Microsoft Entra 인증서 기반 인증에 대한 인증 기관을 구성하는 방법
CA(인증 기관)를 구성하는 가장 좋은 방법은 PKI 기반 신뢰 저장소(미리 보기)를 사용하는 것입니다. PKI 기반 트러스트 저장소를 사용하여 구성을 최소 권한 있는 역할에 위임할 수 있습니다. 자세한 내용은 1단계: PKI 기반 트러스트 저장소를 사용하여 인증 기관 구성(미리 보기)을 참조하세요.
또는 전역 관리자는 Microsoft Entra 관리 센터 또는 Microsoft Graph REST API 및 지원되는 SDK(소프트웨어 개발 키트(예: Microsoft Graph PowerShell)를 사용하여 CA를 구성하기 위해 이 항목의 단계를 수행할 수 있습니다. PKI(공개 키 인프라) 인프라 또는 PKI 관리자는 발급 CA 목록을 제공할 수 있어야 합니다.
모든 CA를 구성했는지 확인하려면 사용자 인증서를 열고 인증 경로 탭을 클릭합니다. 루트가 Microsoft Entra ID 신뢰 저장소에 업로드될 때까지 모든 CA를 확인합니다. 누락된 CA가 있는 경우 MICROSOFT Entra CBA(인증서 기반 인증)가 실패합니다.
Microsoft Entra 관리 센터를 사용하여 인증 기관 구성
Microsoft Entra 관리 센터에서 CBA를 사용하도록 인증 기관을 구성하려면 다음 단계를 완료합니다.
-
전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>자세히 보기>보안 센터 (또는 신원 보안 점수) >인증 기관으로 이동하세요.
CA를 업로드하려면 업로드를 선택합니다.
CA 파일을 선택합니다.
CA가 루트 인증서이면 예를 선택하고, 그렇지 않으면 아니요를 선택합니다.
인증서 해지 목록 URL의 경우 해지된 모든 인증서를 포함하는 CA 기본 CRL에 대해 HTTP 인터넷 연결 URL을 설정합니다. URL이 설정되지 않은 경우 해지된 인증서를 사용한 인증은 실패하지 않습니다.
델타 인증서 해지 목록 URL의 경우 마지막 기본 CRL이 게시된 후에 해지된 모든 인증서가 포함된 CRL의 HTTP 인터넷 연결 URL을 설정합니다.
추가를 선택합니다.
CA 인증서를 삭제하려면 인증서를 선택하고 삭제를 선택합니다.
열을 추가하거나 삭제하려면 열을 선택합니다.
참고 항목
기존 CA가 만료되면 새 CA 업로드가 실패합니다. 만료된 CA를 삭제하고 새 CA를 업로드하려고 다시 시도해야 합니다.
이러한 기능을 관리하려면 전역 관리자가 필요합니다.
PowerShell을 사용하여 CA(인증 기관) 구성
신뢰할 수 있는 CA에 대해 하나의 CDP(CRL Distribution Point)만 지원됩니다. CDP는 HTTP URL만 가능합니다. OCSP(Online Certificate Status Protocol) 또는 LDAP(Lightweight Directory Access Protocol) URL은 지원되지 않습니다.
Microsoft Entra ID에서 인증 기관을 구성하려면 각 인증 기관에 대해 다음을 업로드합니다.
- 인증서의 공개 부분( .cer 형식)
- CRL(인증서 해지 목록)이 있는 인터넷 연결 URL
인증 기관에 대한 스키마는 다음과 같습니다.
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
구성에는 Microsoft Graph PowerShell을 사용할 수 있습니다.
관리자 권한으로 Windows PowerShell을 시작합니다.
Microsoft Graph PowerShell 설치:
Install-Module Microsoft.Graph
첫 번째 구성 단계로 테넌트와 연결을 설정해야 합니다. 테넌트에 대한 연결이 있으면 디렉터리에 정의된 신뢰할 수 있는 인증 기관을 검토, 추가, 삭제 및 수정할 수 있습니다.
연결
테넌트와 연결을 설정하려면 Connect-MgGraph를 사용합니다.
Connect-MgGraph
장치
디렉터리에 정의된 신뢰할 수 있는 인증 기관을 검색하려면 Get-MgOrganizationCertificateBasedAuthConfiguration을 사용합니다.
Get-MgOrganizationCertificateBasedAuthConfiguration
추가
참고 항목
기존 CA가 만료되면 새 CA 업로드가 실패합니다. 테넌트 관리자는 만료된 CA를 삭제한 다음, 새 CA를 업로드해야 합니다.
Microsoft Entra 관리 센터에서 CA를 추가하려면 이전 단계를 따릅니다.
AuthorityType
- 0을 사용하여 루트 인증 기관 표시
- 1을 사용하여 중간 또는 발급 인증 기관 표시
crlDistributionPoint
CRL을 다운로드하고 CA 인증서와 CRL 정보를 비교합니다. 이전 PowerShell 예제의 crlDistributionPoint 값이 추가하려는 CA에 대해 유효한지 확인합니다.
다음 표와 그래픽은 CA 인증서의 정보를 다운로드한 CRL의 특성에 매핑하는 방법을 보여 줍니다.
| CA 인증서 정보 | = | 다운로드한 CRL 정보 |
|---|---|---|
| Subject | = | Issuer |
| 주체 키 식별자 | = | 권한 키 식별자(KeyID) |
팁
이전 예제의 crlDistributionPoint 값은 CA의 CRL(인증서 해지 목록)에 대한 HTTP 위치입니다. 이 값은 다음과 같은 여러 위치에서 찾을 수 있습니다.
- CA에서 발급한 인증서의 CDP(CRL 배포 지점) 특성에서.
발급 CA가 Windows Server를 실행하는 경우:
- 인증 기관 MMC(Microsoft Management Console)의 CA 속성.
certutil -cainfo cdp를 실행하여 CA에서. 자세한 내용은 certutil을 참조하세요.
자세한 내용은 인증서 해지 프로세스 이해를 참조하세요.
Microsoft Graph API를 사용하여 인증 기관 구성
Microsoft Graph API를 사용하여 인증 기관을 구성할 수 있습니다. Microsoft Entra 인증 기관 트러스트 저장소를 업데이트하려면 certificatebasedauthconfiguration MSGraph 명령의 단계를 따릅니다.
인증 기관 구성 유효성 검사
구성에서 Microsoft Entra CBA가 다음을 수행할 수 있는지 확인합니다.
- CA 트러스트 체인의 유효성 검사
- 구성된 인증 기관 CRL 배포 지점(CDP)에서 CRL(인증서 해지 목록)을 가져옵니다.
CA 구성의 유효성을 검사하려면 MSIdentity Tools PowerShell 모듈을 설치하고 Test-MsIdCBATrustStoreConfiguration을 실행합니다. 이 PowerShell cmdlet은 Microsoft Entra 테넌트 CA 구성을 검토합니다. 일반적인 잘못된 구성에 대한 오류 및 경고를 보고합니다.