ESET 온라인 도움말

검색 한국어
범주 선택
항목 선택

ESET PROTECT On-Prem의 사용자 지정 인증서

고유한 PKI(공개 키 인프라)가 있고 ESET PROTECT On-Prem가 해당 구성 요소 간 통신에 사용자 지정 인증서를 사용하도록 하려는 경우 다음 예를 참조하십시오. 이 예는 Windows Server 2012 R2에서 수행됩니다. 스크린샷은 Windows의 다른 버전에서 다를 수 있지만 일반적인 절차는 변경되지 않습니다.

warning

유효 기간이 짧은 인증서(예: 90일 동안 유효한 Let's Encrypt)를 사용하지 않도록 하여 빈번한 교체의 복잡한 절차를 피하십시오.

모바일 장치를 관리하는 경우 일부 모바일 장치에서는 사용자가 자체 서명한 인증서를 수락할 수 없으므로 자체 서명한 인증서(ESET PROTECT On-Prem CA에서 서명한 인증서 포함)를 사용하지 않는 것이 좋습니다. 타사 인증 기관에서 제공하는 사용자 지정 인증서를 사용하는 것이 좋습니다.

note

OpenSSL을 사용하여 자체 서명된 새 인증서를 생성할 수 있습니다. 자세한 내용은 지식 베이스 문서를 참조하십시오.

필요한 서버 역할:

Active Directory 도메인 서비스

독립 실행형 루트 CA가 설치된 Active Directory 인증서 서비스

1.다음과 같이 관리 콘솔을 열고 인증서 스냅인을 추가합니다.

a)서버에 로컬 관리자 그룹의 구성원으로 로그온합니다.

b)mmc.exe를 실행하여 관리 콘솔을 엽니다.

c)파일을 클릭하고 스냅인 추가/제거...를 선택합니다(또는 Ctrl+M을 누름).

d)왼쪽 창에서 인증서를 선택하고 추가를 클릭합니다.

using_custom_certificate_02

e)컴퓨터 계정을 선택하고 다음을 클릭합니다.

f)로컬 컴퓨터가 선택되어 있는지(기본값) 확인하고마침을 클릭합니다.

g)확인을 클릭합니다.

2.다음과 같이 사용자 지정 인증서 요청을 만듭니다.

a)인증서(로컬 컴퓨터)를 두 번 클릭하여 확장합니다.

b)개인을 두 번 클릭하여 확장합니다. 인증서를 오른쪽 마우스 버튼으로 클릭하고 모든 작업 > 고급 작업을 선택하고 사용자 지정 요청 만들기를 선택합니다.

using_custom_certificate_05

c)인증서 등록 마법사 창이 열리면 다음을 클릭합니다.

d)등록 정책 없이 계속을 선택하고 다음을 클릭하여 계속합니다.

using_custom_certificate_06

e)드롭다운 목록에서 (템플릿 없음) 레거시 키를 선택하고 PKCS #10 요청 형식이 선택되어 있는지 확인합니다. 다음을 클릭합니다.

using_custom_certificate_07

f)화살표를 클릭하여 상세 정보 섹션을 확장하고 속성을 클릭합니다.

using_custom_certificate_08

g)일반 탭에서 인증서의 이름을 입력하고, 설명(옵션)을 입력할 수도 있습니다.

h)주체 탭에서 다음을 수행합니다.

주체 이름 섹션의 유형 아래에 있는 드롭다운 목록에서 일반 이름을 선택하고 필드에 era server를 입력한 다음 추가 버튼을 클릭합니다. 오른쪽의 정보 상자에 CN=era server가 나타납니다. ESET Management 에이전트에 대한 인증서 요청을 생성하는 경우 일반 이름 값 필드에 era agent를 입력합니다.

important

일반 이름은 만들려는 인증서 요청에 따라 "server" 또는 "agent" 문자열 중 하나를 포함해야 합니다.

i)대체 이름 섹션의 유형 아래에 있는 드롭다운 목록에서 DNS를 선택하고 필드에 *(별표)를 입력한 다음 추가 버튼을 클릭합니다.

important

ESET PROTECT 서버 및 모든 에이전트에 대한 제목 대체 이름(SAN)은 "DNS:*"로 정의되어야 합니다.

using_custom_certificate_09

j)확장 탭에서 화살표를 클릭하여 키 사용 섹션을 확장합니다. 사용 가능한 옵션에서: 디지털 시그니처, 키 계약, 키 암호화를 추가합니다. 이 키 사용을 중요한 것으로 설정을 선택 취소합니다.

important

키 사용 > 키 인증서 서명에서 다음의 세 가지 옵션을 선택해야 합니다.

디지털 서명

키 계약

키 암호화

using_custom_certificate_10

k)개인 키 탭에서 다음을 수행합니다.

i.화살표를 클릭하여 암호화 서비스 공급자 섹션을 확장합니다. 모든 CSP(암호화 서비스 공급자) 목록이 표시됩니다. Microsoft RSA SChannel Cryptographic Provider(암호화)만 선택되어 있는지 확인합니다.

note

Microsoft RSA SChannel Cryptographic Provider(암호화) 이외의 다른 모든 CSP를 선택 취소합니다.

using_custom_certificate_11

i. 옵션 섹션을 확장합니다. 키 크기 메뉴에서 2048 이상의 값을 설정합니다. 개인 키를 내보낼 수 있게 설정을 선택합니다.

ii.키 유형 섹션을 확장하고 교환을 선택합니다. 적용을 클릭하고 설정을 확인합니다.

l)확인을 클릭합니다. 인증서 정보가 표시됩니다. 다음 버튼을 클릭하여 계속합니다. 찾아보기를 클릭하여 CSR(인증서 지문 생성 요청)을 저장할 위치를 선택합니다. 파일 이름을 입력하고 Base 64가 선택되어 있는지 확인합니다.

using_custom_certificate_12

m)마침을 클릭하여 CSR을 생성합니다.

 

3.사용자 지정 인증서 요청을 가져오려면 다음 단계를 수행합니다.

a)서버 관리자를 열고 도구 > 인증 기관을 클릭합니다.

b)인증 기관(로컬) 트리에서 사용자의 서버(일반적으로 FQDN) > 속성 > 정책 모듈 탭을 선택합니다. 속성을 클릭하고 인증서 요청 상태를 보류 중으로 설정. 관리자가 인증서를 명시적으로 발급해야 함을 선택합니다. 그러지 않으면 제대로 작동하지 않습니다. 이 설정을 변경해야 하는 경우 Active Directory 인증서 서비스를 다시 시작해야 합니다.

using_custom_certificate_13

c)인증 기관(로컬) 트리에서 사용자의 서버(일반적으로 FQDN) > 모든 작업 > 새 요청 제출을 선택하고 이전에 2단계에서 생성한 CSR 파일로 이동합니다.

d)인증서가 보류 중인 요청 아래에에 추가됩니다. 오른쪽 탐색 창에서 CSR을 선택합니다. 동작 메뉴에서 모든 작업 > 발급을 선택합니다.

using_custom_certificate_14

4.발급된 사용자 지정 인증서.tmp 파일로 내보냅니다.

a)왼쪽 창에서 발급된 인증서를 선택합니다. 내보낼 인증서를 오른쪽 마우스 버튼으로 클릭하고 모든 작업 > 이진 데이터 내보내기를 클릭합니다.

b)이진 데이터 내보내기 대화 상자의 드롭다운 목록에서 이진 인증서를 선택하고 내보내기 옵션에서 이진 데이터를 파일로 저장을 클릭한 다음 확인을 클릭합니다.

using_custom_certificate_15

c)이진 데이터 저장 대화 상자에서 인증서를 저장할 파일 위치로 이동한 다음 저장을 클릭합니다.

5...tmp 파일을 가져옵니다.

a)인증서(로컬 컴퓨터)로 이동하여 개인을 오른쪽 마우스 버튼으로 클릭하고 모든 작업 > 가져오기를 선택합니다.

b)다음을 클릭합니다.

c)찾아보기를 사용하여 저장된 .tmp 바이너리 파일을 찾아서 열기를 클릭합니다. [모든 인증서를 다음 저장소에 저장] > 개인을 선택합니다. 다음을 클릭합니다.

d)마침을 클릭하여 인증서를 가져옵니다.

6.개인 키를 포함하여 인증서를 .pfx 파일로 내보냅니다.

a)인증서(로컬 컴퓨터)에서 개인을 확장하고 인증서를 클릭한 후 내보낼 새 인증서를 선택하고 동작 메뉴에서 모든 작업 > 내보내기를 가리킵니다.

b)인증서 내보내기 마법사에서 예, 개인 키를 내보냅니다. 를 클릭합니다. (이 옵션은 개인 키가 내보내기 가능으로 표시되어 있고 사용자가 해당 개인 키에 접근할 수 있는 경우에만 나타납니다.)

c)파일 내보내기 형식에서 Personal Information Exchange -PKCS #12(.PFX)를 선택하고 가능하면 인증 경로에 있는 인증서 모두 포함 옆의 확인란을 선택한 후 다음을 클릭합니다.

using_custom_certificate_16

d)암호에는 내보내는 중인 개인 키를 암호화할 비밀번호를 입력합니다. 비밀번호 확인 필드에서 동일한 비밀번호를 다시 입력하고 다음을 클릭합니다.

warning

인증서 비밀번호에는 문자를 포함할 수 없습니다: " \ 이러한 문자를 사용하면 에이전트를 초기화하는 동안 심각한 오류가 발생합니다.

using_custom_certificate_17

e)파일 이름에는 내보낸 인증서 및 개인 키를 저장할 .pfx 파일의 파일 이름과 경로를 입력합니다. 다음을 클릭한 후 마침을 클릭합니다.

note

위 예에서는 ESET Management 에이전트 인증서를 만드는 방법을 보여 줍니다. ESET PROTECT 서버 인증서에 대해 동일한 단계를 반복하십시오.

이 인증서를 사용하여 웹 콘솔에서 다른 새 인증서에 서명할 수는 없습니다.

7.인증 기관 내보내기:

a)서버 관리자를 열고 도구 > 인증 기관을 클릭합니다.

b)인증 기관(로컬) 트리에서 사용자의 서버(일반적으로 FQDN) > 속성 > 일반 탭을 선택하고 인증서 보기를 클릭합니다.

c)상세 정보 탭에서 파일에 복사를 클릭합니다. 인증서 내보내기 마법사가 열립니다.

d)파일 내보내기 형식 창에서 DER로 인코딩된 바이너리 X.509(.CER)를 선택하고 다음을 클릭합니다.

e)찾아보기를 클릭하여 .cer 파일이 저장되는 위치를 선택하고 다음을 클릭합니다.

f)마침을 클릭하여 인증 기관을 내보냅니다.

ESET PROTECT On-Prem에서 사용자 지정 인증서를 사용하는 방법에 대한 단계별 지침은 다음 장을 참조하십시오.