증서 설치를 참조하세요.

다음 단계

지점 및 사이트 간 구성을 계속합니다.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.