인증서 및 키 관리 지침
적용 대상
- Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)
요약
이 항목에서는 ACS에서 인증서 및 키를 사용하기 위한 지침을 설명합니다. 인증서 및 키는 의도적으로 만료되므로 만료 날짜를 추적하고 만료 전에 적절한 조치를 취하여 ACS를 사용하는 애플리케이션이 중단 없이 계속 제대로 작동하도록 하는 것이 중요합니다.
중요
만료를 추적하고 Access Control 네임스페이스, 신뢰 당사자 애플리케이션, 서비스 ID 및 ACS 관리 서비스 계정에서 사용하는 인증서, 키 및 암호를 갱신합니다.
목표
만료 날짜를 추적해야 하는 인증서 및 키를 나열합니다.
인증서 및 키 갱신 절차에 대해 간략하게 설명합니다.
중요
오류 메시지 및 갱신 프로세스에 대한 내용은 이 항목의 특정 인증서, 자격 증명 또는 키 섹션을 참조하세요.
개요
인증서는 만료되므로 현재 인증서가 만료되기 전에 미리 새 인증서를 업로드하는 것이 좋습니다. 이를 위해 수행해야 하는 단계는 대략적으로 다음과 같습니다.
새 보조 인증서를 업로드합니다.
서비스를 사용하는 파트너에게 예정된 변경 내용을 알립니다. 파트너는 신뢰 당사자에 대해 인증서 구성을 업데이트해야 합니다. 예를 들어 ASP.NET 웹 응용 프로그램에서 trustedIssuers 노드의 web.config에 구성된 인증서의 지문을 업데이트해야 합니다.
이전 인증서는 적절한 유예 기간 동안 그대로 유지하면서 새 인증서로 서명을 전환합니다(새 인증서를 기본으로 지정).
유예 기간이 끝나면 이전 인증서를 제거 합니다.
인증서 또는 키가 만료되면 ACS에서 토큰을 발급하려는 시도가 실패하고 신뢰 당사자 애플리케이션이 제대로 작동할 수 없습니다. ACS는 만료된 인증서 및 키를 무시하므로 인증서 또는 키가 구성되지 않은 경우 throw되는 것과 동일한 예외가 발생합니다.
다음 섹션에서는 ACS에서 사용하는 인증서 및 키 관리, 인증서를 갱신하는 방법 및 만료가 가까워지거나 만료된 인증서 및 키를 식별하는 방법에 대한 정보를 제공합니다.
Access Control 네임스페이스 및 신뢰 당사자 애플리케이션에 대한 인증서 및 키를 관리하려면 ACS 관리 포털의 인증서 및 키 페이지를 사용합니다. 이러한 자격 증명 유형에 대한 자세한 내용은 인증서 및 키를 참조하세요.
서비스 ID의 자격 증명(인증서, 키 또는 암호)을 관리하려면 ACS 관리 포털의 서비스 ID 페이지를 사용합니다. 서비스 ID에 대한 자세한 내용은 서비스 ID를 참조하세요.
ACS 관리 서비스 계정의 자격 증명(인증서, 키 또는 암호)을 관리하려면 ACS 관리 포털의 관리 서비스 페이지를 사용합니다. ACS 관리 서비스에 대한 자세한 내용은 ACS 관리 서비스를 참조하세요.
WS-Federation ID 공급자의 인증서를 관리하려면(예: AD FS 2.0) ACS 관리 포털의 ID 공급자 페이지를 사용합니다. 자세한 내용은 WS-Federation ID 공급자 인증서 및 WS-페더레이션 ID 공급자를 참조하세요.
WS-Federation ID 공급자 인증서 및 키를 프로그래밍 방식으로 보고 업데이트하려면 ACS 관리 서비스를 사용합니다. 인증서의 유효 날짜를 확인하려면 IdentityProviderKey 엔터티의 StartDate 및 EndDate 속성 값을 쿼리합니다. 자세한 내용은 KeyManagement 코드 샘플인 코드 샘플: 키 관리를 다운로드합니다.
만료된 인증서 또는 키로 서명된 토큰을 요청하면 ACS는 인증서 또는 키와 관련된 ACS 오류 코드 가 있는 예외를 throw합니다. 관련 오류 코드에 대한 내용은 아래 섹션을 참조하세요.
사용 가능한 인증서 및 키
다음 목록에는 ACS에서 사용되며 만료 날짜에 대해 추적해야 하는 사용 가능한 인증서 및 키가 표시됩니다.
중요
오류 메시지 및 갱신 프로세스에 대한 내용은 이 항목의 특정 인증서, 자격 증명 또는 키 섹션을 참조하세요.
토큰 서명 인증서
토큰 서명 키
토큰 암호화 인증서
토큰 암호 해독 인증서
서비스 ID 자격 증명
ACS 관리 서비스 계정 자격 증명
WS-Federation ID 공급자 서명 및 암호화 인증서
이 항목의 나머지 부분에서는 각 인증서와 키에 대해 자세히 설명합니다.
토큰 서명 인증서
ACS는 발급된 모든 보안 토큰에 서명합니다. X.509 인증서를 사용하여 응용 프로그램에 대해 SAML 토큰에 서명합니다.
서명 인증서가 만료되면 토큰을 요청할 때 ACS에 다음 오류가 표시됩니다.
| 오류 코드 | 메시지 | 해결책 |
|---|---|---|
ACS50004 |
기본 X.509 서명 인증서가 구성되어 있지 않습니다. SAML에는 서명 인증서가 필요합니다. |
선택한 신뢰 당사자가 SAML 토큰을 사용하는 경우 신뢰 당사자 또는 Access Control 네임스페이스에 대해 유효한 X.509 인증서가 구성되어 있는지 확인합니다. 해당 인증서는 기본 인증서로 설정되어 있으며 유효 기간이 지나지 않은 상태여야 합니다. |
서명 인증서를 갱신하려면
Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)
Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.
인증서 및 키를 클릭합니다.
만료 직전 또는 만료됨 상태의 인증서를 선택합니다.
참고
인증서 및 키 섹션에서 Access Control 네임스페이스에 대한 인증서 및 키는 서비스 네임스페이스로 레이블이 지정됩니다.
필요에 따라 인증서를 입력하거나 생성합니다.
개시 날짜 및 만료 날짜를 업데이트합니다.
저장을 클릭하여 완료합니다.
토큰 서명 키
ACS는 발급된 모든 보안 토큰에 서명합니다. ACS는 ACS에서 발급한 SWT 토큰을 사용하는 애플리케이션에 256비트 대칭 서명 키를 사용합니다.
서명 키가 만료되면 토큰을 요청할 때 다음 오류가 표시됩니다.
| 오류 코드 | 메시지 | 해결책 |
|---|---|---|
ACS50003 |
기본 대칭 서명 키가 구성되어 있지 않습니다. SWT에는 대칭 서명 키가 필요합니다. |
선택한 신뢰 당사자가 SWT를 토큰 형식으로 사용하는 경우 신뢰 당사자 또는 Access Control 네임스페이스에 대해 대칭 키가 구성되고 키가 기본으로 설정되고 만료되지 않았는지 확인합니다. |
서명 키를 갱신하려면
Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)
Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.
인증서 및 키를 클릭합니다.
만료 직전 또는 만료됨 상태의 키를 선택합니다.
참고
인증서 및 키 섹션에서 Access Control 네임스페이스에 대한 인증서 및 키는 서비스 네임스페이스로 레이블이 지정됩니다.
필요에 따라 키를 입력하거나 생성합니다.
개시 날짜 및 만료 날짜를 업데이트합니다.
저장을 클릭하여 완료합니다.
토큰 암호화 인증서
신뢰 당사자 응용 프로그램이 WS-Trust 프로토콜을 통해 소유 증명 토큰을 사용하는 웹 서비스인 경우에는 토큰 암호화가 필요합니다. 다른 경우에는 토큰 암호화는 선택 사항입니다.
암호화 인증서가 만료되면 토큰을 요청할 때 다음 오류가 표시됩니다.
| 오류 코드 | 메시지 | 해결책 |
|---|---|---|
ACS50005 |
토큰을 암호화해야 하는데 신뢰 당사자에 대해 암호화 인증서가 구성되어 있지 않습니다. |
선택한 신뢰 당사자에 대해 토큰 암호화를 사용하지 않도록 설정하거나 토큰 암호화에 사용할 X.509 인증서를 업로드합니다. |
암호화 인증서를 갱신하려면
Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)
Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.
인증서 및 키를 클릭합니다.
만료 직전 또는 만료됨 상태의 인증서를 선택합니다.
참고
인증서 및 키 섹션에서 Access Control 네임스페이스에 대한 인증서 및 키는 서비스 네임스페이스로 레이블이 지정됩니다.
새 인증서 파일을 입력하거나 찾은 다음 해당 파일의 암호를 입력합니다.
저장을 클릭하여 완료합니다.
토큰 암호 해독 인증서
ACS는 AD FS 2.0과 같은 WS-Federation ID 공급자의 암호화된 토큰을 수락할 수 있습니다. ACS는 암호 해독을 위해 ACS에서 호스트되는 X.509 인증서를 사용합니다.
암호 해독 인증서가 만료되면 토큰을 요청할 때 다음 오류가 표시됩니다.
| 오류 코드 | 메시지 |
|---|---|
ACS10001 |
SOAP 헤더를 처리하는 동안 오류가 발생했습니다. |
ACS20001 |
WS-Federation 로그인 응답을 처리하는 동안 오류가 발생했습니다. |
암호 해독 인증서를 갱신하려면
Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)
Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.
인증서 및 키를 클릭합니다.
ACS 관리 포털의 인증서 및 키 섹션을 사용하여 Access Control 네임스페이스 및 신뢰 당사자 애플리케이션과 관련된 인증서 또는 키를 관리합니다.
만료 직전 또는 만료됨 상태의 인증서를 선택합니다.
참고
인증서 및 키 섹션에서 Access Control 네임스페이스에 대한 인증서 및 키는 서비스 네임스페이스로 레이블이 지정됩니다.
새 인증서 파일을 입력 또는 검색한 후 해당 파일의 암호를 입력합니다.
저장을 클릭하여 완료합니다.
서비스 ID 자격 증명
서비스 ID는 Access Control 네임스페이스에 대해 전역적으로 구성된 자격 증명입니다. 애플리케이션 또는 클라이언트가 ACS를 사용하여 직접 인증하고 토큰을 받을 수 있습니다. ACS 서비스 ID는 대칭 키, 암호 및 X.509 인증서를 사용할 수 있습니다. ACS는 자격 증명이 만료되면 다음 예외를 throw합니다.
| 자격 증명 | 오류 코드 | 메시지 | 해결책 |
|---|---|---|---|
대칭 키, 암호 |
ACS50006 |
서명을 확인하지 못했습니다 (자세한 내용은 메시지 참조). |
|
X.509 인증서 |
ACS50016 |
'인증서 주체 이름>' 및 지문< '<인증서 지문>'이 있는 X509Certificate가 구성된 인증서와 일치하지 않습니다. |
요청한 인증서가 ACS에 업로드되었는지 확인합니다. |
대칭 키 또는 암호의 만료 날짜를 확인하고 업데이트하거나 서비스 ID 자격 증명으로 새 인증서를 업로드하려면 방법: X.509 인증서, 암호 또는 대칭 키를 사용하여 서비스 ID 추가에 설명된 지침을 따릅니다. 서비스 ID 자격 증명 목록은 서비스 ID 편집 페이지에서 확인할 수 있습니다.
ACS 관리 포털의 서비스 ID 페이지로 이동합니다.
서비스 ID를 선택합니다.
만료됨 또는 만료 직전 상태의 X.509 인증서, 자격 증명, 대칭 키 또는 암호를 선택합니다.
대칭 키의 경우 새 키를 입력 또는 생성한 후 개시 날짜 및 만료 날짜를 입력합니다. 저장을 클릭합니다.
암호의 경우 새 암호를 입력한 후 개시 날짜 및 만료 날짜를 입력합니다. 저장을 클릭합니다.
X.509 인증서의 경우 새 인증서 파일을 입력 또는 검색한 후 저장을 클릭합니다.
관리 서비스 자격 증명
ACS 관리 서비스는 프로그래밍 방식으로 Access Control 네임스페이스에서 설정을 관리하고 구성할 수 있는 ACS의 핵심 구성 요소입니다. ACS 관리 서비스 계정은 대칭 키, 암호 및 X.509 인증서를 사용할 수 있습니다. 이러한 자격 증명이 만료되면 ACS는 다음 예외를 throw합니다.
| 자격 증명 | 오류 코드 | 메시지 | 해결책 |
|---|---|---|---|
대칭 키 또는 암호 |
ACS50006 |
서명을 확인하지 못했습니다 (자세한 내용은 메시지 참조). |
|
X.509 인증서 |
ACS50016 |
'인증서 주체 이름>' 및 지문< '<인증서 지문>'이 있는 X509Certificate가 구성된 인증서와 일치하지 않습니다. |
요청한 인증서가 ACS에 업로드되었는지 확인합니다. |
ACS 관리 서비스 계정 자격 증명 목록은 ACS 관리 포털의 관리 서비스 계정 편집 페이지에 표시됩니다.
ACS 관리 포털의 관리 서비스 페이지로 이동합니다.
관리 서비스 계정을 선택합니다.
자격 증명, 대칭 키, 암호 또는 X.509 인증서의 상태가 만료되었거나 만료될뻔한 인증서를 선택합니다.
대칭 키의 경우 새 키를 입력하거나 생성하고 유효 및 만료 날짜를 입력 합니다 . 저장을 클릭합니다.
암호의 경우 새 암호를 입력한 후 개시 날짜 및 만료 날짜를 입력합니다. 저장을 클릭합니다.
X.509 인증서의 경우 새 인증서를 입력 또는 검색한 후 저장을 클릭합니다.
WS-Federation ID 공급자 인증서
WS-Federation ID 공급자의 페더레이션 메타데이터 문서에는 ID 공급자의 토큰에 서명하는 데 사용되는 X.509 인증서를 식별하는 지문이 포함됩니다.
WS-Federation ID 공급자 인증서가 유효 날짜 범위 내에 있는지 확인하려면 ACS 관리 서비스 또는 ACS 관리 포털을 사용합니다.
ACS 관리 포털을 사용하려면
Azure 관리 포털에 로그인합니다 https://manage.WindowsAzure.com.
액세스 제어 네임스페이스를 선택한 후 관리를 클릭합니다. 또는 액세스 제어 네임스페이스를 클릭하고 액세스 제어 네임스페이스를 선택한 후 관리를 클릭합니다.
ACS 관리 포털에서 ID 공급자를 클릭한 후 WS-Federation ID 공급자를 선택합니다.
토큰 서명 인증서 섹션에서 WS-Federation ID 공급자 인증서의 개시 날짜와 상태를 확인합니다.
인증서 상태가 만료됨이거나 만료 직전인 경우 WS-Federation ID 공급자(AD FS 또는 사용자 지정 ID 공급자)가 보조 서명 인증서를 추가했는지 확인합니다.
WS-Federation ID 공급자에 대해 URL을 사용하여 페더레이션 메타데이터를 확인한 경우 저장 시 WS-Federation 메타데이터 URL에서 데이터 다시 가져오기를 선택한 후 저장을 클릭합니다. WS-Federation 메타데이터를 로컬 파일로 업로드한 경우에는 새 WS-Federation 메타데이터 파일을 다시 업로드한 후 저장을 클릭합니다.
ACS가 만료되었거나 알 수 없는 인증서로 서명된 ID 공급자로부터 토큰을 수신하면 ACS에서는 다음 예외가 발생합니다.
| 오류 코드 | 메시지 |
|---|---|
ACS10001 |
SOAP 헤더를 처리하는 동안 오류가 발생했습니다. |
ACS20001 |
WS-Federation 로그인 응답을 처리하는 동안 오류가 발생했습니다. |
ACS50006 |
서명을 확인하지 못했습니다 (자세한 내용은 메시지 참조). |
참고 항목
작업
개념
ACS 오류 코드
ACS 지침 색인
ACS 관리 서비스
인증서 및 키
방법: X.509 인증서, 암호 또는 대칭 키를 사용하여 서비스 ID 추가
신뢰 당사자 애플리케이션
서비스 ID