3단계 OTP 인증서 배포 계획

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

RADIUS 서버를 계획한 후에는 OTP(일회성 암호) 인증서를 발급하는 CA, OTP 인증서 템플릿 및 원격 액세스 서버에서 모든 DirectAccess 클라이언트 OTP 인증서 요청에 서명하는 데 사용하는 등록 기관 인증서를 포함하여 CA(인증 기관) 요구 사항을 계획해야 합니다. 이러한 인증서는 다음과 같이 사용됩니다.

  1. DirectAccess 클라이언트는 OTP 인증서를 요청하고 원격 액세스 서버는 요청을 받습니다.

  2. 원격 액세스 서버는 OTP 자격 증명을 확인하고 유효한 경우 서버는 등록 기관 역할을 하며 단기 서명 인증서를 사용하여 OTP 인증서 등록 요청에 서명합니다.

  3. 원격 액세스 서버가 서명된 인증서 등록 요청을 DirectAccess 클라이언트로 다시 보냅니다.

  4. 그런 다음 클라이언트는 서버에서 서명한 인증서 등록 요청을 사용하여 CA에서 OTP 인증서를 등록합니다.

  5. CA는 자격 증명 및 요청을 확인합니다.

작업 설명
3.1 OTP CA 계획 OTP 인증을 위해 DirectAccess 클라이언트에 인증서를 발급하는 데 사용할 CA(인증 기관)를 계획합니다.
3.2 OTP 인증서 템플릿 계획 OTP 인증서 템플릿을 계획합니다.
3.3 등록 기관 인증서 계획 모든 OTP 인증 인증서 요청에 서명하도록 등록 기관 인증서를 계획합니다.

3.1 OTP CA 계획

OTP(일회성 암호 인증)를 사용하여 DirectAccess를 배포하려면 내부 CA가 DirectAccess 클라이언트 컴퓨터에 OTP 인증 인증서를 발급해야 합니다. 이를 위해 일반 IPsec 컴퓨터 인증에 사용되는 인증서를 발급하는 데 사용하는 것과 동일한 내부 CA를 사용할 수 있습니다.

3.2 OTP 인증서 템플릿 계획

내부 네트워크에 액세스하려면 각 DirectAccess 클라이언트에 OTP 인증 인증서가 필요합니다. 내부 CA에서 OTP 인증서에 대한 템플릿을 구성해야 합니다. OTP 인증서 템플릿을 구성할 때 다음을 참고하세요.

  • OTP 인증을 수행해야 하는 모든 사용자에게는 이 템플릿에 대한 읽기 및 등록 권한이 있어야 합니다.

  • 주체 이름이 인증서 요청을 수행하는 원격 액세스 서버의 이름이 아닌 OTP 사용자 이름과 일치하도록 Active Directory 정보에서 주체 이름을 작성해야 합니다. 주체 이름은 완전히 구별된 이름 형식이어야 하며 주체 대체 이름은 UPN 형식이어야 합니다. 이렇게 하면 등록된 OTP 인증서가 스마트 카드 Kerberos 인증에 유효합니다.

  • 인증서의 용도는 스마트 카드 로그온이어야 합니다.

  • 발급에는 하나의 권한 있는 서명이 필요합니다. 서명은 등록 기관 서명 인증서 템플릿에 설정된 미리 정의된 DirectAccess OTP 애플리케이션 정책으로 구성해야 합니다.

  • 유효 기간은 1시간으로 설정해야 합니다.

    참고

    CA 서버가 Windows Server 2003 컴퓨터인 경우 다른 컴퓨터에서 템플릿을 구성해야 합니다. 이는 2008/Vista 이전의 Windows 버전을 실행할 때 유효 기간을 시간으로 설정하는 것이 불가능하기 때문입니다. 템플릿을 구성하는 데 사용하는 컴퓨터에 인증 서비스 역할이 설치되어 있지 않거나 클라이언트 컴퓨터인 경우 인증서 템플릿 스냅인을 설치해야 할 수 있습니다. 이 주제에 대한 자세한 내용은 여기를 클릭하세요.

  • 갱신 기간은 0으로 설정해야 합니다.

  • (선택 사항) 인증서 및 요청은 CA 데이터베이스에 저장해서는 안 됩니다.

  • 인증서 확장 키 사용 매개 변수는 다음과 같이 올바르게 설정해야 합니다.

    • DirectAccess 등록 서명 인증서 템플릿의 경우 키 1.3.6.1.4.1.311.81.1.1을 사용합니다.

    • OTP 인증 인증서 템플릿의 경우 키 1.3.6.1.4.1.311.20.2.2 키를 사용합니다.

3.3 등록 기관 인증서 계획

DirectAccess 클라이언트가 OTP 인증서를 요청하면 원격 액세스 서버가 클라이언트로부터 요청을 받습니다. 원격 액세스 서버는 등록 기관 인증서를 사용하여 클라이언트의 모든 OTP 인증서 요청에 서명합니다. CA는 원격 액세스 서버의 등록 기관 인증서에 의해 요청이 서명된 경우에만 인증서를 발급합니다. 인증서는 내부 CA에서 발급해야 하며 인증서는 자체 서명할 수 없습니다. OTP 인증서를 발급한 CA에서 발급할 필요는 없지만 OTP 인증서를 발급하는 CA는 등록 기관 서명 인증서를 발급하는 CA를 신뢰해야 합니다.