[Wi-Fi 인증] EAP-TLS 서버/클라이언트 인증서 구성 및 GPO 배포 (Part 3 - 완결)

안녕하세요오오.

홍사미입니다.

 

저번 Part2에서 만든 인증서템플릿을 활용해서 서버와 클라이언트에 각각 인증서를 생성하고 배포해줄거예요.

 

우선, 서버 측면에서의 설정이 중요합니다.

흐름을 간단하게 설명하자면 회사 내부에 Radius 역할을 하는 서버가 있을거예요.

서버는 MS의 NPS, FortiNet의 FortiAuthenticator, Cisco의 ISE 등 많고 해당 서버에 각 Radius 역할을 하게 되는거죠 ^^

 

그럼 그 Radius에서 CSR을 생성해서 해당 CSR을 활용해서 CA서버(ADCS)가 서명을 통해서 인증서를 발급하게 되죠.

서명된 인증서를 가지고 Radius에 EAP-TLS 인증을 위해서 인증서를 적용하게 되는겁니다.

 

그렇다면!!! Part2에서 만든 클라이언트 템플릿 기억나시죠 ?
 모든 직원 PC에 클라이언트 인증서를 자체 발급을 해주게되면 클라이언트 인증서와 서버 인증서가 서로 상호작용한 뒤에 정상동작을 하게 됩니다다다다.

 

클라이언트에서 Wi-Fi 연결을 시도하면 Radius 서버 인증서 측에서는 확인 후 둘다 동일한 CA에서 서명한 인증서이기 때문에 신뢰할 수 있고 인가된 장비로 인식하게 되는거죠 ^_^ 

 

TIP, 개인키는 각각 보관하고 공개키만 서로 교환해서 CA가 인정한 인증서인지를 확인하는 구조

 

그러고 연결에 성공!~

 

서버측 설정 방법에 대해서 한번 간단하게 설명드리겠습니다.

 

저같은 경우에는 FAC이라는 Radius를 사용했고 해당 인증서 경로에서 CSR를 생성하였습니다.

 

CSR의 내용을 PEM으로 나오는 내용이 아래와 같습니다.

(하기 PEM 내용은 AI로 만든 작동하지 않는 내용입니다.)

 

해당 CSR을 가지고 CA서버로 갑니다.

전 ADCS를 사용중에 있습니다. :)

 

URL을 아래와 같이 입력하고

http://ca서버 FQDN/certsrv 입력 후 엔터를 누릅니다.

 

 

 CSR을 입력 후 템플릿 선택 후 제출! 버튼을 클릭하면 인증서를 다운받을 수 있습니다.

인증서템플릿을 이때! 이전에 만든 서버인증서로 사용할 템플릿을 선택해주는 것이 포인트입니다.

 

 

해당 인증서를 가지고 Radius 서버에서 업로드만 하면 서버측의 구성은 끝났습니다.

 

 

이제 클라이언트측 구성할 차례입니다. 간단하게 설정방법 공유하겠습니다.

① 인증서 자동 등록(Auto-Enrollmet) ② 무선 프로파일 배포(Wi-Fi 설정)

이렇게 두개만 GPO 그룹정책으로 내려주면 완료됩니다. 아래 그룹정책 참고 해주세요 ^^

              Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policies

 

Certificate Services Client - "Auto Enrollment" 사용

"갱신 만료된 인증서 업데이트" 체크

"인증서 템플릿 기반 인증서 업데이트" 체크

 

아래항목도 경로랑 설정값 확인해주시면 됩니다 :0

 

 

정책을 정상적으로 받고나면 클라이언트 PC에 인증서가 정상적으로 생긴 것을 확인할 수 있습니다.

 

 

 

이후에는 방사된 SSID의 EAP-TLS의 정상 연결되는 것을 확인할 수 있습니다.

 

 

이렇게 3편에 걸쳐서 PEAP-MSCHAPv2에서 EAP-TLS로 전환하는 전체 과정을 정리해봤습니다.

전환 후에는 비밀번호 변경으로 인한 Wi-Fi 문의가 거의 사라졌고,
사용자들도 아무것도 안 해도 Wi-Fi가 알아서 붙으니까 만족도가확 올라갔습니다.

같은 고민을 하고 계신 IT 관리자분들께 도움이 되었으면 좋겠습니다.

모두들 화이티티팅!!! 🔥