안녕하세요
이동철입니다.
5월 포스팅이 좀 늦었죠 ^-^,, 점점 게을러 지는 제 모습을 보고, IT 업계의 은퇴가 얼마 남지 않았음을 느낍니다. 그래도 여러 가지 정황상 IT 일을 좀 더 해야 하는데,,, 어쩔 수 없죠,, 걍 열심히 하는 수 밖에,,,, 여러분들도 늘 파이팅 하시기를….
이번 주제는 제목과 같이 Windows Server 2012의 ADCS를 이용한 사설 Two-Tier Hierarchy PKI 설치 및 구성에 관한 내용입니다.
Two-Tier Hierarchy PKI 라고 하니,, 뭔가 대단한 것이 있을 것으로 생각하신다면,, 오해이시구요…
Two-Tier Hierarchy PKI는 Standalone Offline Root CA를 구성하고, 하위에 Enterprise Subordinate CA를 구성하는 구조입니다.
Standalone Offline Root CA는 실제 컴퓨터 인증서 및 사용자 인증서와 같은 단말 컴퓨터나 단말 사용자를 위한 인증서를 직접 발급하는 것이 아니라, 오로지 하위의 별도의 CA에만 CA 자신의 인증서만을 발급하는 인증 기관입니다.
그렇다면, 실제 컴퓨터 인증서 및 사용자 인증서와 같은 단말 컴퓨터나 단말 사용자를 위한 인증서를 직접 발급하는 역할은 바로 Enterprise Subordinate CA가 수행합니다.
그럼 이러한 복잡한 계층 구조의 PKI를 구성하는 이유는 무엇일까요? 바로 보안적인 이유 때문입니다. 즉, 실제 인증서를 단일 계층 구조의 Root CA가 직접 발급하게 되면, 해당 Root CA 서버는 항상 online 상태이어야 합니다. 이와 같이 Root CA가 항상 online 상태라면, 보안적으로 위험에 노출되는 확률이 그 만큼 높다고 봐야 합니다. 이러한 구조의 단점을 해결하기 위한 Two-Tier 또는 Mulit-Tier Hierarchy 구조로 PKI를 구성하기를 권장합니다.
실제 최상위 Root CA는 워크 그룹 서버에 설치 및 구성한 후, 네트워크에서 분리시킵니다. 분리 시킨 후, 하위에 Enterprise Subordinate CA를 설치 및 구성할 경우에, 별도의 이동 저장 장치를 통해, Enterprise Subordinate CA 자신의 인증서를 요청 및 submit 합니다. 이러한 구조를 이용하게 되면, 최상위 Root CA는 네트워크에서 분리되어 있으므로, 보안적으로 좀 더 안정적인 구조를 유지할 수 있습니다. 최상위 Root CA가 네트워크에 연결되어 있는 경우에, 해커로부터 최상위 Root CA의 Private Key를 도난 당한다면, 전체 PKI 구조를 해커가 장악할 수 있는 경우도 가정할 수 있습니다.
Two-Tier Hierarchy PKI 구조에서 아래와 같이 구성할 것을 권장합니다.
- Standalone Offline Root CA: Workgroup으로 서버 설치
- Enterprise Subordinate CA: Active Directory Domain 멤버 서버 설치
본 가이드의 데모 환경은 아래와 같습니다.
- Standalone Offline Root CA: Contoso Root CA (CA01, 192.168.0.11)
- Enterprise Subordinate CA: Contoso Issuing CA (CA02.CONTOSO.com, 192.168.0.12)
본 가이드에는 Two-Tier Hierarchy PKI를 구성한 후, 그룹 정책을 이용한 인증서 자동 발급을 위한 간단한 구성 방안도 Exercise 7에 소개했습니다. 기타 인증서에 관한 좀 더 세밀한 내용은 아래 링크를 참조하세요.
- [Dongclee 의 12월 첫번째 포스팅] 도대체 Windows OS 환경에서의 PKI는 어떻게 배포 및 관리하면 될까요? ( http://blogs.technet.com/b/dongclee/archive/2010/11/30/dongclee-12-windows-os-pki.aspx )
곧 6월입니다. 6월 포스팅은 게으름 피우지 않고 최대한 빨리 하도록 노력하겠습니다.
늘 건강하세요.