기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 클라이언트 SDK 5를 사용하여 Windows Server를 인증 기관(CA)으로 구성
<a name="win-ca-overview-sdk5"></a>

퍼블릭 키 인프라(PKI)에서 인증 기관(CA)은 디지털 인증서를 발행하는 믿을 수 있는 단체입니다. 이러한 디지털 인증서는 퍼블릭 키 암호화 및 디지털 서명을 사용하여 퍼블릭 키를 ID(개인 또는 조직)에 바인딩합니다. CA를 운영하려면 CA에서 발급한 인증서에 서명하는 프라이빗 키를 보호하여 신뢰성을 유지해야 합니다. AWS CloudHSM 클러스터의 HSM에 프라이빗 키를 저장하고 HSM을 사용하여 암호화 서명 작업을 수행할 수 있습니다.

이 자습서에서는 Windows Server 및 AWS CloudHSM 를 사용하여 CA를 구성합니다. Windows 서버에 Windows용 AWS CloudHSM 클라이언트 소프트웨어를 설치한 후 Windows Server에 AD CS(Active Directory Certificate Services) 역할을 추가합니다. 이 역할을 구성할 때 AWS CloudHSM 키 스토리지 공급자(KSP)를 사용하여 CA의 프라이빗 키를 생성하고 AWS CloudHSM 클러스터에 저장합니다. KSP는 Windows 서버를 AWS CloudHSM 클러스터에 연결하는 브리지입니다. 마지막 단계에서는 Windows Server CA와 함께 인증서 서명 요청(CSR)을 서명합니다.

자세한 내용은 다음 항목을 참조하세요.

**Topics**
+ [1단계: 사전 조건 설정](#win-ca-prerequisites-sdk5)
+ [2단계:를 사용하여 Windows Server CA 생성 AWS CloudHSM](#win-ca-setup-sdk5)
+ [3단계:를 사용하여 Windows Server CA로 인증서 서명 요청(CSR)에 서명 AWS CloudHSM](#win-ca-sign-csr-sdk5)

## 1단계: 사전 조건 설정
<a name="win-ca-prerequisites-sdk5"></a>

Windows Server를 CA(인증 기관)로 설정하려면 다음이 AWS CloudHSM필요합니다.
+ 하나 이상의 HSM이 있는 활성 AWS CloudHSM 클러스터입니다.
+ Windows용 AWS CloudHSM 클라이언트 소프트웨어가 설치된 Windows Server 운영 체제를 실행하는 Amazon EC2 인스턴스입니다. 이 자습서에서는 Microsoft Windows Server 2016을 사용합니다.
+ HSM에서 CA 프라이빗 키를 소유하고 관리할 CU(Cryptographic User)입니다.

**를 사용하여 Windows Server CA에 대한 사전 조건을 설정하려면 AWS CloudHSM**

1. [시작하기](getting-started.md)의 단계를 수행하세요. Amazon EC2 클라이언트를 시작할 때 Windows Server AMI를 선택합니다. 이 자습서에서는 Microsoft Windows Server 2016을 사용합니다. 해당 단계를 수행하면 한 개의 HSM이 있는 활성 클러스터가 생깁니다. Windows용 클라이언트 소프트웨어가 설치된 상태에서 Windows Server를 실행하는 Amazon EC2 AWS CloudHSM 클라이언트 인스턴스도 있습니다.

1. (선택 사항) 클러스터에 HSM을 더 추가합니다. 자세한 내용은 [AWS CloudHSM 클러스터에 HSM 추가](add-hsm.md) 단원을 참조하십시오.

1. 클라이언트 인스턴스에 연결합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)을 참조하세요.

1. [CloudHSM CLI로 HSM 사용자 관리](manage-hsm-users-chsm-cli.md) 또는 [CloudHSM 관리 유틸리티(CMU)로 HSM 사용자 관리](manage-hsm-users-cmu.md)를 사용하여 Crypto User(CU)를 생성합니다. CU의 사용자 이름과 암호를 기록합니다. 다음 단계에서 해당 정보가 필요합니다.

1. 이전 단계에서 생성한 CU 사용자 이름과 암호를 사용하여 [HSM의 로그인 자격 증명을 설정](ksp-library-authentication.md)합니다.

1. 5단계에서 Windows 자격 증명 관리자를 사용하여 HSM 자격 증명을 설정한 경우 SysInternals에서 [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)를 다운로드하여 다음 명령을 *NT Authority\$1SYSTEM*으로 실행합니다.

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   *<USERNAME>*과 *<PASSWORD>*를 HSM 자격 증명으로 바꿉니다.

를 사용하여 Windows Server CA를 생성하려면 로 AWS CloudHSM이동합니다[Windows Server CA 생성](#win-ca-setup-sdk5).

## 2단계:를 사용하여 Windows Server CA 생성 AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Windows Server CA를 만들려면 Windows Server에 AD CS(Active Directory 인증서 서비스) 역할을 추가합니다. 이 역할을 추가할 때 AWS CloudHSM 키 스토리지 공급자(KSP)를 사용하여 CA의 프라이빗 키를 생성하고 AWS CloudHSM 클러스터에 저장합니다.

**참고**  
Windows Server CA를 만들 때 루트 CA 또는 종속 CA를 만들도록 선택할 수 있습니다. 일반적으로 퍼블릭 키 인프라 설계 및 조직의 보안 정책을 기준으로 결정합니다. 이 자습서에서는 단순 루트 CA를 만드는 방법을 설명합니다.

**Windows Server에 AD CS 역할을 추가하고 CA의 프라이빗 키를 생성하려면**

1. 아직 역할 추가 및 키를 생성하지 않은 경우 Windows Server에 연결합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)을 참조하세요.

1. Windows Server에서 **서버 관리자**를 시작합니다.

1. **서버 관리자** 대시보드에서 **역할 및 기능 추가**를 선택합니다.

1. **시작하기 전에** 정보를 읽은 후 **다음**을 선택합니다.

1. **Installation Type(설치 유형)**에서 **Role-based or feature-based installation(역할 기반 또는 기능 기반 설치)**을 선택합니다. 이후 **다음**을 선택합니다.

1. **서버 선택**에서 **서버 풀에서 서버 선택**을 선택합니다. 그런 다음 **다음**을 선택합니다.

1. **서버 역할**의 경우 다음을 수행합니다.

   1. **Active Directory 인증서 서비스**를 선택합니다.

   1. **Active Directory 인증서 서비스에 필요한 기능을 추가하시겠습니까?**라는 메시지가 표시되면 **기능 추가**를 선택합니다.

   1. **다음**을 선택하여 서버 역할 선택을 마칩니다.

1. **기능**에서 기본 설정을 그대로 수락하고 **다음**을 선택합니다.

1. **AD CS**의 경우 다음을 수행합니다.

   1. **다음**을 선택합니다.

   1. **Certification Authority**를 선택한 다음 **다음**을 선택합니다.

1. **확인**에서 확인 정보를 읽은 다음 **설치**를 선택합니다. 창을 닫습니다.

1. 강조 표시된 **대상 서버에서 Active Directory 인증서 서비스 구성** 링크를 선택합니다.

1. **자격 증명**에서 표시된 자격 증명을 확인하거나 변경합니다. 그리고 **다음**을 선택합니다.

1. **역할 서비스**에서 **인증 기관**을 선택합니다. 그리고 **다음**을 선택합니다.

1. **설치 유형**에서 **독립 CA**를 선택합니다. 그리고 **다음**을 선택합니다.

1. **CA 유형**에서 **루트 CA**를 선택합니다. 그리고 **다음**을 선택합니다.
**참고**  
퍼블릭 키 인프라 설계 및 조직의 보안 정책을 기반으로 루트 CA 또는 하위 CA를 만들도록 선택할 수 있습니다. 이 자습서에서는 단순 루트 CA를 만드는 방법을 설명합니다.

1. **프라이빗 키**에서 **프라이빗 키 새로 만들기**를 선택합니다. 그리고 **다음**을 선택합니다.

1. **암호화**에서 다음을 수행합니다.

   1. **암호화 공급자 선택**에서 메뉴의 **CloudHSM 키 저장소 공급자** 옵션 중 하나를 선택합니다. 이 옵션은 AWS CloudHSM KSP입니다. 예를 들어 **RSA\$1CloudHSM Key Storage Provider**를 선택할 수 있습니다.

   1. **키 길이**에서 키 길이 옵션 중 하나를 선택합니다.

   1. **인증 기관에서 발급한 인증서에 서명하기 위한 해시 알고리즘을 선택합니다.**에서 해시 알고리즘 옵션 중 하나를 선택합니다.

   **다음**을 선택합니다.

1. **CA 이름**에서 다음을 수행합니다.

   1. (옵션) 일반 이름을 수정합니다.

   1. (옵션) 고유 이름 접미사를 입력합니다.

   **다음**을 선택합니다.

1. **유효 기간**에 년, 월, 주 또는 일 단위로 기간을 지정합니다. 그리고 **다음**을 선택합니다.

1. **인증서 데이터베이스**에서 기본값을 사용하거나 선택적으로 데이터베이스와 데이터베이스 로그의 위치를 변경할 수 있습니다. 그리고 **다음**을 선택합니다.

1. **확인**에서 CA에 대한 정보를 검토하고 **구성**을 선택합니다.

1. **닫기**를 선택한 다음 **닫기**를 차례로 선택합니다.

이제가 포함된 Windows Server CA가 생겼습니다 AWS CloudHSM. CA로 인증서 서명 요청(CSR)에 서명하는 방법을 배우려면 [CSR 서명하기](#win-ca-sign-csr-sdk5) 섹션으로 이동합니다.

## 3단계:를 사용하여 Windows Server CA로 인증서 서명 요청(CSR)에 서명 AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

와 함께 Windows Server CA를 사용하여 인증서 서명 요청(CSR)에 서명 AWS CloudHSM 할 수 있습니다. 이러한 단계들을 완료하려면 유효한 CSR이 필요합니다. CSR은 다음을 포함한 다양한 방법으로 만들 수 있습니다.
+ OpenSSL 사용
+ Windows Server IIS(인터넷 정보 서비스) 관리자 사용
+ Microsoft Management Console(MMC)에서 스냅인 인증서 사용
+ Windows의 명령줄 유틸리티에서 **certreq** 사용

CSR 생성 단계는 본 자습서에서 다루지 않습니다. CSR이 있으면 Windows Server CA로 서명할 수 있습니다.

**CSR로 Windows Server CA 서명**

1. 아직 역할 추가 및 키를 생성하지 않은 경우 Windows Server에 연결합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)을 참조하세요.

1. Windows Server에서 **서버 관리자**를 시작합니다.

1. 오르쪽 상단 모서리에 **서버 관리자** 대시보드에서 **도구**, **인증 기관**을 선택합니다.

1. **인증 기관** 창에서 컴퓨터 이름을 선택합니다.

1. **작업** 메뉴에서 **모든 작업**을 선택한 후 **새 요청 제출**을 선택합니다.

1. CSR 파일을 선택한 다음 **열기를** 선택합니다.

1. **인증 기관** 창에서 **대기 중인 요청**을 두번 클릭합니다.

1. 대기 중인 요청을 선택합니다. 그런 다음 **작업** 메뉴에서 **모든 작업**을 선택하고 **문제**를 선택합니다.

1. 서명 인증서를 보려면 **인증 기관** 창에서 **발급된 요청**을 두번 클릭합니다.

1. (옵션) 서명 인증서를 파일에 내보내려면 다음 단계를 완료해야 합니다.

   1. **인증 기관** 창에 보이는 인증서를 두번 클릭합니다.

   1. **세부 정보** 탭을 선택한 다음 **파일로 복사**를 선택합니다.

   1. **인증서 내보내기 마법사**에서 지침을 따릅니다.

이제를 사용하는 Windows Server CA AWS CloudHSM와 Windows Server CA에서 서명한 유효한 인증서가 있습니다.