가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA -3부-

안녕하세요?

오늘은 가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA 세번째 시간을 진행하도록 하겠습니다.

GRE 터널링에서 시작해서 터널링 - 라우터에서 IPsec 설정을 통한 VPN 구성 에 이어, 오늘은 Windows 

2008 Server 을 이용한 CA인증서 로 VPN구성을 실시합니다.

우선, 실습환경을 구성하도록 하겠습니다.

Windows 2008 Server , Windows XP , GNS3 

GNS를 이용하여 서버 와 XP를 연결해 줍니다.

이러한 망을 가정하고, 지사와 본사는 인터넷 공용망을 통해 연결되어 있으며, CA인증서를 발급받아

본사와 지사의 VPN 통신망을 구성하도록 한다. 

1. 본사 서버에서 인증서 서비스를 설치한다. 

우선, Windows 2008 Server (이하 서버) 에 서버역할 추가를 통한 Active Directory 인증서 서비스를

추가해 줍니다.

인증기관 / 인증기관 웹 등록 을 선택합니다.

중요! CA 의 일반이름은 컴퓨터 이름으로 합니다.

블록 지정해놓은 -CA를 삭제해 주세요 

다음을 눌러 설치를 마무리 해 줍니다.

실행 - certsrv.msc 로 접속하면 인증서 관리 콘솔을 확인할수 있습니다.

  MIR01 서버가 활성화 되어있음을 확인할수 있습니다 (초록색)

다음으로, 실행 - MMC 로 콘솔1에 접근합니다. 

파일 - 스냅인 추가 / 제거 에서 인증서 스냅인을 선택한 뒤, 추가 하여

내 사용자계정(M) , 컴퓨터 계정(C) 두가지를 추가해 줍니다. (로컬 컴퓨터)

인증서 - 현재 사용자 - 신뢰할수 있는 루트 인증기관 항목에 본인의 인증서가 있는지 확인합니다.

서버에서 인터넷익스플로어 에서 http://localhost/certsrv 로 접속합니다. 

우리가 구성하는 인증서 및 서버는 공식적으로 인증받은 서버나 표준이 아니기 때문에 컴퓨터에서 

원활히 작동하지 않을수 있습니다. 다음과 같이 익스플로러 옵션을 설정합니다.

도구 -> 인터넷 옵션 -> 보안 -> 사용자 지정 수준 -> 스크립팅하기 안전하지 않는 것으로 표시된 ActiveX 컨트롤 초기화 및 스크립팅 사용으로 변경

다음으로, 

  인증서 요청 -> 고급 인증서 요청 -> 이 CA에 요청을 만들어 제출합니다. -> 항목 입력

항목 입력시 이름은 컴퓨터 이름으로 정확하게 입력 하여야 합니다. 

인증서의 종류를 설정할수 있는데, IPSec 으로 구성하기 때문에 IPSec 인증서를 선택하고, 

키를 내보낼수 있게 표시 항목을 체크합니다.

인증서의 신청은 완료되었고, 관리자가 인증서 승인을 해주어야 합니다.

조금전에 확인했던 certsrv.msc 으로 인증서 관리콘솔로 접근합니다.

보류중인 요청에 위에 신청하였던 인증서가 대기하고 있습니다. 

마우스 우클릭 - 모든작업 - 발급 으로 인증서 발급을 해줍니다.

발급된 인증서에 발급되었음을 확인할수 있습니다.

다시 인터넷 에서 http://localhost/certsrv 로 접속하여 

'보류중인 인증서 요청의 상태를 확인' 을 선택하고 신청대기중인 인증서를 선택합니다.

인증서가 승인되었다는 메시지와 함께 ' 이 인증서 설치' 를 눌러 설치해줍니다.

인증서가 설치됩니다.

시간 / 용량 관계상 4부로 이어집니다.