할 일기본 사용자 계정을 사용하도록 네트워크 디바이스 등록 서비스 구성

적용 대상: Windows Server(지원되는 모든 버전)

추가 단계가 필요한 사용자 계정을 지정하도록 NDES를 구성하는 것이 좋습니다. 기본 제공 애플리케이션 풀 ID를 선택하는 경우 다른 구성이 필요하지 않습니다.

이 문서에서는 지정된 서비스 계정으로 실행되도록 NDES(네트워크 디바이스 등록 서비스)를 구성하는 방법에 대해 알아봅니다.

NDES를 사용하면 라우터 및 기타 네트워크 디바이스가 할 일기본 자격 증명을 사용하지 않고 SCEP(단순 인증서 등록 프로토콜)에 따라 인증서를 가져올 수 있습니다.

SCEP는 기존 CA(인증 기관)를 사용하여 네트워크 디바이스에 안전하고 확장 가능한 방식으로 인증서를 발급하도록 지원하기 위해 개발되었습니다. 이 프로토콜은 CA 및 등록 기관 공개 키 배포, 등록 및 인증서 해지 쿼리를 지원합니다.

NDES 및 단순 인증서 등록 프로토콜을 사용하여 인증서를 사용하는 방법에 대한 자세한 내용은 Active Directory 인증서 서비스에 대한 네트워크 디바이스 등록 서비스가란?을 참조하세요.

필수 조건

AD CS(Active Directory Certificate Services)용 NDES 역할 서비스를 설치한 후 다음 필수 구성 요소를 충족하는지 확인합니다.

• 할 일기본 사용자 계정이어야 합니다.

• 로컬 IIS_IUSRS 그룹의 구성원이 됩니다.

• 구성된 CA(인증 기관)에 대한 요청 권한이 있습니다.

• 자동으로 구성된 NDES 인증서 템플릿에 대한 읽기 및 등록 권한이 있습니다.

• CNAME 또는 부하가 분산된 네트워크 이름을 사용하는 경우 Active Directory 도메인 Services에서 SPN(서비스 주체 이름)을 구성합니다.

NDES 서비스 계정 역할을 하는 할 일기본 사용자 계정 만들기

다음으로 할 일기본 사용자 계정을 NDES 서비스 계정으로 만들어야 합니다.

1. Active Directory Domain Services 원격 서버 관리 도구가 설치되어 있는 도메인 컨트롤러 또는 관리 컴퓨터에 로그인합니다. 도메인에 사용자를 추가할 권한이 있는 계정을 사용하여 Active Directory 사용자 및 컴퓨터를 엽니다.

2. 콘솔 트리에서 사용자 계정을 만들 컨테이너가 표시될 때까지 구조를 확장합니다. 예를 들어 일부 조직에는 서비스 OU 또는 이와 유사한 계정이 있습니다. 컨테이너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 사용자를 선택합니다.

3. 새 개체 - 사용자 텍스트 상자에 모든 필드에 적절한 이름을 입력하여 사용자 계정을 만드는 것이 분명합니다. 서비스 계정 만들기에 대한 조직의 정책이 있는 경우 이러한 정책을 따라야 합니다. 예를 들어 다음을 입력한 다음 다음을 선택할 수 있습니다.

   • 이름: Ndes

   • 성: 서비스

   • 사용자 로그온 이름: NdesService

4. 계정에 대해 복잡한 암호를 설정하고 암호를 확인해야 합니다. 서비스 계정에 대한 조직의 보안 정책에 해당하는 암호 옵션을 구성하세요. 암호가 만료되도록 구성된 경우 필요한 간격으로 암호를 재설정할 수 있는 프로세스가 있어야 합니다.

5. 다음을 선택한 다음 완료를 선택합니다.

팁

• New-ADUser Windows PowerShell 명령을 사용하여 할 일기본 사용자 계정을 추가할 수도 있습니다.

• AD DS(Active Directory 도메인 서비스) 구성에 따라 NDES에 대한 관리 서비스 계정 또는 그룹 관리 서비스 계정을 구현할 수도 있습니다. 관리 서비스 계정에 대한 자세한 내용은 관리 서비스 계정을 참조하세요. 그룹 관리 서비스 계정에 대한 자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.

로컬 IIS_IUSRS 그룹에 NDES 서비스 계정 추가

do기본 사용자 계정을 NDES 서비스 계정으로 성공적으로 만든 후에는 이 NDES 서비스 계정을 로컬 IIS_IUSRS 그룹에 추가해야 합니다.

1. NDES 서비스를 호스팅하는 서버에서 컴퓨터 관리(compmgmt.msc)를 엽니다.

2. 컴퓨터 관리 콘솔 트리에서 시스템 도구 아래의 로컬 사용자 및 그룹을 확장합니다. 그룹을 선택합니다.

3. 세부 정보 창에서 IIS_IUSRS 선택합니다.

4. 일반 탭에서 추가를 선택합니다.

5. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 서비스 계정으로 구성한 계정의 사용자 로그인 이름을 입력합니다.

6. 이름 확인을 선택하고 확인을 두 번 선택한 다음 컴퓨터 관리를 닫습니다.

팁

로컬 IIS_IUSRS 그룹에 NDES 서비스 계정을 추가하는 데 사용할 net localgroup IIS_IUSRS <domain>\<username> /Add 수도 있습니다. 명령 프롬프트 또는 Windows PowerShell을 관리istrator로 실행해야 합니다. 자세한 내용은 Add-LocalGroupMember] PowerShell 명령을 참조하세요.

CA에 대한 요청 권한 설정

NDES 서비스 계정은 NDES에서 사용할 CA에 대한 권한을 요청해야 합니다.

1. NDES에서 사용할 CA에서 CA 관리 권한이 있는 계정으로 CA 콘솔을 엽니다.

2. 인증 기관 콘솔을 엽니다. CA를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

3. 보안 탭에서 인증서 요청 권한이 있는 계정을 확인할 수 있습니다. 기본적으로 Authenticated Users 그룹에 이 권한이 있습니다. 만든 서비스 계정은 사용 중일 때 인증된 사용자의 구성원입니다. 인증된 사용자에게 요청 인증서 권한이 있는 경우 더 많은 권한을 부여할 필요가 없습니다. 그러나 그렇지 않은 경우 CA에 대한 NDES 서비스 계정 요청 인증서 권한을 부여해야 합니다. 수행할 작업:

   • 추가를 선택합니다.

   • 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 텍스트 상자에 NDES 서비스 계정의 이름을 입력하고 이름 확인을 선택한 다음 확인을 선택합니다.

   • NDES 서비스 계정이 선택되어 있는지 확인합니다. 인증서 요청 에 해당하는 허용 확인란이 선택되어 있는지 확인합니다. 확인을 선택합니다.

NDES에 대한 서비스 주체 이름을 설정해야 하는지 확인

부하 분산 장치 또는 가상 이름을 사용하는 경우 Active Directory에서 SPN(서비스 사용자 이름)을 구성해야 합니다. 이 섹션에서는 Active Directory에서 SPN을 설정해야 하는지 여부를 확인하는 방법을 알아봅니다.

• 단일 NDES 서버와 실제 호스트 이름(가장 일반적인 시나리오)을 사용하는 경우 계정에 SPN이 등록되어 있지 않습니다. HOST/computerFQDN에 대한 컴퓨터 계정 기본 SPN은 이 경우를 다룹니다. 다른 모든 기본값(특히 IIS 커널 모드 인증 관련)을 사용하는 경우 이 문서의 다음 섹션으로 건너뛸 수 있습니다.

• 사용자 지정 A 레코드를 호스트 이름으로 사용하거나 가상 IP를 사용한 부하 분산을 사용하는 경우 SCEPSvc(NDES 서비스 계정)에 대해 SPN을 등록해야 합니다. NDES 서비스 계정에 대해 SPN을 등록하려면 다음을 수행합니다.

  1. 명령을 입력할 때 다음의 Setspn -s HTTP/<computerfqdn> <domainname\accountname> Setspn 명령 구문을 사용합니다. 예를 들어 할 일기본 Fabrikam.comNDES CNAME이고 NDESFARM이름이 지정된 SCEPSvc서비스 계정을 사용하고 있습니다. 이 예제에서는 다음 명령을 실행합니다.

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. 그런 다음 사이트에 대해 IIS 커널 모드 인증을 사용하지 않도록 설정합니다.

NDES 역할 서비스 설정

설치가 완료되면 NDES 컴퓨터 구성을 완료하기 위해 몇 가지 단계를 수행해야 합니다.

NDES가 CA에 설치된 경우 로컬 CA가 사용되므로 CA를 선택할 기회가 없습니다.

CA가 아닌 컴퓨터에 NDES를 설치하는 경우 대상 CA를 선택해야 합니다. CA 이름 또는 컴퓨터 이름을 사용하여 CA를 선택할 수 있습니다.

CA를 선택하려면 다음을 수행합니다.

1. 서버 관리자 AD CS 구성을 엽니다.

2. NDES용 CA에서 선택

3. CA 이름 또는 컴퓨터 이름을 선택한 다음 선택을 선택합니다.

4. 선택한 옵션에 따라 다음에 표시되는 대화 상자의 유형이 결정됩니다.

   • CA 이름을 클릭하면 선택할 수 있는 CA 목록이 있는 인증 기관 선택 대화 상자가 표시됩니다.

     또는

   • 컴퓨터 이름을 클릭한 경우 위치를 설정하고 CA로 지정할 컴퓨터 이름을 입력할 수 있는 컴퓨터 선택 대화 상자가 표시됩니다.

이제 NDES 역할 서비스 설정을 완료할 준비가 되었습니다. 다시 기본 단계는 등록 기관 정보를 확인하고 암호화를 설정하는 것입니다.

1. 제공하는 RA(등록 기관) 정보는 서비스에 발급된 서명 인증서를 생성하는 데 사용됩니다. 서버 관리자. RA 정보를 선택합니다.

2. 모든 필드를 확인하고 RA 정보가 올바른지 확인합니다(또는 기본값으로 설정됨).

NDES는 두 개의 인증서와 해당 키를 사용하여 디바이스 등록을 사용하도록 설정합니다. 조직은 서로 다른 CSP(암호화 서비스 공급자)를 사용하여 이러한 키를 저장하거나 서비스에서 사용하는 키의 길이를 변경할 수 있습니다. 암호화 애플리케이션 프로그래밍 인터페이스(CryptoAPI) 서비스 공급자만 RA 키에 대해 지원됩니다. 암호화 API; CNG(차세대) 공급자는 지원되지 않습니다.

1. 암호화를 구성하려면 서버 관리자 NDES에 대한 암호화를 선택합니다.

2. 서명 키 공급자 및/또는 암호화 키 공급자의 값을 입력하고 키 길이 값을 결정합니다.

3. 마법사를 계속 진행하여 NDES 설치를 완료합니다.

역할 서비스를 구성했으므로 NDES 구성 및 작업에 대한 자세한 내용은 AD CS(Active Directory 인증서 서비스)의 NDES(네트워크 디바이스 등록 서비스)를 참조하세요.

팁

NDES 또는 NDES에서 사용되는 인증서 템플릿에 대한 구성을 변경하는 경우 NDES, IIS 및 CA 서비스를 중지하고 다시 시작해야 합니다.

다음 단계

• 네트워크 디바이스 등록 서비스에서 정책 모듈 사용

• AD CS(Active Directory Certificate Services) PKI(공개 키 인프라) FAQ(질문과 대답)