필수 조건 - AWS Directory Service
CA 인증서 요구 사항사용자 인증서 요구 사항인증서 해지 확인 프로세스기타 고려 사항

필수 조건

Amazon WorkSpaces 클라이언트용 스마트 카드를 사용하여 mTLS 인증을 활성화하려면 자체 관리형 AD와 통합된 운영 스마트 카드 인프라가 필요합니다. Amazon WorkSpaces 및 AD를 사용하여 스마트 카드 인증을 설정하는 방법에 대한 자세한 내용은 Amazon WorkSpaces 관리 안내서를 참조하세요.

WorkSpaces에 스마트 카드 인증을 활성화하기 전에 다음 고려 사항을 검토하세요.

CA 인증서 요구 사항

AD Connector에는 스마트 카드 인증을 위해 사용자 인증서 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. AD Connector는 CA 인증서를 사용자가 스마트 카드로 제시한 인증서와 일치시킵니다. 다음 CA 인증서 요구 사항에 유의하세요.

  • CA 인증서를 등록할 수 있으려면 만료일까지 90일 이상 남아 있어야 합니다.

  • CA 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 Base64로 인코딩된 X.509(.CER)를 선택합니다.

  • 스마트 카드 인증이 성공하려면 발급하는 CA에서 사용자 인증서로 연결되는 모든 루트 및 중간 CA 인증서를 업로드해야 합니다.

  • AD Connector 디렉터리당 최대 100개의 CA 인증서를 저장할 수 있습니다

  • AD Connector는 CA 인증서에 대한 RSASSA-PSS 서명 알고리즘을 지원하지 않습니다.

사용자 인증서 요구 사항

AD Connector에 제공되는 사용자 인증서에는 인증서의 subjectAltName (SAN) 필드에 AD 사용자의 userPrincipalName (UPN)가 포함되어야 합니다.

인증서 해지 확인 프로세스

스마트 카드 인증을 수행하려면 AD Connector가 OCSP(온라인 인증서 상태 프로토콜)를 사용하여 사용자 인증서의 해지 상태를 확인해야 합니다. 인증서 해지 확인을 수행하려면 OCSP 응답자 URL이 인터넷에서 액세스할 수 있어야 합니다. DNS 이름을 사용하는 경우 OCSP 응답자 URL은 IANA(인터넷 할당 번호 기관) 루트 영역 데이터베이스)에 있는 최상위 도메인을 사용해야 합니다.

AD Connector 인증서 해지 확인에서는 다음 프로세스를 사용합니다.

  • AD Connector는 OCSP 응답자 URL에 대한 사용자 인증서의 AIA(기관 정보 액세스) 확장을 확인해야 합니다. 그러면 AD Connector는 URL을 사용하여 해지를 확인합니다.

  • AD Connector가 사용자 인증서 AIA 확장에 있는 URL을 확인할 수 없거나 사용자 인증서에서 OCSP 응답자 URL을 찾을 수 없는 경우 AD Connector는 루트 CA 인증서 등록 중에 제공된 선택적 OCSP URL을 사용합니다.

    사용자 인증서 AIA 확장의 URL이 확인되지만 응답하지 않는 경우 사용자 인증이 실패합니다.

  • 루트 CA 인증서 등록 중에 제공된 OCSP 응답자 URL이 확인되지 않거나 응답하지 않거나 제공된 OCSP 응답자 URL이 없는 경우 사용자 인증이 실패합니다.

참고

AD Connector에는 OCSP 응답자 URL에 대한 HTTP URL이 필요합니다.

기타 고려 사항

AD Connector에서 스마트 카드 인증을 사용하도록 설정하기 전에 다음 항목을 고려하세요.

  • AD Connector는 인증서 기반 상호 전송 계층 보안 인증(상호 TLS)을 사용하여 하드웨어 또는 소프트웨어 기반 스마트 카드 인증서를 사용하여 Active Directory에 사용자를 인증합니다. 현재는 CAC(일반 액세스 카드) 및 PIV(개인 신원 확인) 카드만 지원됩니다. 다른 유형의 하드웨어 또는 소프트웨어 기반 스마트 카드는 작동할 수 있지만, WorkSpaces 스트리밍 프로토콜과 함께 사용할 수 있도록 테스트되지는 않았습니다.

  • 스마트 카드 인증은 WorkSpaces에 대한 사용자 이름 및 암호 인증을 대체합니다.

    스마트 카드 인증을 사용하도록 AD Connector 디렉터리에 다른 AWS 애플리케이션을 구성한 경우에도 해당 애플리케이션에는 여전히 사용자 이름 및 암호 입력 화면이 표시됩니다.

  • 스마트 카드 인증을 활성화하면 사용자 세션 길이가 Kerberos 서비스 티켓의 최대 수명으로 제한됩니다. 그룹 정책을 사용하여 이 설정을 구성할 수 있으며 기본적으로 10시간으로 설정되어 있습니다. 이 설정에 대한 자세한 내용은 Microsoft 설명서를 참조하세요.

  • AD Connector 서비스 계정의 지원되는 Kerberos 암호화 유형은 도메인 컨트롤러에서 지원하는 각 Kerberos 암호화 유형과 일치해야 합니다.