내보내기(0) 인쇄
모두 확장

방법: X.509 인증서를 사용하여 ACS 및 ASP.NET 웹 응용 프로그램 간에 트러스트 구성

게시: 2011년 4월

업데이트 날짜: 2011년 5월

적용 대상: Windows Azure

적용 대상

  • Microsoft® Windows Azure™ AppFabric ACS(Access Control Service)

  • ASP.NET

요약

이 항목에서는 응용 프로그램과 ACS 간에 트러스트를 구성하는 방법을 설명합니다. 트러스트는 ASP.NET 응용 프로그램과 ACS 간에 교환하는 토큰에 서명을 하여 설정합니다.

목차

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

목표

  • ACS 관리 포털의 트러스트 관리 섹션을 파악합니다.

  • X.509 인증서를 사용하여 트러스트를 관리합니다.

  • web.config 및 관리 포털에서 필수 구성을 확인합니다.

개요

응용 프로그램과 ACS 간에 토큰을 올바르게 교환하려면 트러스트를 설정해야 합니다. 트러스트를 설정하면 토큰이 전송 중에 변조되지 않으며 신뢰할 수 있는 당사자를 통해 발급됩니다. ASP.NET 웹 응용 프로그램의 경우 트러스트는 X.509 인증서를 통해 관리되며 ACS 관리 포털의 구성 및 web.config 구성을 기반으로 합니다.

단계 요약

ASP.NET 웹 응용 프로그램과 ACS 간에 트러스트를 설정하고 관리하려면 다음 단계를 수행합니다.

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

1단계 - 토큰 서명 인증서 섹션으로 이동

이 단계에서는 ACS 관리 포털의 트러스트 관리 섹션으로 이동하는 방법을 보여 줍니다.

관리 포털에서 트러스트 관리와 관련된 섹션으로 이동하려면

  1. 인터넷 브라우저를 열고 Windows Azure AppFabric 관리 포털(http://go.microsoft.com/fwlink/?LinkID=129428)로 이동합니다.

  2. Windows Live ID를 사용하여 웹 사이트에 로그온합니다. Windows Live ID가 없으면 등록을 클릭하여 ID를 만듭니다.

  3. Live ID로 로그인하면 관리 포털 페이지로 리디렉션됩니다. 이 페이지의 왼쪽 아래에서 서비스 버스 및 액세스 제어를 클릭합니다.

  4. ACS 관리 포털을 시작하려면 왼쪽의 트리에서 액세스 제어를 클릭하고 구성할 ACS 서비스 네임스페이스를 선택한 후에, 페이지 위쪽의 도구 모음에서 액세스 제어 서비스 단추를 클릭합니다.

  5. 액세스 제어 서비스 페이지에서 신뢰 당사자 응용 프로그램 링크를 클릭합니다.

  6. 신뢰 당사자 응용 프로그램 페이지에서 트러스트를 구성할 원하는 신뢰 당사자 응용 프로그램을 클릭합니다.

  7. 신뢰 당사자 응용 프로그램 편집 페이지에서 아래쪽의 토큰 서명 인증서 섹션으로 스크롤합니다.

  8. 원하는 키를 클릭합니다.

2단계 - X.509 인증서를 사용하여 트러스트 구성

이 단계에서 X.509 인증서를 사용하여 ASP.NET 웹 응용 프로그램과 ACS 간에 트러스트를 구성하고 관리하는 방법을 보여 줍니다. 신뢰 당사자 응용 프로그램에서 WIF(Windows® Identity Foundation)를 사용하는 경우 X.509 인증서 서명 자격 증명을 사용합니다.

X.509 인증서를 사용하여 트러스트를 구성 및 관리하려면

  1. 관리 포털의 토큰 서명 인증서 또는 키 편집 페이지로 이동하지 않은 경우 1단계로 돌아갑니다.

  2. 토큰 서명 인증서 또는 키 편집 페이지에서 다음 값을 제공합니다.

    • 이름 - 선택한 임의의 이름입니다.

    • 유형 - X.509 인증서입니다.

    • 인증서 - ACS에서 기본적으로 제공한 인증서를 사용할 수 있으며, 이 경우에는 작업을 수행할 필요가 없습니다. 원하는 X.509 인증서를 업로드할 수도 있습니다. 인증서는 암호로 보호되어 있어야 하며, 일반적으로 확장명이 .pfx입니다. X.509 인증서를 직접 업로드할 때는 암호 텍스트 상자에 pfx 파일 암호를 입력합니다.

  3. 저장을 클릭합니다.

X.509 인증서 얻기

여러 가지 방법으로 토큰 서명 또는 암호화용 X.509 인증서를 얻을 수 있습니다. 사용하는 방법은 조직에서 사용 가능한 도구 및 요구 사항에 따라 달라집니다.

로컬 인증 기관

조직에서 AD CS(Active Directory 인증서 서비스)와 같은 CA(인증 기관)를 배포한 경우에는 X.509 인증서를 요청할 수 있습니다. 지침이나 사용 권한은 인증 기관 관리자에게 문의해야 할 수 있습니다. Active Directory 인증서 서비스에 대한 자세한 내용은 Active Directory 인증서 서비스(http://go.microsoft.com/fwlink/?linkid=208371)를 참조하십시오.

상업용 인증 기관

Verisign과 같은 상업용 인증 기관에서 X.509 인증서를 구입할 수 있습니다. 이 문서는 Labs 릴리스이므로 로컬 인증 기관(사용 가능한 경우)을 사용하거나 자체 서명된 인증서를 생성하는 것이 좋습니다(아래 참조).

자체 서명된 인증서 생성

소프트웨어를 사용하여 ACS에서 사용할 자체 서명된 인증서를 직접 생성할 수 있습니다. 이 방법은 일반적으로 테스트용으로만 사용하는 것이 좋지만, 로컬 CA에 액세스할 수 없거나 상업용 CA를 구입하지 않으려는 경우에도 누구나 사용할 수 있습니다. Windows를 실행하는 경우에는 Microsoft Windows SDK(http://go.microsoft.com/fwlink/?linkid=84091)의 일부분으로 MakeCert.exe를 다운로드한 다음 인증서를 생성하는 데 사용할 수 있습니다.

Windows 7 또는 Windows Vista®를 실행하는 컴퓨터에서 자체 서명된 인증서를 내보내려면

  1. 관리자 권한으로 시작을 클릭하고 검색 상자에 다음 텍스트를 입력한 후에 Enter 키를 누릅니다.
    mmc

  2. MMC 콘솔에서 파일을 클릭한 다음 스냅인 추가/제거를 클릭합니다.

  3. 인증서를 선택한 다음 추가를 클릭합니다.

  4. 내 사용자 계정을 선택하고 마침을 클릭합니다.

  5. 독립 실행형 스냅인 추가 대화 상자를 닫으려면 확인을 클릭합니다.

  6. 콘솔에서 인증서 - 현재 사용자를 두 번 클릭합니다.

  7. 콘솔에서 개인, 인증서를 차례로 확장합니다.

  8. 이전에 만든 인증서를 마우스 오른쪽 단추로 클릭합니다. 모든 작업, 내보내기를 차례로 클릭하여 인증서 내보내기 마법사를 시작합니다.

  9. 인증서 내보내기 마법사 시작 페이지에서 다음을 클릭합니다.

  10. 개인 키 내보내기 페이지에서 를 선택하고 개인 키를 내보낸 후에 다음을 클릭합니다.

  11. 파일 내보내기 형식 페이지에서 개인 정보 교환 - PKCS #12(.PFX)가 선택되어 있는지 확인합니다.

  12. 암호 필드에 암호를 두 번 입력하고 다음을 클릭합니다.

  13. 파일 이름 필드에 내보낼 파일의 이름을 입력하고 다음을 클릭합니다.

  14. 마침을 클릭합니다.

3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

이 단계에서는 ASP.NET 웹 응용 프로그램의 web.config에서 트러스트 관련 구성 특성의 유효성을 검사하는 방법을 보여 줍니다.

ASP.NET 웹 응용 프로그램의 web.config에서 트러스트 관련 구성을 확인하려면

  1. ASP.NET 웹 응용 프로그램의 web.config를 엽니다.

  2. audiencesUris 노드로 이동한 다음 해당 자식 노드인 add의 값이 ACS 관리 포털의 신뢰 당사자 편집 페이지에 있는 영역 속성에서 구성한 값과 같은지 확인합니다.

    1. http://portal.windows.net(http://go.microsoft.com/fwlink/?LinkID=129428)으로 이동합니다.

    2. Windows Live ID를 사용하여 인증하지 않은 경우에는 해당 ID로 인증해야 합니다.

    3. Windows Live ID로 인증하고 나면 Windows Azure AppFabric 포털의 내 프로젝트 페이지로 리디렉션됩니다.

    4. 내 프로젝트 페이지에서 원하는 프로젝트 이름을 클릭합니다.

    5. 원하는 네임스페이스의 액세스 제어 링크를 클릭합니다.

    6. 액세스 제어 설정: <<네임스페이스>> 페이지에서 액세스 제어 관리 링크를 클릭합니다.

    7. 액세스 제어 서비스 페이지에서 신뢰 당사자 응용 프로그램 링크를 클릭합니다.

    8. 신뢰 당사자 응용 프로그램 페이지에서 원하는 응용 프로그램을 클릭합니다.

    9. 신뢰 당사자 응용 프로그램 편집 페이지에서 Realm 특성을 검토합니다.

표시:
© 2014 Microsoft