일시적인 인증서를 발급하는 데 사용할 수 있는 인증서 템플릿을 만들어야 하며, 도메인에 있는 컴퓨터 중에 이러한 유형의 인증서를 요청할 수 있는 컴퓨터를 지정해야 합니다.

둘 이상의 인증서 템플릿을 생성할 수 있습니다. 도메인당 하나의 템플릿만 구성할 수 있지만 여러 도메인에 걸쳐 템플릿을 공유할 수 있습니다. 예를 들어, 3개의 도메인을 포함하는 Active Directory 포리스트가 있고 세 개의 도메인 모두에 대해 True SSO를 사용하려는 경우 1개, 2개 또는 3개의 템플릿을 구성하도록 선택할 수 있습니다. 모든 도메인이 동일한 템플릿을 공유할 수도 있고 도메인마다 다른 템플릿을 사용할 수도 있습니다.

사전 요구 사항

  • 이 절차에 설명된 템플릿을 만드는 데 사용할 Enterprise CA가 있는지 확인합니다. Enterprise CA 설정의 내용을 참조하십시오.
  • 스마트 카드 인증을 위해 Active Directory를 준비했는지 확인합니다. 자세한 내용은 "Horizon 8 설치 및 업그레이드" 문서의 "Active Directory 준비" 항목을 참조하십시오.
  • 도메인에 보안 그룹을 만들고, 등록 서버에 포리스트를 만들고, 등록 서버의 컴퓨터 계정을 그 그룹에 추가합니다.

프로시저

  1. True SSO를 구성하려면 CA(인증 기관)에 사용하는 시스템에서 운영 체제에 관리자로 로그인하고 관리 도구 > CA(인증 기관)로 이동합니다.
    1. 왼쪽 창에서 트리를 확장하고 인증서 템플릿을 마우스 오른쪽 버튼으로 클릭한 다음 관리를 선택합니다.
    2. 스마트 카드 로그온 템플릿을 마우스 오른쪽 버튼으로 클릭하고 복제를 선택합니다.
    3. 다음 탭에서 다음 사항을 변경합니다.
      조치
      호환성 탭
      • CA(인증 기관)으로 Windows 운영 체제를 선택합니다.
      • 인증서 수신자로 Windows 운영 체제를 선택합니다.
      일반 탭
      • 템플릿 표시 이름을 선택한 이름으로 변경합니다. 예: True SSO.
      • 유효 기간을 일반적인 업무일 기간, 즉 사용자가 시스템에서 로그인을 유지하는 기간으로 변경합니다.

        사용자가 로그인해 있는 동안 네트워크 리소스에 대한 액세스가 끊어지지 않도록, 유효 기간은 사용자 도메인의 Kerberos TGT 갱신 시간보다 길어야 합니다.

        (티켓의 기본 최대 수명은 10시간입니다. 기본 도메인 정책을 찾으려면 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > Kerberos 정책:사용자 티켓 최대 수명으로 이동할 수 있습니다.)

      • 갱신 기간을 유효 기간의 50%-75%로 변경합니다.
      요청 처리 탭
      • 목적에서 서명 및 스마트 카드 로그온을 선택합니다.
      • 스마트 카드를 자동 갱신하려면…을 선택합니다.
      암호화 탭
      • 제공자 범주에서 키 저장소 제공자를 선택합니다.
      • 알고리즘 이름에서 RSA를 선택합니다.
      서버 탭 CA 데이터베이스에 인증서 및 요청 저장 안 함을 선택합니다.
      중요: 발급된 인증서에 해지 정보를 포함하지 않음을 선택 취소합니다. (첫 번째 상자를 선택하면 이 상자가 선택되며, 선택 취소해서 표시를 지워야 합니다.)
      발급 요구 사항 탭
      • 권한 부여 수를 선택하고 상자에 1을 입력합니다.
      • 정책 유형에서 애플리케이션 정책을 선택하고 정책을 인증서 요청 에이전트로 설정합니다.
      • 등록에 다음 필요에서 유효한 기존 인증서를 선택합니다.
      참고:

      스마트 카드 인증서의 자동 갱신을 위해 새 키를 생성할 수 없는 경우 기존 키를 사용합니다.

      보안 탭 등록 서버 컴퓨터 계정에 생성한 보안 그룹에 대해 전제 조건에 설명된 대로 읽기, 등록 권한을 제공합니다.
      1. 추가를 클릭합니다.
      2. 인증서에 대해 등록을 허용할 컴퓨터를 지정합니다.
      3. 이러한 컴퓨터에 대해 적절한 확인란을 선택하여 컴퓨터에 읽기, 등록 권한을 제공합니다.
    4. 새 템플릿 대화 상자의 속성에서 확인을 클릭합니다.
    5. 인증서 템플릿 콘솔 창을 닫습니다.
    6. 인증서 템플릿을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.
      참고: 이 템플릿을 기반으로 인증서를 발급하려는 모든 CA(인증 기관)에 대해 이 단계가 필요합니다.
    7. 인증서 템플릿 사용 창에서 방금 만든 템플릿을 선택하고(예: True SSO 템플릿) 확인을 클릭합니다.
  2. 등록 에이전트 컴퓨터를 구성하려면 CA(인증 기관)에 사용하는 시스템에서 운영 체제에 관리자로 로그인하고 관리 도구 > CA(인증 기관)로 이동합니다.
    1. 왼쪽 창에서 트리를 확장하고 인증서 템플릿을 마우스 오른쪽 버튼으로 클릭한 다음 관리를 선택합니다.
    2. 등록 에이전트 컴퓨터 템플릿을 찾아서 연 다음 보안 탭에서 다음과 같이 변경합니다.
      등록 서버 컴퓨터 계정에 생성한 보안 그룹에 대해 전제 조건에 설명된 대로 읽기, 등록 권한을 제공합니다.
      1. 추가를 클릭합니다.
      2. 인증서에 대해 등록을 허용할 컴퓨터를 지정합니다.
      3. 이러한 컴퓨터에 대해 적절한 확인란을 선택하여 컴퓨터에 읽기, 등록 권한을 제공합니다.
    3. 인증서 템플릿을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.
      참고: 이 템플릿을 기반으로 인증서를 발급하려는 모든 CA(인증 기관)에 대해 이 단계가 필요합니다.
    4. 인증서 템플릿 사용 창에서 등록 에이전트 컴퓨터를 선택하고 확인을 클릭합니다.

다음에 수행할 작업

등록 서비스를 생성합니다.