마지막으로 수정한 날짜 : 22-Jan-2002
문서 번호: KR290625

• Microsoft Internet Information Services 5.0
• Microsoft Certificate Services 2.0

요약

본 문서에서는 Windows 2000 Internet Information Services(IIS) 5.0 개발 랩 환경에서 SSL(Secure Sockets Layer)을 신속하게 설정하는 방법을 보여줍니다. Microsoft Certificate Server 2.0은 여러 다른 인증서를 만들 수 있습니다. 본 문서에서는 표준 웹 인증서를 만드는 것만 다룹니다.

본 문서는 다음과 같은 네 개의 절로 구성됩니다.

• 인증서 요청 만들기
• 인증서 요청 제출
• 인증서 발급 및 다운로드
• 인증서 설치 및 SSL 웹 사이트 설정
  

추가 정보

인증서 요청 만들기

웹 서버 인증서를 만들려면 다음 단계를 수행하십시오.

1. 인터넷 서비스 관리자 MMC(Microsoft Management Console)를 엽니다. MMC를 열려면 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 인터넷 서비스 관리자를 누릅니다.
   
2. 모든 웹 사이트가 표시되도록 서버 이름을 두 번 누릅니다.
   
3. 인증서를 설치할 웹 사이트를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
   
4. 디렉터리 보안 탭을 누릅니다.
   
   세 가지 보안 방법이 표시됩니다. 인증서 요청을 만드는 데 사용할 방법은 보안 통신입니다.
   
5. 서버 인증서를 누릅니다. 인증서 마법사가 시작됩니다. 다음을 눌러 계속합니다.
   
6. 새 인증서를 만듭니다를 선택하고 다음을 누릅니다.
   
7. 요청을 지금 준비하지만 나중에 보냅니다를 선택하고 다음을 누릅니다.
   
8. 인증서 이름을 입력하고 비트 길이를 선택합니다. 실험에 필요하지 않으면 SGC 인증서 확인란을 선택하지 마십시오. SGC 인증서에 대한 자세한 내용은 이 절의 끝을 참조하십시오. 다음을 눌러 계속합니다.
   
9. 조직 이름과 조직 단위(예: 회사 이름과 개발 부서)를 입력합니다. 다음을 누릅니다.
   
10. 정식 도메인 이름(FQDN)이나 서버 이름을 일반 이름으로 입력합니다. 인터넷에서 사용할 인증서를 만드는 경우 FQDN을 사용하는 것이 좋습니다. 다음을 누릅니다.
    
11. 위치 정보를 입력하고 다음을 누릅니다.
    
12. 인증서 정보를 저장할 경로와 파일 이름을 입력합니다.
    
    참고: 기본 위치와 파일 이름이 아닌 것을 입력하는 경우 뒷 단계에서 이 파일에 액세스해야 하므로 선택한 파일 이름과 위치를 반드시 기록해 두십시오.
    
    계속하려면 다음을 누릅니다.
    
13. 입력한 정보를 확인하고 다음을 눌러 프로세스를 완료하고 인증서 요청을 만듭니다.
    
    참고: SGC(Server Gated Cryptography) 인증서는 해외 사용자나 40비트 암호화로 제한된 브라우저로 연결할 때도 높은 암호화 연결을 요구하는 금융 기관에서 많이 사용됩니다. 해외 브라우저(40비트)에 연결할 때 SGC 인증서는 128비트 암호화 길이를 허용하도록 128비트 터널을 만듭니다. 보안 연결이나 세션이 종료되면 중간 인증서 터널은 닫힙니다.
    
    SGC 인증서의 다른 특성은 엄격하게 도메인에 한정된다는 것입니다. 보통 인증서의 도메인 이름이 웹 사이트의 도메인과 일치하지 않으면 이 사실을 알리는 경고 메시지가 나타나고 계속할지 여부를 선택할 수 있습니다. SGC 인증서는 사용자에게 경고 메시지를 표시하거나 선택을 제공하지 않습니다. 즉, 연결은 설명 없이 실패합니다.
    
    

인증서 요청 제출

인증서 요청을 제출하려면 다음 단계를 수행하십시오.

1. 브라우저를 열고 http://YourWebServerName/CertSrv/로 이동합니다.
   
   
2. 인증서 요청을 선택하고 다음을 누릅니다.
   
   
3. 고급 요청을 선택하고 다음을 누릅니다.
   
   
4. 가운데 옵션 64 기수로 인코드된 PKCS #10 파일을 사용한 인증서 요청 또는 64 기수로 인코드된 PKCS #7 파일을 사용한 갱신 요청을 제출합니다를 선택하고 다음을 누릅니다.
   
   
5. 첫 번째 절차 "인증서 요청 만들기" 절에서 만든 요청 문서를 Microsoft 메모장에서 엽니다.
   
   
6. 문서 내용을 선택하여 복사합니다.
   
   내용은 아래의 문서 내용과 비슷해야 합니다.
   
   

   -----BEGIN NEW CERTIFICATE REQUEST-----

   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-----END NEW CERTIFICATE REQUEST------- 

   참고: 기본 이름과 위치로 문서를 저장한 경우 문서는 C:\Certreq.txt에 있습니다.
   
   참고: 위에 표시된 것처럼 전체 내용을 선택하여 복사해야 합니다.
   
   

7. 문서의 내용을 웹 양식의 64 기수로 인코드 인증서 요청 텍스트 상자에 붙여넣습니다.
   
   
8. 인증서 템플릿에서 웹 서버를 선택한 다음 제출을 누릅니다.
   
   
9. 인증서 서버가 항상 인증서 발급으로 설정되어 있으면 인증서에 즉시 액세스할 수 있습니다. 인증서에 즉시 액세스하려면 다음 단계를 수행하십시오.
   
   
   1. 맨 위의 링크 CA 인증서 다운로드를 누릅니다. CA 인증서 다운로드 경로를 누르지 마십시오.
      
      
   2. 프롬프트가 나타나면 이 파일을 디스크에 저장을 선택하고 인증서를 데스크톱이나 기억하기 쉬운 다른 위치에 저장합니다.
      
      
   3. 이제 네 번째 절차인 "인증서 설치 및 SSL 웹 사이트 설정" 절로 바로 이동합니다.
      
      

   인증서 서버가 인증서 요청 상태를 보류 중으로 설정으로 설정되어 있으면 "인증서 보류 중" 메시지가 나타납니다. 계속하려면 세 번째 절인 "인증서 발급 및 다운로드"로 이동합니다.
   
   

참고: 인증서 발급 정책 구성에 대한 자세한 내용은 부록 A를 참조하십시오.

인증서 발급 및 다운로드

인증서 서버에서 인증서를 발급(인증)하려면 다음 단계를 수행하십시오.

1. 인증 기관(CA) MMC(Microsoft Management Console) 스냅인을 엽니다. 스냅인을 열려면 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 인증 기관을 누릅니다.
   
   
2. 인증 기관을 확장합니다.
   
   
3. 보류 중인 요청 폴더를 누릅니다. 오른쪽 창에 보류 중인 인증서 요청이 나타납니다.
   
   
4. 본 문서에서 설명한 세 번째 절차에서 제출한 보류 중인 인증서 요청을 마우스 오른쪽 단추로 누르고 모든 작업을 선택한 다음 발급을 누릅니다.
   
   참고: 발급을 선택한 후에는 인증서가 이 창과 폴더에 더 이상 표시되지 않습니다. 이제 인증서는 발급된 인증서 폴더에 있습니다.
   
   참고: 인증서 발급 정책 구성에 대한 자세한 내용은 부록 A를 참조하십시오.
   
   
5. 인증서를 발급(및 인증)한 후에는 인증서 서버 웹 인터페이스로 돌아와 인증서를 선택하고 다운로드할 수 있습니다. 이렇게 하려면 다음 단계를 수행하십시오.
   
   
   1. http://YourWebServerName/CertSrv/로 이동합니다.
      
      
   2. 기본 페이지에서 보류 중인 인증서 확인을 선택하고 다음을 누릅니다.
      
      
   3. 보류 중인 인증서를 선택하고 다음을 눌러 다운로드 페이지로 이동합니다.
      
      
   4. 다운로드 페이지에서 맨 위의 하이퍼링크 CA 인증서 다운로드를 누릅니다. CA 인증서 다운로드 경로를 누르지 마십시오.
      
      
   5. 프롬프트가 나타나면 이 파일을 디스크에 저장을 선택하고 인증서를 데스크톱이나 기억하기 쉬운 다른 위치에 저장합니다.
      
      

인증서가 발급되었고 다운로드하였습니다.

다음 단계는 인증서를 설치하고 SSL 암호화된 웹 사이트를 설정하는 것입니다.

인증서 설치 및 SSL 웹 사이트 설정

SSL 인증서를 설치하고 설정하는 방법은 다양합니다. 예를 들어, 인증서를 두 번 누르고 인증서 설치 마법사를 사용하여 인증서를 미리 설치한 다음 사이트에 바인딩합니다. 본 문서에서는 웹 서버 인증서 마법사를 통해 인터넷 서비스 관리자 MMC를 사용하여 인증서를 설치하는 방법을 보여 줍니다.

인증서 서버에 인증서를 설치하려면 다음 단계를 수행하십시오.

1. 인터넷 서비스 관리자를 열고 웹 사이트를 볼 수 있도록 서버 이름을 확장합니다.
   
   
2. 인증서 요청을 만든 웹 사이트를 마우스 오른쪽 단추로 누르고 등록 정보를 누릅니다.
   
   
3. 디렉터리 보안 탭을 누릅니다. 보안 통신에서 서버 인증서를 누릅니다.
   
   이렇게 하면 인증서 설치 마법사가 열립니다. 다음을 눌러 계속합니다.
   
   
4. 보류 중인 요청을 처리한 다음 인증서를 설치합니다를 선택하고 다음을 누릅니다.
   
   
5. 세 번째 절 "인증서 발급 및 다운로드"의 앞 부분에서 다운로드한 인증서 위치를 입력하고 다음을 누릅니다.
   
   마법사는 인증서 요약을 표시합니다. 정보가 올바른지 확인하고 다음을 눌러 계속합니다.
   
   
6. 마침을 눌러 프로세스를 완료합니다.
   
   

인증서를 구성하고 테스트하려면 다음 단계를 수행하십시오.

1. 디렉터리 보안 탭의 보안 통신에서 세 가지 옵션이 사용 가능한지 확인합니다. 웹 사이트가 보안 연결을 요구하도록 설정하려면 편집을 누릅니다. 보안 통신 대화 상자가 나타납니다.
   
   
2. 보안 채널 필요(SSL)를 선택한 다음 확인을 누릅니다.
   
   
3. 적용과 확인을 눌러 등록 정보 시트를 닫습니다.
   
   
4. 사이트를 찾아서 작동하는지 확인합니다.
   
   
   1. 브라우저에 http://localhost/Postinfo.html을 입력하여 http를 통해 사이트에 액세스합니다. 아래와 같은 오류 메시지가 나타납니다.
      
      

      HTTP 403.4 - 금지: SSL 필요.

   2. 브라우저에 https://localhost/postinfo.html을 입력하여 보안 연결(https)을 사용하여 같은 웹 페이지를 찾아봅니다.
      
      
   3. 인증서가 신뢰할 수 있는 루트 CA로부터 온 것이 아니라는 보안 경고 메시지가 나타날 수 있습니다. 예를 눌러 웹 페이지를 계속 진행합니다.
      
      페이지가 나타납니다.
      
      참고: 브라우저에서 루트 CA를 신뢰할 수 있는 루트 CA 목록에 추가하는 방법은 부록 B를 참조하십시오.
      
      

페이지를 볼 수 있으면 인증서가 제대로 설치된 것입니다.

참고: Postinfo.html 페이지는 기본 웹 사이트의 루트에 있는 표준 HTML 페이지입니다.

참 조

부록 A: 인증서 발급 정책을 변경하는 방법

인증 없이 요청할 때 인증서를 발급할지 여부 또는 인증 기관 MMC 스냅인을 통한 사전 인증에 모든 요청을 제출할지 여부를 선택할 수 있습니다. 이렇게 하려면 다음을 수행하십시오.

1. 인증 기관 도구를 엽니다. 도구를 열려면 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 인증 기관을 누릅니다.
   
   
2. 인증 기관 이름을 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
   
   
3. 등록 정보 시트에서 정책 모듈 탭을 누른 다음 구성을 누릅니다.
   
   
4. 기본 작업 탭에서 다음 중 하나를 선택합니다.
   
   
   • 인증서 요청 상태를 보류 중으로 설정: 관리자가 인증서를 명시적으로 발급해야 합니다.
     
     
   • 항상 인증서 발급: 인증을 요청하지 않고 인증서를 즉시 발급합니다.
     
     참고: 네트워크에서 인증서가 인식되면 두 번째 옵션을 선택해야 합니다.

부록 B: Internet Explorer 5에서 루트 CA 인증서를 신뢰할 수 있는 루트 CA 목록에 설치

루트 CA 인증서를 웹 사이트 사용자에게 제공하는 방법은 다양합니다. 한 가지 방법은 전자 메일로 보내 사용자가 전자 메일에서 인증서를 설치하도록 하는 것입니다. 다른 방법은 인증서에 대한 링크가 있는 웹 사이트에 다운로드 페이지를 포함시키는 것입니다. 또한 기업 차원의 솔루션은 IEAK(Internet Explorer Administration Kit)를 사용하여 신뢰할 수 있는 루트 CA 목록에 이미 설치된 루트 CA 인증서를 고객 Internet Explorer 브라우저에 푸시하는 것입니다. 사용자는 인증서를 사용할 수 있도록 선택해야 하지만 이 부록에서 설명한 대로 인증서를 Internet Explorer의 신뢰할 수 있는 루트 CA 목록에 설치하는 방법은 동일합니다.

참고: 사이트 인증서가 방금 만든 인증서가 아니라 인증서 서버를 설치했을 때 만든 루트 CA 인증서라는 것을 Internet Explorer에서 신뢰할 수 있도록 인증서를 설치해야 합니다.

이 문서의 참조용으로 http://<YourServerName>/CertSrv/에 있는 Microsoft 인증서 서비스 인터페이스를 사용하여 인증서를 다운로드합니다. 환영 페이지가 나타나면 CA 인증서 또는 인증서 해지 목록 검색을 선택하고 다음을 누릅니다 .

그러면 다음과 같은 두 가지 선택 사항이 표시됩니다.

• 이 CA 인증 경로 설치. 루트 CA 인증서를 현재 연결된 브라우저에 설치하는 경우 이 CA 인증 경로 설치 링크를 누르면 루트 CA 인증서가 Internet Explorer 브라우저의 신뢰할 수 있는 루트 CA 목록에 자동으로 설치됩니다.
  
  설치가 완료되면 확인 페이지가 나타납니다.
  
  -또는-
  
  
• CA 인증서 다운로드. 루트 CA 인증서를 다른 Internet Explorer 브라우저의 루트 CA 목록에 설치해야 하는 경우 인증서를 다운로드하여 다음과 같이 설치할 수 있습니다.
  
  
  1. CA 인증서 다운로드를 누릅니다.
     
     
  2. 이 파일을 디스크에 저장을 선택합니다.
     
     
  3. 루트 CA 인증서를 저장한 위치로 이동하여 인증서를 두 번 눌러 해당 인증서의 등록 정보 시트를 엽니다.
     
     
  4. 인증서 설치를 눌러 인증서 가져오기 마법사를 시작합니다. 다음을 눌러 계속합니다.
     
     
  5. 모든 인증서를 다음 저장소에 저장합니다를 선택합니다.
     
     
  6. 찾아보기를 누르고 신뢰할 수 있는 루트 인증 기관을 선택합니다. 다음을 누릅니다.
     
     
  7. 설정을 확인한 다음 마침을 누릅니다.
     
     다음과 같은 메시지가 나타납니다.
     
     

     가져오기를 완료했습니다.

  8. 확인을 눌러 이 메시지를 닫은 다음 확인을 눌러 등록 정보 시트를 닫습니다.
     
     

신뢰할 수 있는 루트 CA 경고가 다시 나타나는지 확인하려면 브라우저를 닫았다가 다시 연 다음 아래의 웹 사이트로 이동하십시오.

https://<MySecureWebsite>/Postinfo.html

루트 CA가 Internet Explorer 브라우저의 신뢰할 수 있는 루트 CA 목록에 추가되었습니다.

참고: Postinfo.html 페이지는 기본 웹 사이트의 루트에 있는 표준 HTML 페이지입니다.

부록 C: IIS 5.0에서 인증서 사용에 관한 추가 정보