[Wi-Fi 인증] EAP-TLS 인증서 만들기 - 서버/클라이언트 (Part 2)

안녕하세요.

홍사미 입니다.

 

기존에는 PEAP 관련된 ID/PW 값을 통해서 로그온을 했었는데요.

 

로그인 정보 입력값을 한번 EAP-TLS 인증으로 바꾸기 위해서 진행해보도록 하겠습니다.

 

 

첫번째 ! EAP-TLS 인증을 위한 인증서 만들기!

AD기반의 Certification Authority 에서 생성을 하였으며 회사에서 다른 발급기관이 있으시다면 해당 발급기관에서 발급하시면 될 것 같습니다. :) 

 

템플릿을 통해서 총 2개의 인증서를 만들어야 합니다.

 

① 서버 인증서 - NPS(Radius) 서버 인증에 필요한 인증서

② 클라이언트 인증서 - 사용자 PC에 추가될 인증서

 

아래 항목의 템플릿을 활용해서 두개의 인증서를 만듭니다.

다시 인증서 템플릿 우클릭을 클릭하고 관리를 누릅니다.

 

관리를 들어가서 생성한 템플릿을 확인 후 

 

"일반"탭에서 서버 이름을 원하는 이름으로 변경하고 유효기간도 알맞게 수정합니다. 자체인증서이지만,,
1년마다 변경해주려면 생각보다 힘들긴 하겟죠..

보안을 생각하면 당연히 짧게 가져가야하는게 맞긴 합니다 ^^;

 

우선 서버 인증서부터 만들어 보겠습니다 ~

"주체이름"탭에서 변경

 

"확장" 탭에서 응용 프로그램 정책을 서버 인증만 되도록 편집 합니다.

 

 

중요! "보안"탭에서 Domain Coumputers를 추가하고 읽기와 등록에 "허용"을 클릭합니다.

 

네, 다음은 동일한 템플릿으로 클라이언트 인증서를 만들어 보겠습니다.

 

저는 클라이언트 인증서는 유효기간을 짧게 가져갔습니다. 그룹정책을 통해서 만료될때쯔음 자동으로 갱신이 될테니까요.

 

동일하게 "확장" 탭에서 응용 프로그램 정책에서 클라이언트 인증으로 편집을 하구요

 

"보안" 탭에서 Domain Computer도 동일하게 만들어줍니다.

다음번이 무지하게 중요합니다!!!! 인증이 안되서 시행착오 좀 했네요.

"주체 이름" 탭에서 밑에처럼 DNS 이름 관련 체킹을 해주어야 합니다.

처음에 DNS 이름 관련 체킹을 안 했더니 인증서는 발급됐는데 RADIUS 인증에서 계속 실패했습니다.
원인을 찾는 데 꽤 시간이 걸렸는데, 인증서에 컴퓨터 FQDN 값이 없으면 NPS에서 클라이언트를 식별 못 하더라고요.

 

 

 

네, 오늘은 여기까지만 리뷰하도록 하겠습니다.

 

이제 해당 인증서로 두가지를 진행하면 됩니다.

 

① 서버 인증서를 가지고 Radius 서버에서 발급한 CSR를 발급받아서 자체 인증서로 생성해주기

② 클라이언트 인증서를 GPO 그룹정책으로 자동 배포하기

 

Part3 에서는 위 두가지를 실제로 진행하면서 겪었던 과정을 공유하겠습니다.

 

물론 위의 방법말고 다른 방법으로도 많이 가능할테니, 현재 회사 환경에 알맞게 진행하시면 될 것 같습니다. 

 

오늘 하루도 화이팅입니다다.