사전 조건

CA 인증서 요구 사항

사용자 인증서 요구 사항

인증서 해지 확인 프로세스

기타 고려 사항

CA 인증서를 등록할 수 있으려면 만료일까지 90일 이상 남아 있어야 합니다.

CA 인증서는 개인 정보 보호 강화 메일 () PEM 형식이어야 합니다. Active Directory 내에서 CA 인증서를 내보내는 경우 Base64로 인코딩된 X.509 (. CER) 를 내보내기 파일 형식으로 사용합니다.

스마트 카드 인증이 성공하려면 발급하는 CA에서 사용자 인증서로 연결되는 모든 루트 및 중간 CA 인증서를 업로드해야 합니다.

AD Connector 디렉터리당 최대 100개의 CA 인증서를 저장할 수 있습니다

AD Connector는 CA 인증서에 대한 RSASSA - PSS 서명 알고리즘을 지원하지 않습니다.

인증서 전파 서비스가 자동으로 설정되어 실행 중인지 확인하십시오.

사용자의 스마트 카드 인증서에는 사용자 (SAN) 의 주체 대체 이름 userPrincipalName (UPN) 이 있습니다.

사용자의 스마트 카드 인증서에는 스마트 카드 로그온 (1.3.6.1.4.1.311.20.2.2) 과 같은 고급 키 사용이 있습니다 (1.3.6.1.4.1.311.20.2.2) 클라이언트 인증 (1.3.6.1.5.5.7.3.2).

사용자 스마트 카드 인증서에 대한 온라인 인증서 상태 프로토콜 (OCSP) 정보는 기관 정보 액세스의 액세스 방법=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1) 이어야 합니다.

AD Connector는 OCSP 응답자의 사용자 인증서에서 기관 정보 액세스 (AIA) 확장을 확인해야 URL 하며, 그러면 AD Connector는 를 사용하여 URL 해지를 확인합니다.

AD Connector가 사용자 인증서 AIA 확장에서 URL 찾은 내용을 확인하지 못하거나 사용자 URL 인증서에서 OCSP 응답자를 찾을 수 없는 경우 AD Connector는 루트 CA 인증서 등록 중에 OCSP URL 제공된 선택 사항을 사용합니다.

사용자 인증서 URL AIA 확장에 있는 가 확인되지만 응답하지 않는 경우 사용자 인증이 실패합니다.

루트 CA 인증서 등록 중에 URL 제공된 OCSP 응답자가 문제를 해결할 수 없거나 응답이 없거나 OCSP 응답자가 제공되지 않은 경우 사용자 URL 인증이 실패합니다.

OCSP서버는 6960을 준수해야 합니다. RFC 또한 OCSP 서버는 총 255바이트보다 작거나 같은 요청에 대해 이 GET 방법을 사용하는 요청을 지원해야 합니다.

AD Connector는 인증서 기반 상호 전송 계층 보안 인증 (상호TLS) 을 사용하여 하드웨어 또는 소프트웨어 기반 스마트 카드 인증서를 사용하여 Active Directory에 사용자를 인증합니다. 현재는 일반 액세스 카드 (CAC) 및 개인 ID 확인 (PIV) 카드만 지원됩니다. 다른 유형의 하드웨어 또는 소프트웨어 기반 스마트 카드도 작동할 수 있지만 스트리밍 프로토콜과 함께 사용할 수 있는지 테스트되지는 않았습니다. WorkSpaces

스마트 카드 인증은 사용자 이름 및 암호 인증을 로 대체합니다. WorkSpaces

스마트 카드 인증을 사용하도록 AD Connector 디렉터리에 다른 AWS 응용 프로그램을 구성한 경우에도 해당 응용 프로그램에는 여전히 사용자 이름 및 암호 입력 화면이 표시됩니다.

스마트 카드 인증을 활성화하면 사용자 세션 길이가 Kerberos 서비스 티켓의 최대 수명으로 제한됩니다. 그룹 정책을 사용하여 이 설정을 구성할 수 있으며 기본적으로 10시간으로 설정되어 있습니다. 이 설정에 대한 자세한 내용은 Microsoft 설명서를 참조하세요.

AD Connector 서비스 계정의 지원되는 Kerberos 암호화 유형은 도메인 컨트롤러에서 지원하는 각 Kerberos 암호화 유형과 일치해야 합니다.