서비스 관리자 마법사를 사용하여 Windows Server 2012 인증 기관(CA)을 설정할 수 있습니다.
다음은 Microsoft CA를 설정하는 표준 단계입니다. 여기에서는 랩 환경에서 사용하기에 적합한 간단한 형식으로 단계를 상세화하지만, 실제 생산 시스템의 경우 CA 구성을 위한 업계 모범 사례를 따르는 것이 좋습니다.
CA 설정에 대한 추가 안내가 필요한 경우, 표준 Microsoft 기술 참조서(Active Directory 인증서 서비스 단계별 가이드 및 루트 인증 기관 설치)를 확인하십시오.
참고: 이 항목에 있는 절차는 Windows Server 2012 R2의 경우입니다. Windows Server 2008 R2에서 매우 유사한 단계를 따를 수 있습니다.
프로시저
- 서버 관리자 대시보드에서 역할 및 기능 추가를 클릭하여 마법사를 열고 다음을 클릭합니다.
- 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택하고 다음을 클릭합니다.
- 서버 선택 페이지에서 기본값을 그대로 두고 다음을 클릭합니다.
- 서버 역할 페이지에서:
- Active Directory 인증서 서비스를 선택합니다.
- 대화 상자에서 관리 도구 포함(있는 경우)을 선택하고 기능 추가를 클릭합니다.
- 다음을 클릭합니다.
- 기능 페이지에서 다음을 클릭합니다.
- AD CS 페이지에서 다음을 클릭합니다.
- 역할 서비스 페이지에서 인증 기관을 선택하고 다음을 클릭합니다.
- 확인 페이지에서 [자동으로 대상 서버를 다시 시작해야 함]을 선택하고 설치를 클릭합니다.
설치 진행률이 표시됩니다. 설치가 완료되면 URL 링크가 표시되어, 대상 서버에서 "Active Directory 인증서 서비스 구성"으로 새로 설치된 CA를 구성할 수 있습니다.
- 구성 링크를 클릭하여 구성 마법사를 시작합니다.
- [자격 증명] 페이지의 엔터프라이즈 관리자 그룹에서 사용자 자격 증명을 입력하고 다음을 클릭합니다.
- 역할 서비스 페이지에서 CA를 선택하고 다음을 클릭합니다.
- 설정 유형 페이지에서 [엔터프라이즈 CA]를 선택하고 다음을 클릭합니다.
- [CA 유형] 페이지에서 적절한 루트 또는 하위 CA(이 예제에서는 루트 CA)를 선택하고 다음을 클릭합니다.
- [개인 키] 페이지에서 [새 개인 키 만들기]를 선택하고 다음을 클릭합니다.
- [암호화] 페이지에서 다음과 같이 정보를 입력합니다.
필드 |
설명 |
암호화 공급자 |
RSA#Microsoft 소프트웨어 키 스토리지 제공자 |
키 길이 |
4096(또는 원하는 경우 다른 길이) |
해시 알고리즘 |
SHA256(또는 원하는 경우 다른 SHA 알고리즘) |
- CA 이름 페이지에서 원하는 대로 구성하거나 기본값을 승인하고 다음을 클릭합니다.
- [유효 기간] 페이지에서 원하는 대로 구성하고 다음을 클릭합니다.
- [인증서 데이터베이스] 페이지에서 다음을 클릭합니다.
- [확인] 페이지에서 정보를 검토하고 구성을 클릭합니다.
- 다음 작업을 수행하여 구성 프로세스를 완료합니다(명령 프롬프트에서 모든 명령 실행).
- 비영구 인증서 처리를 위한 CA 구성
certutil –setreg DBFlags
+DBFLAGS_ENABLEVOLATILEREQUESTS
- CA가 오프라인 CRL 오류를 무시하도록 구성
certutil –setreg ca\CRLFlags
+CRLF_REVCHECK_IGNORE_OFFLINE
- CA 서비스 다시 시작
net stop certsvc
net start certsvc
- CA에서 인증서 템플릿 설정의 단계에 따라 CA에서 인증서 템플릿을 설정합니다.