가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA -4부-

안녕하세요.

분량 조절 실패... 로 가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA -4부- 가 이어집니다.. 

윈도우 같은 GUI환경은 사실 사진으로 보시면서 이해하는게 쉬워 가급적 많은 부분의 스샷을 촬영

하고 있습니다. 다소 화질이 좋지 않아 가슴아프지만 확인하시는데 큰 어려움은 없으리라 봅니다.

자. 바로 이어서 들어가겠습니다.

인증서를 발급 받으시고, MMC 콘솔로 다시 접근합니다.

인증서(현재사용자) - 개인용 - 인증서 에  IPSec용 인증서 를 확인할수 있습니다.

마우스 우클릭 - 모든작업 - 내보내기 를 선택합니다.

개인 키 내보내기 에서 '예, 개인키를 내보냅니다' 선택 - 개인 정보 교환 - 키 입력(암호)

바탕 화면 에 인증서를 저장합니다. 

다음을 눌러 내보내기를 완료하시면, 바탕화면에 인증서가 발급됩니다. 

인증서가 내보내지면, 기존 인증서를 삭제합니다.

MMC 인증서는 현재사용자 / 로컬 컴퓨터 2단으로 되어있습니다.

기존 인증서를 삭제하셨다면, 아래 인증서(로컬 인증서) 에 개인용 - 인증서 에 들어가셔서 

마우스 우클릭 - 모든작업 - 가져오기 로 바탕화면으로 내보낸 인증서를 가져옵니다. 

바로 인증서를 가져오다 보면, 바탕화면에 내보낸 인증서가 보이지 않습니다.

이럴때에는, 파일형식을 모든파일(*.*) 이나, 개인정보 교환 (*.PFX) 로 변경하시면 됩니다.

아까 내보낼때 설정하신 암호를 입력하시고, 저장합니다. 

인증서 가져오기를 완료하였습니다.

----------------------------------------------------------------------------------------------------------------

여기까지 진행하셨으면, 클라이언트 컴퓨터 (XP) 로 넘어갑니다.

XP 인터넷 창에서, http:// 서버 IP /certsrv 로 접속합니다.

IPSec 인증서를 발급받기 전에, 서버의 인증서를 받아 등록해주어야 합니다. 

CA인증서, 인증서 체인 또는 CRL다운로드 를 클릭합니다.

CA인증서 다운로드 로 바탕화면에 CA인증서를 다운받습니다.

XP에도 역시 MMC 콘솔이 존재합니다. 

실행 - MMC 로 콘솔 1로 접근합니다.

서버와 동일하게 스냅인 추가 /제거 로 인증서 - 현재사용자  와 인증서(로컬 컴퓨터) 를 추가합니다.

다음으로, 인증서(로컬 컴퓨터) - 신뢰된 루트 인증기관 - 인증서 에서 

모든작업 - 가져오기 를 통하여, 다운받은 CA 인증서를 넣어줍니다.

신뢰된 루트기관 인증서에 MIR01 이라는 CA인증서가 추가되어 있습니다. 

이는 MIR01 (서버) 를 신뢰할수 있는 루트기관으로 추가한 것이 되겠습니다. 

이제 다시 인터넷 창으로 접속합니다 (http:서버IP/certsrv)

아까, 서버에서 인증서를 요청한 절차대로 동일하게 인증서를 요청합니다.

인증서 요청 -> 고급 인증서 요청 -> 이 CA에 요청을 만들어 제출합니다. -> 항목 입력

아까와 동일하게, 이름은 정확한 컴퓨터 이름을 적어 넣어야 합니다 (클라이언트 컴퓨터 이름)

서버에서와 동일하게 인증서 보류화면이 나오게 됩니다. 

----------------------------------------------------------------------------------------------------------------

다시 Windows Server 로 가서 인증서 승인을 해줍니다.

(아까와 동일합니다)

certsrv 콘솔에서 보류중인 인증서 (요청 ID:3) 을 승인해 주었습니다. 

----------------------------------------------------------------------------------------------------------------

다시 XP로 돌아와서 '보류중인 인증서 요청의 상태표시' 를 클릭합니다.

아까와 동일한 절차로 인증서를 설치해 줍니다.

설치가 완료되면, XP MMC콘솔에서 

서버에서와 마찬가지로 인증서 - 현재사용자 - 개인 - 인증서 에 새로 인증서 가 발급받아 졌습니다.

내보내기를 진행합니다.

인증서를 내보낸후, 기존 인증서는 삭제 합니다. 

그뒤, 서버때와 마찬가지로 

인증서 (로컬 컴퓨터)  -> 개인용 인증서 -  우 클릭 후 가져오기  로 내보낸 인증서를 가져옵니다.

이제 양 컴퓨터에 IPSec 인증서 발급이 완료되었습니다. 

이제 인증서를 통한 IPSec 통신 설정을 하도록 하겠습니다.

*** XP, SERVER 양측 동일하게 설정 ***

실행 - secpol.msc 

ipsec 통신을 위한 정책을 구성하기 위해, 동작 - IP 보안정책만들기 를 선택합니다.

'기본 응답 규칙 활성화' 를 체크 해제 후 추가합니다. 

곧바로, 속성 설정을 하게 됩니다. 

추가 버튼으로 IP 보안규칙을 만들어 줍니다.

이 규칙에서는 터널 지정 안함 - 모든 네트워크 연결 - 새 IP필터 목록 

원본주소 : 모든 IP 주소 / 대상주소 : 모든 IP 주소 

 ※ 여기까지는 설정된 인터넷 환경에 맞추어 설정해주면 된다. 단, XP 및 SERVER 동일한 설정으로 해야 한다 

필터 동작 설정 

보안 협상 - 보안되지 않는 통신 허용 안함 - 무결성 및 암호화 

보안규칙 설정 

다음 인증기관의 CA 인증서 사용 - MIR01 (자신의 인증서가 아닌, 인증기관의 인증서 선택)

새로 만든 규칙을 (IPSEC) 선택하고, 확인을 눌러준다.

그뒤, 새 정책을 할당해 준다 (우클릭 - 할당) 

XP, 서버 모두 동일하게 설정한다.

클라이언트 에서 서버 홈페이지로 접속 (http://서버 ip) 하면 

라우터 IPSec 설정과 동일하게 isakmp main 모드 6회 / quick mode 3회 후, esp로 보안된 패킷을

확인할수 있습니다.

이러면 설정이 잘 된것입니다. 

처음하시는 분들이 가장 어려워 하는것은

각 인증서를 저장하는 위치가 될것입니다. 

루트인증기관의 인증서 저장위치, 개인용 인증서 저장위치를 잘 숙지한뒤 따라해보시기 바랍니다.