윈도우 서버 2012 실습- IPsec(CA 인증서 터널, 호스트)

IPsec CA 인증서 방식이란? 쉽게 말해 우리가 은행에서 사용하는 공인 인증서 방식, 인증서로 서로를 증명해 암호화 통신을 한다.

인증서 배급기관이 따로 있어야한다. 이 떄 배급기관은 Active Directory 인증서 서비스를 다운 받아 사용한다.

IPsec CA(인증서 발급)

인증서 발급은 상당히 복잡하다.

1. 우선 역할에서 Active Directory 인증서 서비스 설치와

2.  역할 서비스에서 인증기관 웹 등록을 체크해준다.

3. 노란색 표지판 클릭 후 인증서 서비스 마법사 실행

4. 인증 기관, 인증 기관 웹등록 체크 후 설치해준다.

(중간에 CA 이름 부분을 컴퓨터이름으로 바꿔줘야한다.. 나는 netdream으로 바꿔주었다.

자신의 컴퓨터 이름은 실행-sysdm.cpl로 바꿀 수 있다,)

5. 인터넷을 키고 AD 인증 서비스를 설치한 서버의 IP + /certsrv를 입력해준다.

ex) 192.168.200.1/certsrv

6. 그리고 인터넷 옵션에 들어가

7. 보안 탭에서 사이트 클릭 - 해당 서버 IP를 추가

8. 사용자 지정 수준-스크립팅 하기 안전하지 않은~~~을 사용

9. 인증서 요청

10. 고급 인증서 요청

11. 이 CA 요청을 만들어 제출합니다. 클릭

12. 해당 항목이 나온다.

다음과 같이 4항목을 입력해준다.

이름과 국가는 임의로 입력해주고

필요한 인증서 종류는 IPsec 인증서

키를 내보낼 수 있게 표시를 체크 후 제출을 누른다.

13. 도구-Certification Authority로 들어간 후

14. 보류 중인 요청에 있는 인증서 우클릭-발급

15. 다시 홈 버튼을 눌러 처음 화면으로 돌아온다.

앞으로 어떤 상황이든 항상 뒤로가기 버튼을 누르지 말고 홈버튼으로 되돌아 와야한다는 것.

보류 중인 인증서 요청을 눌러준다.

16. IPsec 인증서

17. 이 인증서 설치를 눌러주면 설치되었다는 문구가 뜬다.

18. mmc를 실행시켜준다.

19. ctrl+m을 누르면 다음과 같은 스냅인 창이 뜨게 된다.

밑에 인증서를 선택 후 추가를 눌러준다.

20. 내 사용자 계정을 선택

21. 완료 후 컴퓨터 계정을 선택

22. 로컬 컴퓨터를 선택해준다.

23. 인증서 (현재 사용자)-개인용-인증서에 아까 제출한 인증서가 보이는 것을 확인 할 수 있다.

우클릭 후 내보내기를 눌러준다.

24. 개인키와 함께 내보내기를 체크해주고

25. 기본 값으로 다음

26. 임의의 암호를 입력해준다.

27. 저장은 찾기 쉽게 바탕화면에 해둔다.

28. 방금 내보내기한 인증서를 가져와야한다.

인증서(로컬 컴퓨터)-개인용-인증서의 빈곳 우클릭-가져오기를 선택

29. 바탕화면에 저장해둔 인증서를 선택한 후

30. 이전에 입려했던 암호를 다시 입력해준다.

31. 위와 같이 컴퓨터(로컬 컴퓨터)-개인용-인증서에 제출한 인증서가 뜨면 성공

인증서로 IPsec 통신을 위해서는 양쪽 다 인증서가 필요하다. 이번엔 반대쪽 호스트에 인증서를 받아보자.

32. 반대쪽도 동일하게 인증서를 설치한 서버IP/certsrv를 입력해준다.

(반대 쪽 호스트에 설치하였으므로 반대쪽 호스트 IP 입력(

33. 똑같이 신뢰 할 수 있는 사이트에 추가해주고

34. 스크립팅하기 안전하지~~를 사용으로 변경해준다.

35. 인증서 요청

36. 임의의 이름과 국가 입력

역시 필요한 인증서 종류는 IPsec 인증서로

키를 내보낼 수 있게 표시를 체크

37. 인증서를 설치한 서버로 돌아가 똑같이 발급을 눌러준다.

38. 이번에도 똑같이 보류 중인 인증서 요청 상태 확인으로 들어가면,

39. 이번에는 신뢰하지 않는다는 오류가 뜬다.

40. 해결을 위해 다시 홈으로 돌아와

CA 인증서, 인증서 체인 또는 CRL 다운로드를 선택해준다.

41. CA 인증서 다운로드를 눌러준다.

42. 다운로드 폴더에 다운 된 것을 확인해준다.

43. 다시 mmc 실행, 위와 같이 로컬 컴퓨터와 사용자를 추가해준다.

인증서(로컬 컴퓨터)-신뢰 할 수 있는 루트 인증기관- 인증서를 선택 후 빈 곳 우클릭-가져오기를 선택해준다.

44. 방금 다운로드 폴더에 다운 받았던 인증서를 선택해준다.

45. 다시 두번째로 돌아가면 이번에는 위와 같이 인증서 설치가 가능하다. 뒤에 부터는 동일한 방법을 사용한다.

46. 현재 사용자에 인증서 폴더에 있는 인증서를 내보내기하고  

47. 로컬 컴퓨터에 있는 개인용 폴더에서 가져오기를 선택 한다.

48. 이번에도 역시 바탕화면에 내보내기 했던 인증서를 가져온다.

그러면 두 쪽 다 인증서 설치 완료.

이제 설치한 인증서로 IPsec 통신을 해보자.

IPsec CA(통신)

*자세한 호스트 설정은 IPsec 앞에 편 참조

1. 로컬 보안 정책-IP 보안 정책 우클릭-IP 보안 정책 만들기 선택

2. 다음을 눌러 기본 값으로 만드면 다음과 같은 속성 창이 뜬다.

IP 필터 목록탭-추가-추가를 누르고

3. 원본주소는 내 IP 주소

대상 주소는 특정 IP 주소 또는 서브네트 선택 후 통신 할 상대방 주소를 입력해준다.

4. 만들었으면 새 IP 필터 목록 앞 동그라미를 눌러 체크

5. 필터 동작 탭-추가-추가

6. 설정을 눌러

7. 암호화 되지 않은 데이터 주소 및 무결성을 체크 후 확인

8. 역시 앞에 동그라미를 눌러 체크

9. 인증 방법 탭-편집-다음 인증 기관의 인증서 사용 체크-찾아 보기

10. 기존에 발급 받은 이름의 인증서가 있을 것이다. 선택해준다.

11. 반대 쪽도 똑같은 인증서를 선택해주고

12. 양쪽 다 만들어진 IP 정책 우클릭-할당을 누르고

13. 핑을 때렸을 때 성공하면 암호화 통신이 되고 있는 것이다.

터널 방식의 IPsec도 똑같이 인증서를 설치해주면된다.

앞서 언급했듯이 터널 방식은 호스트에 설치하는 것이 아니라 서버에 설치해서 구성함

고로 한 쪽 서버에 인증서를 설치하고 다른 서버에서 인증서 서버로 들어가 인증서를 다운받으면 됨

(자세한 터널 설정은 IPsec 이전 편 참조)

IPsec(터널 설정)

1. 위와 같이 인증서를 설치해두고

2. 컴퓨터에 설치까지 완료

3. 반대편 또한 컴퓨터까지 설치해둔다.

4. 연결 보안 규칙-새규칙

5. 터널 선택 후

6. 끝점 설정을 해준다. 

끝점 1에있는 컴퓨터 -> 서버와 연결된 호스트들

끝점 1-> 해당 서버의 인터페이스

끝점 2-> 해당 서버와 연결된 서버의 인터페이스

7. 인증 방법에서 찾아보기

8. netdream을 선택 후

9. 생성된 터널-속성에 들어가서

10. 끝점 2에는 반대편 서버에 연결된 호스트 대역을 지정해주면 된다.

반대 서버에도 다음과 같은 터널 설정을 해주면 터널 생성이 완료된다.