Microsoft NDES:보안 장치 인증 및 인증서 관리

작성자:

Stephen J. Bigelow, 수석 기술 편집자

게시일:2017년 2월 28일

Microsoft NDES(네트워크 장치 등록 서비스)는 Windows Server 2008 R2 이상 Windows Server 운영 버전의 보안 기능입니다. NDES는 트래픽을 인증하고 유효한 도메인 자격 증명을 보유하지 않은 장치와의 보안 네트워크 통신을 구현하는 데 사용되는 인증서를 제공 및 관리합니다.

NDES는 AD CS(Active Directory 인증서 서비스)의 기능이며 SCEP(단순 인증서 등록 프로토콜)를 기반으로 합니다. SCEP는 일반적으로 전용 CA 서버인 CA(인증 기관)의 X.509 인증서 버전 3을 사용하기 위해 다른 AD 도메인 자격 증명 없이 장치를 등록할 수 있습니다. 관리자는 NDES를 사용하여 공개 키 배포, 인증서 등록, 쿼리 및 해지를 지원합니다. NDES는 장치에 대한 일회성 등록 비밀번호를 제공하고, 장치 등록 요청을 CA에 전달하고, CA로부터 등록된 인증서를 받아 장치에 전달합니다.

NDES의 일반적인 용도는 일반적으로 네트워크 트래픽을 처리하기 위해 내부 소프트웨어를 실행하는 라우터, 방화벽 및 스위치와 같은 전용 네트워크 장치에 인증서를 발급하는 것입니다. 그러나 이러한 장치 중 일부에는 Active Directory 도메인에 대한 기존 자격 증명이 없으므로 관리자는 인증을 위해 NDES와 같은 서비스를 사용해야 합니다.

NDES를 구성할 때 관리자는 기본 CA 서버를 지정하고, 인증서를 구성하는 데 사용되는 RA(등록 기관)에 대한 정보를 설정하고, 다른 암호화 서비스 공급자를 사용하여 키를 저장하거나 키 길이를 변경하도록 암호화 설정을 구성할 수도 있습니다.

일반적인 등록 프로세스는 원하는 장치에 대한 공개-개인 키 쌍이 생성될 때 시작됩니다. 그런 다음 NDES는 관리자에게 암호를 전달합니다. 관리자는 비밀번호로 기기를 설정할 수 있으며 기기가 조직의 공개 키 인프라(PKI)를 신뢰하도록 허용할 수 있습니다. 그런 다음 관리자는 장치가 NDES에 등록 요청을 보내도록 허용하고 NDES는 요청을 승인하고 CA에 요청을 전달합니다. CA는 인증서를 발급하고 이를 NDES로 반환하며, 기기는 최종적으로 NDES에서 발급된 인증서를 검색하여 등록을 완료합니다.

적절하게 등록된 장치는 CA에서 발급한 개인 키와 해당 인증서를 수신하여 보안 네트워크 세션에서 신뢰할 수 있는 엔터티가 됩니다. 그러면 기기에서 실행되는 소프트웨어는 해당 자격 증명을 사용하여 네트워크의 다른 기기와 안전하게 트래픽을 교환할 수 있습니다.

NDES는 여러 가지 다른 요소를 사용합니다. 장치 또는 클라이언트는 도메인 자격 증명이 부족하고 인증서가 필요한 라우터 또는 지능형 스위치와 같은 물리적 대상 장치입니다. 서비스는 NDES 서버이며 등록 기관이라고도 할 수 있습니다. CA 서버는 인증서 서비스를 실행하고 클라이언트에 인증서를 발급합니다. 도메인 컨트롤러는 인증서 템플릿을 저장하고 엔터프라이즈 도메인 전체에 인증서 정책을 적용하는 서버 역할인 AD DS(Active Directory 도메인 서비스)를 처리합니다.