AWS CloudHSM을 사용하여 Windows Server를 인증 기관(CA)으로 구성하기 - AWS CloudHSM
사전 조건Windows Server CA 생성서명 CSR

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM을 사용하여 Windows Server를 인증 기관(CA)으로 구성하기

퍼블릭 키 인프라(PKI)에서 인증 기관(CA)은 디지털 인증서를 발급하는 신뢰할 수 있는 엔터티입니다. 이러한 디지털 인증서는 퍼블릭 키 암호화 및 디지털 서명을 사용하여 퍼블릭 키를 ID(개인 또는 조직)에 바인딩합니다. CA를 운영하려면 CA에서 발급한 인증서에 서명하는 프라이빗 키를 보호하여 신뢰성을 유지해야 합니다. 클러스터의 HSM 에 프라이빗 키를 저장하고 HSM를 사용하여 암호화 서명 작업을 수행할 수 있습니다 AWS CloudHSM .

이 자습서에서는 Windows Server 및 AWS CloudHSM 를 사용하여 CA를 구성합니다. Windows 서버에 Windows용 AWS CloudHSM 클라이언트 소프트웨어를 설치한 후 Windows Server에 AD CS(Active Directory Certificate Services) 역할을 추가합니다. 이 역할을 구성할 때 AWS CloudHSM 키 스토리지 공급자(KSP)를 사용하여 AWS CloudHSM 클러스터에 CA의 프라이빗 키를 생성하고 저장합니다. KSP 는 Windows 서버를 AWS CloudHSM 클러스터에 연결하는 브리지입니다. 마지막 단계에서는 Windows Server CA를 사용하여 인증서 서명 요청(CSR)에 서명합니다.

자세한 정보는 다음 주제를 참조하세요.

1단계: 사전 조건 설정

를 사용하여 Windows Server를 인증 기관(CA)으로 설정하려면 다음이 AWS CloudHSM필요합니다.

  • 가 하나 이상 있는 활성 AWS CloudHSM 클러스터입니다HSM.

  • Windows용 AWS CloudHSM 클라이언트 소프트웨어가 설치된 Windows Server 운영 체제를 실행하는 Amazon EC2 인스턴스입니다. 이 자습서에서는 Microsoft Windows Server 2016을 사용합니다.

  • 에서 CA의 프라이빗 키를 소유하고 관리할 암호화 사용자(CU)입니다HSM.

를 사용하여 Windows Server CA에 대한 사전 조건을 설정하려면 AWS CloudHSM

  1. 시작하기의 단계를 수행하세요. Amazon EC2 클라이언트를 시작할 때 Windows Server 를 선택합니다AMI. 이 자습서에서는 Microsoft Windows Server 2016을 사용합니다. 이 단계를 완료하면 하나 이상의 가 있는 활성 클러스터가 있습니다HSM. Windows용 EC2 클라이언트 소프트웨어가 설치된 상태에서 Windows Server를 실행하는 Amazon AWS CloudHSM 클라이언트 인스턴스도 있습니다.

  2. (선택 사항) 클러스터HSMs에 더 추가합니다. 자세한 내용은 AWS CloudHSM 클러스터HSM에 추가 단원을 참조하십시오.

  3. 클라이언트 인스턴스에 연결합니다. 자세한 내용은 Amazon EC2 사용 설명서인스턴스에 연결을 참조하세요.

  4. 클라우드HSM로 사용자 관리 또는 클라우드 관리 유틸리티()로 사용자 관리를 사용하여 암호화 HSM CLI 사용자(CU)를 생성합니다. HSM HSM CMU CU의 사용자 이름과 암호를 기록합니다. 다음 단계에서 해당 정보가 필요합니다.

  5. 이전 단계에서 생성한 CU 사용자 이름과 암호를 사용하여 에 대한 로그인 보안 인증을 설정합니다HSM.

  6. 5단계에서 Windows Credentials Manager를 사용하여 HSM 보안 인증을 설정한 경우 psexec.exe에서 다운로드 SysInternals 하여 다음 명령을 NT AuthoritySYSTEM\로 실행합니다.

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Replace <USERNAME> 그리고 <PASSWORD> 보안 HSM 인증 정보를 사용합니다.

를 사용하여 Windows Server CA를 생성하려면 로 AWS CloudHSM이동합니다Windows Server CA 생성.

2단계: 를 사용하여 Windows Server CA 생성 AWS CloudHSM

Windows Server CA를 만들려면 Windows Server에 AD CS(Active Directory 인증서 서비스) 역할을 추가합니다. 이 역할을 추가하면 AWS CloudHSM 키 스토리지 공급자(KSP)를 사용하여 AWS CloudHSM 클러스터에 CA의 프라이빗 키를 생성하고 저장합니다.

참고

Windows Server CA를 만들 때 루트 CA 또는 종속 CA를 만들도록 선택할 수 있습니다. 일반적으로 퍼블릭 키 인프라 설계 및 조직의 보안 정책을 기준으로 결정합니다. 이 자습서에서는 단순 루트 CA를 만드는 방법을 설명합니다.

Windows Server에 AD CS 역할을 추가하고 CA의 프라이빗 키를 생성하려면

  1. 아직 역할 추가 및 키를 생성하지 않은 경우 Windows Server에 연결합니다. 자세한 내용은 Amazon EC2 사용 설명서인스턴스에 연결을 참조하세요.

  2. Windows Server에서 서버 관리자를 시작합니다.

  3. 서버 관리자 대시보드에서 역할 및 기능 추가를 선택합니다.

  4. 시작하기 전에 정보를 읽은 후 다음을 선택합니다.

  5. Installation Type(설치 유형)에서 Role-based or feature-based installation(역할 기반 또는 기능 기반 설치)을 선택합니다. 이후 다음을 선택합니다.

  6. 서버 선택에서 서버 풀에서 서버 선택을 선택합니다. 다음을 선택합니다.

  7. 서버 역할의 경우 다음을 수행합니다.

    1. Active Directory 인증서 서비스를 선택합니다.

    2. Active Directory 인증서 서비스에 필요한 기능을 추가하시겠습니까?라는 메시지가 표시되면 기능 추가를 선택합니다.

    3. 다음을 선택하여 서버 역할 선택을 마칩니다.

  8. 기능에서 기본 설정을 그대로 수락하고 다음을 선택합니다.

  9. AD CS의 경우 다음을 수행합니다.

    1. Next(다음)를 선택합니다.

    2. Certification Authority를 선택한 다음 다음을 선택합니다.

  10. 확인에서 확인 정보를 읽은 다음 설치를 선택합니다. 창을 닫습니다.

  11. 강조 표시된 대상 서버에서 Active Directory 인증서 서비스 구성 링크를 선택합니다.

  12. 자격 증명에서 표시된 자격 증명을 확인하거나 변경합니다. 다음을 선택합니다.

  13. 역할 서비스에서 인증 기관을 선택합니다. 다음을 선택합니다.

  14. 설치 유형에서 독립 CA를 선택합니다. 다음을 선택합니다.

  15. CA 유형에서 루트 CA를 선택합니다. 다음을 선택합니다.

    참고

    퍼블릭 키 인프라 설계 및 조직의 보안 정책을 기반으로 루트 CA 또는 하위 CA를 만들도록 선택할 수 있습니다. 이 자습서에서는 단순 루트 CA를 만드는 방법을 설명합니다.

  16. 프라이빗 키에서 프라이빗 키 새로 만들기를 선택합니다. 다음을 선택합니다.

  17. 암호화에서 다음을 수행합니다.

    1. 암호화 공급자 선택에서 메뉴의 Cavium 키 저장소 공급자 옵션 중 하나를 선택합니다. 이 옵션은 AWS CloudHSM KSP입니다. 예를 들어 RSA#Cavium Key Storage Provider를 선택할 수 있습니다.

    2. 키 길이에서 키 길이 옵션 중 하나를 선택합니다.

    3. 인증 기관에서 발급한 인증서에 서명하기 위한 해시 알고리즘을 선택합니다.에서 해시 알고리즘 옵션 중 하나를 선택합니다.

    다음을 선택합니다.

  18. CA 이름에서 다음을 수행합니다.

    1. (옵션) 일반 이름을 수정합니다.

    2. (옵션) 고유 이름 접미사를 입력합니다.

    Next(다음)를 선택합니다.

  19. 유효 기간에 년, 월, 주 또는 일 단위로 기간을 지정합니다. 다음을 선택합니다.

  20. 인증서 데이터베이스에서 기본값을 사용하거나 선택적으로 데이터베이스와 데이터베이스 로그의 위치를 변경할 수 있습니다. 다음을 선택합니다.

  21. 확인에서 CA에 대한 정보를 검토하고 구성을 선택합니다.

  22. 닫기를 선택한 다음 닫기를 차례로 선택합니다.

이제 가 포함된 Windows Server CA가 있습니다 AWS CloudHSM. CA를 사용하여 인증서 서명 요청(CSR)에 서명하는 방법을 알아보려면 로 이동합니다서명 CSR.

3단계: 를 사용하여 Windows Server CA로 인증서 서명 요청(CSR)에 서명 AWS CloudHSM

와 함께 Windows Server CA를 사용하여 인증서 서명 요청()에 서명 AWS CloudHSM 할 수 있습니다CSR. 이 단계를 완료하려면 유효한 가 필요합니다CSR. 다음을 포함하여 여러 CSR 가지 방법으로 를 생성할 수 있습니다.

  • 열기 사용SSL

  • Windows Server Internet Information Services(IIS) Manager 사용

  • Microsoft Management Console(MMC)에서 스냅인 인증서 사용

  • Windows의 명령줄 유틸리티에서 certreq 사용

를 생성하는 단계는 이 자습서의 범위를 벗CSR어납니다. 가 있는 경우 Windows Server CA로 서명할 CSR수 있습니다.

Windows Server CACSR로 에 서명하려면

  1. 아직 역할 추가 및 키를 생성하지 않은 경우 Windows Server에 연결합니다. 자세한 내용은 Amazon EC2 사용 설명서인스턴스에 연결을 참조하세요.

  2. Windows Server에서 서버 관리자를 시작합니다.

  3. 오르쪽 상단 모서리에 서버 관리자 대시보드에서 도구, 인증 기관을 선택합니다.

  4. 인증 기관 창에서 컴퓨터 이름을 선택합니다.

  5. 작업 메뉴에서 모든 작업을 선택한 후 새 요청 제출을 선택합니다.

  6. CSR 파일을 선택한 다음 열기를 선택합니다.

  7. 인증 기관 창에서 대기 중인 요청을 두번 클릭합니다.

  8. 대기 중인 요청을 선택합니다. 그런 다음 작업 메뉴에서 모든 작업을 선택하고 문제를 선택합니다.

  9. 서명 인증서를 보려면 인증 기관 창에서 발급된 요청을 두번 클릭합니다.

  10. (옵션) 서명 인증서를 파일에 내보내려면 다음 단계를 완료해야 합니다.

    1. 인증 기관 창에 보이는 인증서를 두번 클릭합니다.

    2. 세부 정보 탭을 선택한 다음 파일로 복사를 선택합니다.

    3. 인증서 내보내기 마법사에서 지침을 따릅니다.

이제 가 있는 Windows Server CA AWS CloudHSM와 Windows Server CA가 서명한 유효한 인증서가 있습니다.