CardSpace 샘플 인증서 설치
CardSpace 샘플을 사용하려면 SSL 인증서, 가상 웹 디렉터리 및 호스트 파일 항목이 설치되어 있어야 합니다. 이 문서에서는 필요한 인증서를 설치하는 방법을 보여 주고 대체 인증서를 설치하는 데 사용할 단계를 살펴봅니다.
시작하기 전에
One-Time Setup Procedure for the Windows Communication Foundation Samples의 설치에 성공해야 CardSpace 샘플을 설치할 수 있습니다.
샘플의 빠른 설치
인증서를 설치하려면 웹 사이트에 대한 가상 호스트를 만들고 호스트 항목을 모두 한 번에 만든 다음 샘플 디렉터리에 있는 Setup.bat 배치 파일을 실행합니다. 이렇게 하면 각 스크립트가 한 번에 하나씩 실행됩니다.
모두 제거하려면 샘플 디렉터리에 있는 Cleanup.bat 배치 파일을 실행합니다. 이렇게 하면 스크립트, 웹 사이트 및 호스트 항목이 제거되지만 파일은 삭제되지 않습니다.
인증서 정보
이 문서에서는 필요한 인증서를 설치하는 방법을 보여 줍니다. 인증서에 대한 자세한 내용은 다음 문서를 참조하십시오.
인증서란?(영문 페이지일 수 있음)
인증서의 작동 방식(영문 페이지일 수 있음)
인증서 도구 및 설정(영문 페이지일 수 있음)
CA 인증서에 대한 자세한 내용은 다음 문서를 참조하십시오.
CA 인증서란?(영문 페이지일 수 있음)
CA 인증서의 작동 방식(영문 페이지일 수 있음)
CA 인증서 도구 및 설정(영문 페이지일 수 있음)
요구 사항
이 연습은 Windows XP SP2, Windows Server 2003 SP1 및 Windows Vista용으로 디자인되었습니다. 다음 구성 요소가 설치되어 있어야 합니다.
Microsoft .NET Framework 3.0
IIS 5.0(Windows XP SP2), IIS 6.0(Windows Server 2003) 또는 IIS 7.0(Windows Vista)
참고
Windows Vista의 경우 IIS 6.0 호환성 지원이 IIS 7.0에 설치되어 있는지 확인합니다.
다음 인증서가 인증서 폴더에 있습니다.
다음 파일이 웹 사이트 폴더에 있습니다.
images\adatum.gif
images\contoso.gif
images\fabrikam.gif
crldata\adatum.crl
CardSpace\default.html
다음 스크립트 파일이 스크립트 폴더에 있습니다.
Install-certificates.vbs
Remove-certificates.vbs
Install-website.vbs
Remove-website.vbs
Install-hosts.vbs
Remove-hosts.vbs
인증서 정보
여기에 있는 인증서는 예시 목적으로만 제공됩니다. 루트 CA 인증서는 .sst(Microsoft 일련 인증서 저장소) 파일로 저장됩니다. 웹 사이트 인증서는 모두 .pfx 파일로 저장됩니다. 인증서는 브라우저 시나리오 및 WCF(Windows Communication Foundation) 시나리오라는 두 범주의 시나리오에 사용됩니다.
샘플 인증서는 포함 로고 이미지가 있는 높은 보증 인증서입니다. HA(높은 보증) 인증서는 인증서가 발급된 대상인 주체를 확인하기 위해 추가 단계를 수행한 CA에서 발급됩니다. Internet Explorer 7.0에서는 이러한 HA 인증서로 인해 주소 표시줄의 색상이 변경됩니다. 브라우저가 정보를 확인할 수 있고 인증서가 체크 아웃되면 주소 표시줄이 녹색으로 변합니다.
.gif)
HA 인증서나 일반 인증서를 확인하는 데 문제가 있으면 Internet Explorer 7.0에서 주소 표시줄이 노란색으로 변합니다.
.gif)
또한 Internet Explorer 7.0에서 피싱 사이트로 의심하는 경우 주소 표시줄이 빨간색으로 변합니다.
.gif)
일반 SSL 인증서의 경우 주소 표시줄이 흰색으로 유지됩니다.
로고 확장을 통해 CA는 그래픽 이미지를 인증서에 포함시키고 확인할 대상 URL을 제공할 수 있습니다. 샘플 인증서의 로고 그래픽에 대한 URL은 http://www.adatum.com/images/\<logo>.gif로 구성됩니다. 여기서 <logo>는 로고의 이름입니다.
Internet Explorer 7.0 브라우저 시나리오와 WCF 시나리오의 경우 인증서를 웹 서버에 설치하고 IIS에서 가상 디렉터리 아래에 그래픽 로고를 설치해야 하며 샘플 도메인 이름(Fabrikam, Contoso 및 Adatum)을 포함하도록 호스트 파일을 수정해야 합니다.
모든 시나리오에서 여러 컴퓨터 간에 샘플을 사용하려면 메모장을 사용하여 호스트 파일을 편집하는 방법으로 c:\windows\system32\drivers\etc\hosts 파일을 수동으로 변경합니다.
.gif)
다음 항목을 추가합니다. 여기서 127.0.0.1 대신 서버의 적절한 IP 주소를 사용해야 합니다.
127.0.0.1 www.adatum.com adatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
샘플 웹 사이트 및 URL
샘플 응용 프로그램과 웹 사이트는 IIS에서 기본 웹 응용 프로그램 아래에 가상 디렉터리를 만듭니다. 이 가상 디렉터리는 포트 80에 바인딩되어야 하고 호스트 헤더를 사용하지 않으므로 www.fabrikam.com, www.adatum.com 및 www.contoso.com이 모두 동일한 웹 서버를 공유할 수 있도록 합니다. SSL 채널은 www.fabrikam.com에 대한 인증서에 바인딩되며 HTTPS 연결에 사용됩니다. 예를 보여 주기 위해 개별 샘플은 기본 웹 사이트에 가상 디렉터리를 만듭니다.
인증서의 설치
가상의 CA(Adatum)의 루트 CA 인증서는 로컬 컴퓨터 저장소(localMachine:root)의 "신뢰할 수 있는 루트 인증 기관" 위치에 설치되어야 합니다.
회사 인증서(Contoso 및 Fabrikam)는 로컬 컴퓨터 저장소(localMachine:My)의 "Personal" 위치에 설치되어야 합니다. 모든 .pfx 파일에 대한 암호는 비어 있습니다. 스크립트 폴더에서 Install-certificates.vbs 스크립트를 실행합니다. 이 스크립트를 실행하면 적절한 저장소에 인증서가 설치됩니다. 스크립트가 실행될 때 계속하기 전에 다음과 같은 메시지가 표시됩니다.
.gif)
CAPICOM에서 추가 보안 예방 조치로 스크립트에서 CA 인증서가 설치되고 있다는 경고를 표시할 수 있습니다. 진행하려면 인증서를 받아들입니다.
.gif)
스크립트에서는 실행 중에 추가 정보를 제공하는 두 선택적 명령줄 매개 변수인 DEBUG와 VERBOSE도 지원합니다.
전문가의 경우 Microsoft Management Console을 통해 수동으로 인증서를 설치합니다.
그래픽 로고 및 CRL의 설치
인증서에 있는 로고 확장에 대한 그래픽 이미지는 클라이언트에서 확인을 위해 사용할 수 있어야 합니다.
| 회사 | URL | 이미지 |
|---|---|---|
Adatum |
http://www.adatum.com/images/adatum.gif |
<Datum-Image> |
Contoso |
https://www.contoso.com/images/contoso.gif |
<Contoso-Image> |
Fabrikam |
http://www.fabrikam.com/images/fabrikam.gif |
<Fabrikam-Image> |
스크립트 폴더에서 Install-website.vbs 스크립트를 실행합니다. 스크립트에서는 CRL(인증서 해지 목록)과 인증서 로고에 대한 가상 디렉터리를 만듭니다.
.gif)
전문가의 경우 IIS MMC 스냅인을 통해 가상 디렉터리를 수동으로 만듭니다. 설치 폴더 안의 폴더를 가리키는 세 디렉터리가 다음 표에 나와 있습니다.
| 가상 디렉터리 | 경로 |
|---|---|
crldata |
.\website\crldata |
CardSpace |
.\website\CardSpace |
images |
.\website\images |
호스트 파일의 수정
c:\windows\system32\drivers\etc\hosts 파일은 URL이 로컬 컴퓨터로 확인되도록 샘플에 대해 수정됩니다.
스크립트 폴더에서 Install-hosts.vbs 스크립트를 실행합니다. 스크립트를 실행하면 호스트 파일에 샘플에 대한 항목이 만들어집니다.
전문가의 경우 c:\windows\system32\drivers\etc\hosts 파일을 편집하고 다음 줄을 추가하여 항목을 수동으로 만듭니다.
127.0.0.1 www.adatum.com atatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
성공적인 설치 확인
호스트 파일과 가상 웹 디렉터리 설치를 확인하려면 Internet Explorer를 사용하여 http://www.fabrikam.com/CardSpace로 이동합니다. 브라우저에 샘플에 대한 기본 페이지가 표시됩니다.
IIS: 인증서 개인 키에 대한 ACL
IIS에서 인증서의 개인 키에 액세스하려면 IIS 서비스 계정(Windows XP 및 Windows Vista의 경우 ASPNET이고 Windows Server 2003의 경우 NETWORK SERVICE임)이 파일에 대한 읽기 권한을 얻을 수 있도록 ACL을 설정해야 합니다. 이 작업은 인증서 설치 스크립트에서 처리됩니다. 다른 인증서의 개인 키에 대한 사용 권한을 설정하려면 Windows SDK의 Findprivatekey.exe와 Cacls.exe를 사용하여 다른 인증서의 지문에서 대체합니다.
findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls
cacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120
제거
샘플 인증서, 가상 디렉터리 및 호스트 항목을 제거하려면 다음 스크립트를 실행합니다.
Remove-certificates.vbs
Remove-website.vbs
Remove-hosts.vbs
인증서, 웹 사이트 및 호스트의 등록이 제거됩니다.
참고
파일은 설치 디렉터리에서 삭제되지 않습니다.
CA 인증서가 시스템에서 제거되면 스크립트에서 다음과 같은 메시지를 표시할 수 있습니다.
.gif)
Yes를 클릭하여 인증서가 제거될 수 있도록 허용합니다.
문제 해결
Internet Explorer 프록시 설정: 브라우저 샘플이 제대로 작동하려면 Internet Explorer 설정에 다음을 추가하여 프록시를 우회해야 할 수 있습니다.
www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com
자동으로 검색된 프록시를 사용하는 경우 자동 검색을 해제하고 프록시 정보를 수동으로 입력합니다. 시스템 관리자에게 프록시 구성에 대한 정보를 요청하십시오.
인증서 변경 내용을 제대로 보는 데 문제가 있으면 Internet Explorer에서 SSL 인증서 캐시를 지웁니다. Internet Explorer에서 도구 및 인터넷 옵션을 차례로 클릭하고 SSL 상태 지우기 단추를 선택한 다음 Internet Explorer의 모든 인스턴스를 닫습니다.
.gif)
Internet Explorer 7.0 브라우저 시나리오에서는 SSL 연결을 사용하며 SSL 인증서를 사용하여 기본 웹 사이트를 설정하도록 합니다. SSL 연결 문제를 해결하는 데 시간이 오래 걸릴 수 있지만 요약된 몇 가지 팁을 사용하면 대부분의 문제를 쉽게 해결할 수 있습니다.
시작하려면 IIS용 SSL 진단 유틸리티(영문 페이지일 수 있음)를 다운로드합니다.
참고
이 문서에 나와 있는 모든 스크린 샷은 Windows Vista를 실행하는 컴퓨터에서 얻은 것입니다. 이전 버전의 운영 체제에서 실행하는 경우에는 약간 다른 대화 상자가 표시될 수도 있습니다.
참고 항목
기타 리소스
Using CardSpace in Windows Communication Foundation
.gif)
이 항목에 대한 의견을 Microsoft에 보내 주십시오.
Copyright © 2007 by Microsoft Corporation. All rights reserved.