DetailPage-MSS-KB

기술 자료

기술 자료: 321051 - 마지막 검토: 2007년 10월 29일 월요일 - 수정: 8.2

이 페이지에서

요약

LDAP(Lightweight Directory Access Protocol)는 Active Directory에서 읽고 쓰는 데 사용됩니다. 기본적으로 LDAP 트래픽은 보안되지 않은 상태로 전송됩니다. SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 기술을 사용하여 LDAP 트래픽의 기밀과 보안을 유지할 수 있습니다. 이 문서의 지침에 따라 Microsoft CA(인증 기관) 또는 Microsoft 이외의 CA의 적절히 포맷된 인증서를 설치하여 SSL을 통한 LDAP(LDAPS)를 설정할 수 있습니다.

추가 정보

LDAPS를 구성하는 사용자 인터페이스는 없습니다. 도메인 컨트롤러에 유효한 인증서를 설치하면 LDAP 서비스가 LDAP와 글로벌 카탈로그 트래픽에 대해 SSL 연결을 수신 대기하고 자동으로 받을 수 있습니다.

LDAPS 인증서 요구 사항

LDAPS를 설정하려면 다음 요구 사항을 만족하는 인증서를 설치해야 합니다.
  • LDAPS 인증서는 로컬 컴퓨터의 개인 인증서 저장소에 있습니다. 프로그램 방식으로는 컴퓨터의 내 인증서 저장소라고 합니다.
  • 인증서에 일치하는 개인 키는 로컬 컴퓨터의 저장소에 있으며 인증서와 올바르게 연결됩니다. 개인 키는 강력한 개인 키 보호가 설정되어 있지 않아야 합니다.
  • 향상된 키 용도 확장명에는 서버 인증(1.3.6.1.5.5.7.3.1) 개체 ID(OID라고도 함)가 포함됩니다.
  • 도메인 컨트롤러의 Active Directory 정식 도메인 이름(예: DC01.DOMAIN.COM)은 다음 위치 중 한 곳에 나타나야 합니다.
    • 제목 필드의 일반 이름(CN)
    • 주체 대체 이름 확장에서 DNS 항목
  • 인증서는 도메인 컨트롤러와 LDAPS 클라이언트가 신뢰하는 CA에서 발행했습니다. 클라이언트와 서버가 발급 CA가 연결된 루트 CA를 신뢰하도록 구성함으로써 신뢰가 설정됩니다.
인증서에 대한 신뢰 설정에 대한 자세한 내용은 Windows 2000 Server 도움말에서 "루트 인증 기관 신뢰 성립 정책" 항목을 참조하십시오.

인증서 요청 만들기

유효한 PKCS #10 요청을 만드는 유틸리티 또는 응용 프로그램을 사용하여 SSL 인증서 요청을 구성할 수 있습니다. Certreq를 사용하여 요청을 구성합니다.

Certreq.exe는 도메인 컨트롤러의 해당 X.509 인증서 요청을 생성하기 위한 텍스트 지시 파일이 필요합니다. 기본 ASCII 텍스트 편집기를 사용하여 이 파일을 만들 수 있습니다. 파일을 .inf 파일로 하드 드라이브의 폴더에 저장합니다.

LDAPS에 적합한 서버 인증 인증서를 요청하려면 다음 단계를 수행하십시오.
  1. .inf 파일을 만듭니다.

    다음은 인증서 요청을 만드는 데 사용할 수 있는 예제 .inf 파일입니다.
     ----------------- request.inf ----------------- [Version] Signature="$Windows NT$ [NewRequest] Subject = "CN=<DC fqdn>" ; replace with the FQDN of the DC KeySpec = 1 KeyLength = 1024 ; Can be 1024, 2048, 4096, 8192, or 16384. ; Larger key sizes are more secure, but have ; a greater impact on performance. Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication ----------------------------------------------- 
    Request.inf라는 새 텍스트 파일에 예제 파일을 잘라내어 붙여 넣습니다. 요청에 도메인 컨트롤러의 정식 DNS 이름을 제공합니다.
  2. 요청 파일을 만듭니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
    certreq -new request.inf request.req
    Request.req라는 새 파일이 만들어집니다. 이 파일은 base64 인코드된 요청 파일입니다.
  3. 요청을 CA로 전송합니다. 요청을 Microsoft CA 또는 타사 CA로 전송할 수 있습니다.
  4. 발급된 인증서를 검색한 다음 인증서를 요청 파일과 같은 폴더에 Certnew.cer로 저장합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. Certnew.cer라는 새 파일을 만듭니다.
    2. 메모장에서 파일을 열고 인코딩된 인증서를 파일에 붙여 넣은 다음 파일을 저장합니다.
    참고 저장된 인증서는 base64로 인코딩해야 합니다. 일부 타사 CA는 발급된 인증서를 요청자에게 전자 메일 메시지를 통해 base64 인코딩된 텍스트로 반환합니다.
  5. 발급된 인증서를 받아 들입니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
    certreq -accept certnew.cer
  6. 인증서가 컴퓨터의 개인 저장소에 설치되어 있는지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. Microsoft Management Console(MMC)을 시작합니다.
    2. 로컬 컴퓨터에 있는 인증서를 관리하는 인증서 스냅인을 추가합니다.
    3. 인증서(로컬 컴퓨터), 개인, 인증서를 차례로 확장합니다.

    새 인증서가 개인 저장소에 저장됩니다. 인증서 등록 정보 대화 상자에서 표시된 용도는 서버 인증입니다. 이 인증서는 컴퓨터의 정식 호스트 이름으로 발급되었습니다.
  7. 도메인 컨트롤러를 다시 시작합니다.
인증서와 일치하는 개인 키가 로컬 컴퓨터의 저장소에 있으며 인증서와 올바르게 연결됩니다. 개인 키는 강력한 개인 키 보호가 설정되어 있지 않아야 합니다.

로컬 컴퓨터의 저장소에 액세스하려면 인증서 스냅인을 시작합니다. 프롬프트에서 컴퓨터 계정을 누른 다음 로컬 컴퓨터를 누릅니다. 개인을 누른 다음 인증서를 마우스 오른쪽 단추로 누릅니다. 모든 작업/새 인증서 요청을 누릅니다. 마법사를 통해 도메인 컨트롤러 인증서를 요청합니다.

인증서 요청 만들기에 대한 자세한 내용은 다음 Advanced Certificate Enrollment and Management 백서를 참조하십시오.

LDAPS 연결 확인

인증서가 설치된 후 다음 단계에 따라 LDAPS가 사용되는지 확인하십시오.
  1. Active Directory 관리 도구(Ldp.exe)를 시작합니다.

    이 프로그램은 Windows 2000 지원 도구에 설치됩니다.
  2. Connection 메뉴에서 Connect를 누릅니다.
  3. 연결할 도메인 컨트롤러 이름을 입력합니다.
  4. 포트 번호로 636을 입력합니다.
  5. 확인을 누릅니다.

    연결 성공을 나타내는 RootDSE 정보는 오른쪽 창에 표시됩니다.

가능한 문제

  • TLS 확장 요청 시작
    LDAPS 통신은 포트 TCP 636을 통해 발생합니다. 글로벌 카탈로그에 대한 LDAPS 통신은 TCP 3269를 통해 발생합니다. 포트 636 또는 3269에 연결할 때 SSL/TLS는 LDAP 트래픽을 교환하기 전에 협상됩니다. Windows 2000은 TLS 확장 요청 시작 기능을 지원하지 않습니다.
  • 여러 SSL 인증서
    Microsoft SSL 공급자인 Schannel은 로컬 컴퓨터 저장소에서 발견되는 첫 번째 유효한 인증서를 선택합니다. 로컬 컴퓨터 저장소에 사용할 수 있는 여러 유효한 인증서가 있는 경우 Schannel은 올바른 인증서를 선택하지 못할 수 있습니다.
  • SP3 SSL 이전 인증서 캐싱 문제
    기존 LDAPS 인증서를 다른 인증서로 교체한 경우 갱신 프로세스를 통해서나 발급 CA 변경으로 인해 Schannel이 새 인증서를 사용하려면 서버를 다시 시작해야 합니다. Windows 2000의 SSL 공급자는 LDAPS 인증서를 캐싱하며 도메인 컨트롤러를 다시 시작할 때까지 변경을 검색하지 못합니다. 이 문제는 Windows 2000 서비스 팩 3에서 해결되었습니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
키워드: 
kbinfo kbproductlink KB321051
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store