이미 CA(인증 기관)가 설정되어 있지 않은 경우에는 Windows 서버에 AD CS(Active Directory Certificate Services) 역할을 추가하고 서버를 Enterprise CA로 구성해야 합니다.

사전 요구 사항

Microsoft Certificate Services의 기존 인스턴스가 있는 경우 True SSO에 대한 하위 CA를 설정할지 여부를 고려합니다. 기존 인스턴스에서 True SSO를 지원하는 데 필요한 변경 사항을 이해하려면 VMware KB(기술 자료) 문서 https://kb.vmware.com/s/article/2149312를 참조하십시오.

Microsoft 인증서 서비스의 기존 인스턴스가 없는 경우 Microsoft 설명서를 참조하여 사용할 배포 유형을 결정하십시오. Microsoft 설명서를 보려면 https://docs.microsoft.com에서 사용할 수 있는 Microsoft 설명서의 "서버 인증서 배포 개요" 문자열을 검색하십시오.

새 루트 CA(인증 기관)를 배포하려면 https://docs.microsoft.com에서 사용할 수 있는 Microsoft 설명서의 "인증 기관 설치" 문자열을 검색합니다.

프로시저

  1. 명령 프롬프트를 열고 다음 명령을 입력하여 비영구 인증서 처리를 위한 CA를 구성합니다.
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS 
  2. (선택 사항) 루트 CA CRL이 만료될 수 있는 경우 서비스 중단을 방지하려면 다음 명령을 입력합니다.
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    참고: True SSO에서 사용하는 루트 CA가 오프라인으로 유지되는 경우 이 설정이 필요할 수 있습니다. 루트 CA를 온라인으로 유지하거나 루트 CA CRL을 최신 상태로 유지하는 자동 절차가 있는 경우 이 설정을 건너뛸 수 있습니다.
  3. 다음 명령을 입력하여 서비스를 다시 시작합니다.
    sc stop certsvc
    sc start certsvc

다음에 수행할 작업

인증서 템플릿을 생성합니다. True SSO에 사용하는 인증서 템플릿 만들기의 내용을 참조하십시오.