자세한 내용에 따라 인증서 신뢰 목록을 생성하고 배포할 수 있습니다.여기, 그러나 저는 일반적인 방법으로 그룹 정책을 사용하여 루트 및 중간 인증서를 배포하는 것보다 이것이 갖는 이점을 이해하려고 노력하고 있습니다. 왜 이 작업을 수행해야 합니까?
답변1
엔터프라이즈 인증서 신뢰 목록(CTL)을 사용하면 정확히 어떤 유형의 인증서와 해당 인증서를 신뢰할 수 있는 목적에 대해 더 세밀하고 제어할 수 있습니다. 단순히 그룹 정책을 통해 인증서를 배포하는 것만으로는 클라이언트에서 해당 인증서를 신뢰하는 방법과 상황을 정확하게 제어할 수 없습니다.
CTL(인증서 신뢰 목록)을 사용하면 외부 인증 기관(CA)에서 발급한 인증서의 유효 기간과 목적에 대한 신뢰를 제어할 수 있습니다.
일반적으로 인증 기관은 보안 전자 메일이나 클라이언트 인증과 같은 다양한 목적으로 인증서를 발급할 수 있습니다. 그러나 특히 CA가 조직 외부에 있는 경우 특정 인증 기관에서 발급한 인증서의 신뢰를 제한하려는 상황이 있을 수 있습니다. 이러한 상황에서는 CTL을 만들고 그룹 정책을 통해 이를 사용하는 것이 유용할 수 있습니다.
예를 들어 "My CA"라는 인증 기관이 서버 인증, 클라이언트 인증, 코드 서명 및 보안 전자 메일을 위한 인증서를 발급할 수 있다고 가정합니다. 그러나 클라이언트 인증을 위해 My CA에서 발급한 인증서만 신뢰하려고 합니다. CTL을 생성하고 My CA에서 발급한 인증서가 클라이언트 인증에만 유효하도록 신뢰하는 목적을 제한할 수 있습니다. My CA가 다른 목적으로 발급한 인증서는 CTL이 적용되는 GPO(그룹 정책 개체) 범위에 있는 컴퓨터나 사용자의 사용이 허용되지 않습니다.
조직에는 여러 CTL이 있을 수 있습니다. 특정 도메인이나 조직 단위에 대한 인증서의 사용 및 신뢰가 다를 수 있으므로 별도의 CTL을 만들어 이러한 용도를 반영하고 특정 CTL을 특정 GPO에 할당할 수 있습니다.
조직에서 그룹 정책을 사용하면 신뢰할 수 있는 루트 인증 기관 정책이나 CTL(엔터프라이즈 신뢰 정책)을 사용하여 CA에 대한 신뢰를 지정할 수 있습니다. 사용할 정책을 결정할 때 다음 지침을 따르십시오. • 조직에 자체 루트 CA가 있고 Active Directory를 사용하는 경우 해당 루트 인증서를 배포하기 위해 그룹 정책 메커니즘을 사용할 필요가 없습니다.
• 조직에 서버에 설치되지 않은 자체 루트 CA가 있는 경우 신뢰할 수 있는 루트 인증 기관 정책을 사용하여 조직의 루트 인증서를 배포해야 합니다. 자세한 내용은 신뢰할 수 있는 루트 인증 기관 정책을 참조하세요.
• 조직에 자체 CA가 없는 경우 엔터프라이즈 신뢰 정책을 사용하여 CTL을 생성하여 외부 루트 CA에 대한 조직의 신뢰를 설정합니다. 자세한 내용은 엔터프라이즈 신뢰 정책 사용을 참조하세요.