Windows Server 2008이 나오면… (11) – PKI, Certificate


꼬알라주 : Windows Server Codename Longhorn의 이름이 Windows Server 2008로 바뀜에 따라 제목과 태그를 변경합니다.

3년여전부터, 제가 지인에게 또는 세미나에서 몇가지 말씀드렸던 사항이 있었습니다. IT 인프라를 계획, 구현하실 때, 꼭 이 사항들에 대해서 고려하시면 좋겠다라는 권유였던 것으로 기억합니다. 그때는 인프라에서 중요한 역할을 하지 않았고, 없더라도 구현, 사용하시는데 큰 에로 사항이 없었을 수도 있습니다. 그 중 하나에 대해서 오늘 이야기드려볼까 합니다. 꼭 한번쯤 스터디나 고려하셨으면 합니다.

Windows Server 2008 베타, 정식 버전이 출시되고 나면, 상당히 무게가 실릴 기술이 하나 있습니다. 현재에도 통용되고 있는 기술이고, 없어도 사용자가 사용하시는데는 아무런 문제가 없는 기술일 수 있습니다. 그렇지만 매우매우매우 중요한 기술이라고 생각됩니다. 바로

인증서(Certificate)입니다.

인증서에 대해 이야기하려면 Public Key Infrastructure(PKI)부터 이야기를 드려야 합니다만, 기본 사항이므로 바로 인증서 이야기를 간단하게 하고자 합니다.

사용자 인증서 레벨보다 SSL, TLS 기술을 사용하기 위한 서버 인증용 인증서를 의미합니다. HTTP라는 프로토콜의 특성상 암호화되지 않은 상태(Clear Text)로 데이터를 주고 받기 때문에, 네트워크 캡쳐링 도구를 이용하면 누구든지 살펴볼 수 있습니다. HTTP 프로토콜은 우리가 일상에서 매우 밀접하게 사용중에 있는 기술이고, 얼마전 모든 개인 정보를 다루는 사이트에 대해서는 HTTPS를 필수 사항으로 적용해야 한다는 것도 이런 사항에서 비롯된 사실입니다. (3월 15일 TechNet 뉴스레터 참조)

여러분께서 사용, 또는 운영하시는 사이트나 기술중 HTTP에 암호화를 적용한 경우가 얼마나 됩니까? 에 대해 생각해보시면 좋겠습니다.

자.. 그렇다면 Microsoft의 기술에 SSL, TLS가 언제부터 뚜렷하게 보이기 시작했는가? 한번 거슬러서 한번 생각해보겠습니다.

Exchange Server 2007이 출시되면서 전송(Transport) 레벨에서의 암호화에 대한 기능들이 상당수 추가되었고, 인증 서비스(Certificate Service)가 없을 경우엔 셀프 사인(Self-Sign) 인증서까지 생성해서 설치를 마무리 짓습니다. Exchange Server 2007간의 내,외부(중요한 사실은 내부간 교신에도 TLS를 이용한 암호화를 한다는 것입니다.)간 SMTP 교신은 모두 TLS를 이용한 암호화를 이용합니다.

Exchange Server 2003시절에는 RPC over HTTP 기술을 이용하시려면 SSL이 필수 사항이었습니다.

Windows Server 2008이 출시되면 더욱 많은 기능의 기반으로 SSL, TLS 인증서를 요구합니다.

Windows Server 2008내 Internet Explorer를 이용하여 인증서를 받기 위해 서버에 접근했을 경우 나타나는 경고문입니다.(http://서버이름/certsrv) 물론 IE의 설정을 변경하신다면, 기존처럼 받으실 수도 있고, Windows Server 2003, XP, Vista의 경우에는 HTTP로도 접근하셔서 인증서를 받으실 수 있습니다.

HTTP 프로토콜을 이용하여 보안과 관련된 데이터(인증 데이터, 인증서 관련 정보, 시스템 교신 데이터등등등)가 송,수신될때는 거의 대부분에 대해서 HTTPS를 권유, 요구하게 됩니다.

Terminal Service Gateway, Network Access Protection(NAP) with IPSec, Health Registation Authority, Active Directory Federation Service등등 많은 서비스와 시나리오가 HTTPS(SSL)을 필수적으로 요구하고 있으며, Active Directory Lightweight Directory Service(기존 ADAM), Windows Remote Management, Certificate Web Enrollment, Active Directory Right Management Service(기존 RMS)는 HTTPS를 이용하지 않을 경우, 특정 기능이 동작하지 않게 됩니다.

 

오늘의 이야기에서는 SSL, TLS를 위한 인증서에 대해서만 말씀드렸습니다만, IPSec을 이용하는 NAP의 경우에는 인증서를 이용하여 컴퓨터 상호간 인증 및 암호화를 지원할 수 있기 때문에, SSL, TLS 이상의 인증서 기반 지식이 있으시면 더욱 유리해집니다. 또한 무선 네트워크에 대한 보안 강화 방법론으로 Wi-Fi를 사용하실 경우에도 상호 인증 및 교신 데이터 암호화를 위해 인증서를 사용합니다.(이부분이 복잡하고 어렵게 느껴지셔서 WEP를 이용하시는 것도 많이 들었던 사항입니다.)

시간이 허락되실 때, 아래의 문서나 책에 대해서 한번쯤 살펴보시는 것에 대해 적극 권유드리고 싶습니다.

PKI와 인증서 서비스에 대한 이해

Windows Server 2003 PKI and Certificate Security

Comments (4)

  1. Anonymous says:

    2007년 4월 3일부터 하나, 둘씩 써오던 Windows Server 2008 (Codename Longhorn)의 이야기가 40편에 이르렀습니다. 그동안 많은 관심 가져주셨던 분들께

  2. Anonymous says:

    8월 20일에 한번 정리했던 URL을 다시 한번 정리합니다. 이제 Windows Server 2008 (Codename Longhorn)의 이야기가 52편에 이르렀습니다. 그동안 많은

  3. 엘도라도 says:

    사용자 인증서 레벨보다 SSL, TLS 기술을 사용하기 위한 서버 인증용 인증서를 의미합니다. HTTP라는 프로토콜의 특성상 암호화되지 않은 상태(Clear Text)로 데이터를 주고 받기 때문에,

    <== 위 내용 중에 SSL, TLS 기술 링크가 변경 된 듯 합니다.

    다시 한번 봐주세요 ^^

  4. 예린아빠 says:

    좋은 자료 감사합니다.

    한가지 문의를 드려도 될지 모르겠습니다.

    IIS7 ASP.NET Client가 Certificate 인증 방식으로 구성되어 있는 원격지 WCF Service를 사용하고자 할 때, 인증서 접근 오류 에러가 발생합니다. MMC 인증서에서 개인키 사용권한 계정에 networkservice계정을 추가해도 마찬가지 입니다. 웹상에서 누구는 결국 가상계정으로 어드민그룹 계정을 넣었다고 하는데 무엇이 문제일 까요?

Skip to main content