이미 CA(인증 기관)가 설정되어 있지 않은 경우에는 Windows 서버에 AD CS(Active Directory Certificate Services) 역할을 추가하고 서버를 Enterprise CA로 구성해야 합니다.

Enterprise CA가 이미 설정되어 있지 않은 경우는 이 절차에 설명된 설정을 사용하고 있는지 확인합니다.

Enterprise CA가 하나 이상 있어야 하며, VMware는 페일오버와 로드 밸런싱을 위해 두 개를 사용할 것을 권장합니다. True SSO용으로 만들 등록 서버는 Enterprise CA와 통신합니다. 환경 서버에서 여러 Enterprise CA를 사용하도록 구성한 경우에는 등록 서버에서 사용 가능한 CA를 번갈아 사용합니다. Enterprise CA를 호스팅하는 동일한 시스템에 등록 서버를 설치하면 등록 서버에서 로컬 CA를 기본으로 사용하도록 구성할 수 있습니다. 이 구성은 최상의 성능을 위해 권장됩니다.

이 절차의 일부는 비영구 인증서 처리를 사용하도록 설정하는 것과 관련되어 있습니다. 기본적으로 인증서 처리에는 각 인증서 요청과 CA 데이터베이스에서 발급된 인증서의 기록 저장이 포함됩니다. 대량의 요청이 지속되면 CA 데이터베이스 성장률이 높아지며, 모니터링하지 않을 경우 사용 가능한 디스크 공간을 모두 소비할 수 있습니다. 비영구 인증서 처리를 사용하도록 설정하면 CA 데이터베이스 성장률과 데이터베이스 관리 작업의 빈도를 줄이는 데 도움이 됩니다.

사전 요구 사항

  • Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016 또는 Windows Server 2019 가상 시스템을 생성합니다.
  • 가상 시스템이 Horizon 7 배포를 위한 Active Directory 도메인에 속하는지 확인합니다.
  • IPv4 환경을 사용하고 있는지 확인합니다. 이 기능은 현재 IPv6 환경에서 지원되지 않습니다.
  • 시스템에 고정 IP 주소가 있는지 확인합니다.

프로시저

  1. 가상 시스템 운영 체제에 관리자로 로그인하여 서버 관리자를 시작합니다.
  2. 역할 추가에 사용할 설정을 선택합니다.
    운영 체제 선택
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    1. 역할 및 기능 추가를 선택합니다.
    2. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택합니다.
    3. 대상 서버 선택 페이지에서 서버를 선택합니다.
    Windows Server 2008 R2
    1. 탐색 트리에서 역할을 선택합니다.
    2. 역할 추가를 클릭하여 역할 추가 마법사를 시작합니다.
  3. 서버 역할 선택 페이지에서 Active Directory 인증서 서비스를 선택합니다.
  4. 역할 및 기능 추가 마법사에서 기능 추가를 클릭하고 관리 도구 포함 확인란을 선택된 상태로 둡니다.
  5. 기능 선택 페이지에서 기본값을 그대로 사용합니다.
  6. 역할 서비스 선택 페이지에서 CA(인증 기관)를 선택합니다.
  7. 표시되는 메시지에 따라 설치를 완료합니다.
  8. 설치가 완료되면 설치 진행 페이지에서 대상 서버에 Active Directory 인증서 서비스 구성 링크를 클릭하여 AD CS 구성 마법사를 엽니다.
  9. 자격 증명 페이지에서 다음을 클릭하고 다음 표에 설명된 대로 AD CS 구성 마법사 페이지를 완료합니다.
    옵션 조치
    역할 서비스 CA(인증 기관)를 선택한 후, 구성이 아닌 다음을 클릭합니다.
    설정 유형 Enterprise CA를 선택합니다.
    CA 유형 루트 CA 또는 종속 CA를 선택합니다. 2계층 PKI 배포를 선호하는 기업도 있습니다. 자세한 내용은 http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx의 내용을 참조하십시오.
    개인 키 새 개인 키 만들기를 선택합니다.
    CA의 암호화 해시 알고리즘으로는 SHA1, SHA256, SHA384 또는 SHA512를 선택할 수 있습니다. 키 길이로는 1024, 2048, 3072 또는 4096을 선택할 수 있습니다.

    VMware에서는 최소 SHA256 및 2048 키를 권장합니다.

    CA 이름 기본값을 수락하거나 이름을 변경합니다.
    유효 기간 기본값인 5년을 수락합니다.
    인증서 데이터베이스 기본값을 수락합니다.
  10. 확인 페이지에서 구성을 클릭하고 마법사가 구성에 성공한 것을 보고하면 마법사를 닫습니다.
  11. 명령 프롬프트를 열고 다음 명령을 입력하여 비영구 인증서 처리를 위한 CA를 구성합니다.
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  12. CA에서 오프라인 CRL(인증서 해지 목록) 오류를 무시하려면 다음 명령을 입력합니다. 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    이 플래그가 필요한 이유는 True SSO에서 사용하는 루트 인증서가 보통 오프라인이고, 따라서 예정대로 해지 확인이 실패하기 때문입니다.
  13. 다음 명령을 입력하여 서비스를 다시 시작합니다. 
    sc stop certsvc
sc start certsvc

다음에 수행할 작업

인증서 템플릿을 생성합니다. True SSO에 사용하는 인증서 템플릿 만들기의 내용을 참조하십시오.