1. [인증서 서비스(CA)란? 내부 보안의 근간이 되는 기술 이해]
인증서 서비스(Certificate Authority, CA)는 암호화된 통신을 위한 디지털 인증서를 발급하고 관리하는 시스템입니다.
Windows Server에서는 Active Directory Certificate Services(AD CS) 역할을 통해 이 기능을 제공합니다.
인증서는 클라이언트와 서버 간 신뢰할 수 있는 통신(HTTPS, VPN, IPsec 등) 을 가능하게 해줍니다.
회사 내부에서 자체적으로 인증서를 발급하고 관리하면, 외부 CA를 사용하지 않아도 되며,
비용 절감 + 통제력 향상이라는 이점을 동시에 얻을 수 있습니다.
▸ 내부 CA가 필요한 경우 예시:
- 내부 웹 포털(https://intranet.local) 운영
- 사내 VPN 접속 인증
- 무선 네트워크(EAP-TLS 방식) 인증
- 사용자/기기 인증서 자동 배포(GPO 연동)
▸ 초보자 포인트:
CA 없이도 SSL 사이트는 만들 수 있지만, “보안 경고”가 뜨며 브라우저 신뢰를 받지 못합니다.
내부 CA를 구축하면 이런 경고 없이 정상적인 보안 연결이 가능합니다.
2. [AD CS 역할 설치 – Windows Server GUI로 따라하기]
Windows Server 2022에서 인증서 서비스를 구축하려면 먼저 Active Directory Certificate Services 역할을 설치해야 합니다.
초보자도 쉽게 따라할 수 있도록 순수 GUI 절차만 안내합니다.
▸ 설치 절차 (역할 기반):
- 서버 관리자(Server Manager) 실행
- 역할 및 기능 추가 클릭
- 설치 유형: 역할 기반 또는 기능 기반 설치 선택
- 서버 선택 후 → Active Directory Certificate Services(AD CS) 체크
- 하위 기능 선택:
- [필수] 인증 기관(Certification Authority)
- [선택] 웹 등록, 정책 모듈 등 (처음엔 기본 CA만 설치 추천)
- 설치 완료 후 설치 후 구성 버튼 클릭
▸ 설치 후 구성 마법사 설정 항목:
- CA 유형 선택:
- 엔터프라이즈 CA (도메인에 가입된 서버인 경우)
- 스탠드얼론 CA (도메인과 독립된 서버인 경우)
- 루트 또는 하위 CA:
- 대부분 루트 CA 선택 (최상위 신뢰기관)
- 암호화 설정:
- 기본 키 길이(2048비트 이상), SHA256 사용 권장
- 유효기간:
- 기본 5년 → 조직 정책에 따라 조정 가능
▸ 초보자 주의사항:
루트 CA로 설정한 서버는 향후 삭제나 재설치를 쉽게 하면 안 됩니다.
조직 전체의 인증서 체계가 무너질 수 있습니다.
3. [인증서 발급 및 템플릿 설정 – 실무 활용 준비하기]
CA 설치만으로는 끝이 아닙니다. 실제로 클라이언트에 인증서를 발급하려면 템플릿 설정과 발급 권한 구성이 필요합니다.
▸ 기본 인증서 템플릿 이해하기:
Windows는 여러 기본 템플릿을 제공합니다.
예: 사용자 인증서(User), 컴퓨터 인증서(Computer), 웹 서버(Web Server)
▸ 템플릿 발급 절차 (GUI):
- 서버 관리자 > 도구 > 인증 기관 실행
- 좌측 트리에서 인증서 템플릿 우클릭 → 새로 발급 선택
- 사용할 템플릿 선택 (예: Web Server, User 등)
▸ 템플릿 수정 절차 (권한/유효기간/서명 설정 조정):
- 인증서 템플릿 콘솔에서 템플릿 복제 → 고유 설정 부여
- 예: 암호화 키 길이 변경, 인증서 유효기간 1년 → 2년 연장
- 보안 탭에서 인증 요청 권한 부여 (Domain Users, Domain Computers 등)
▸ 실무 팁:
- 웹 서버에 HTTPS 설정 시 Web Server 템플릿 사용
- 사용자 로그인 인증 시 User 템플릿 활용
- 모든 요청은 관리자가 수동 승인 또는 자동 발급 여부 설정 가능
4. [클라이언트에 인증서 배포하기 – GPO와 수동 설치 방법]
서버에서 인증서를 발급했더라도, 클라이언트에 전달되지 않으면 의미가 없습니다.
Windows 도메인 환경에서는 그룹 정책(GPO) 을 통해 자동 배포할 수 있으며, 수동 방식도 존재합니다.
▸ 자동 배포 – GPO를 통한 루트 인증서 신뢰 배포:
- 그룹 정책 관리 콘솔(GPMC) 실행
- 새 GPO 생성 또는 기존 GPO 편집
- 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책
- 신뢰할 수 있는 루트 인증 기관 항목에 → CA 서버의 루트 인증서 추가
▸ 자동 등록 설정(GPO):
- 자동 등록 설정 사용 정책 활성화
→ 클라이언트는 로그인 시 자동으로 인증서를 요청하고, 받아옴
▸ 수동 설치 – 테스트용 소규모 환경:
- 클라이언트에서 CA 서버 웹 주소 접속: http://ca-server/certsrv
- 웹 포털에서 직접 인증서 요청 및 설치 가능
▸ 초보자 팁:
GPO 적용 후 클라이언트에 바로 적용되지 않을 경우 gpupdate /force를 실행하거나 재부팅이 필요합니다.
5. [CA 서버 운영 시 주의사항과 보안 유지 전략]
▸ ① CA 서버는 일반 서버와 분리 운영 권장
- 보안적으로 중요한 역할을 하므로, 파일 공유나 일반 업무용 서버로 사용하지 말 것
- 외부 접속 차단, 방화벽 설정 필수
▸ ② 정기적인 백업 필수 항목:
- CA 데이터베이스
- CA 개인 키
- CA 구성 정보
→ 이 세 가지는 CA 백업 마법사 또는 Windows Server 백업으로 주기적으로 저장 필요
▸ ③ 인증서 해지 목록(CRL) 관리
- 만료되었거나 취소된 인증서는 CRL로 관리
- 웹 서버 또는 AD에 게시 필요
- 클라이언트는 인증서 유효성을 CRL로 확인
▸ ④ 유효기간 관리 및 재발급 전략
- CA 자체 인증서 만료 시 전체 재구축이 필요할 수 있음
- 5년 또는 10년 단위로 미리 갱신 시점 계획 수립 필요
▸ 차별화 포인트:
일반적인 설치 설명에서는 템플릿이나 GPO 배포, 백업 전략까지 다루지 않는 경우가 많습니다.
본 가이드는 단순한 구축이 아닌 운영, 보안, 실무 적용까지 포괄한 내용으로 구성되어 있어 실무 현장에서 바로 사용할 수 있는 자료입니다.
'윈도우 서버' 카테고리의 다른 글
| 서버 로그 분석으로 보안 이상징후 감지하기 – 실무자용 위협 탐지 전략 (0) | 2025.07.18 |
|---|---|
| 서비스 계정 관리와 보안 최적화 방법 – Windows Server 환경 실무 가이드 (0) | 2025.07.18 |
| Windows Server Core vs Desktop Experience 차이점 분석 – 실무 환경에서의 선택 가이드 (0) | 2025.07.18 |
| 서버 모니터링 도구 추천 및 성능 튜닝 가이드 – 실무 적용 중심 (0) | 2025.07.16 |
| SMB 설정 및 네트워크 공유 폴더 최적화 – Windows Server 2022 실무 가이드 (0) | 2025.07.16 |
| Windows Server 2022 로컬 사용자 및 그룹 관리 완벽 가이드 (GUI 중심 실무편) (0) | 2025.07.16 |
| 스토리지 공간(Storage Spaces)으로 RAID 대체하기 – Windows Server 실무 가이드 (0) | 2025.07.15 |
| NTFS vs ReFS: Windows Server 파일 시스템 선택 가이드 (0) | 2025.07.15 |
