기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 스마트 카드와 함께 사용할 수 있도록 AD 커넥터에서 mTLS 인증 활성화
<a name="ad_connector_clientauth"></a>

스마트 카드를 이용한 인증서 기반 상호 전송 계층 보안(MTL) 인증을 사용하여 자체 관리형 Active Directory(AD) 및 AD Connector를 통해 Amazon WorkSpaces에 사용자를 인증할 수 있습니다. 활성화되면 사용자는 WorkSpaces 로그인 화면에서 스마트 카드를 선택하고 사용자 이름과 암호를 사용하는 대신 PIN을 입력하여 인증합니다. 여기에서 Windows 또는 Linux 가상 데스크톱은 스마트 카드를 사용하여 기본 데스크톱 OS에서 AD에 인증합니다.

**참고**  
AD Connector의 스마트 카드 인증은 다음 AWS 리전에서만 사용할 수 있으며 WorkSpaces와 함께만 사용할 수 있습니다. 현재 다른 AWS 애플리케이션은 지원되지 않습니다.  
미국 동부(버지니아 북부)
미국 서부(오레곤)
아시아 태평양(시드니)
아시아 태평양(도쿄)
유럽(아일랜드)
AWS GovCloud(미국 서부)
AWS GovCloud(미국 동부)

인증서를 등록 취소하고 비활성화할 수도 있습니다.

**Topics**
+ [사전 조건](#prereqs-clientauth)
+ [스마트 카드 인증 활성화](#enable-clientauth)
+ [스마트 카드 인증 설정 관리](manage-clientauth.md)

## 사전 조건
<a name="prereqs-clientauth"></a>

Amazon WorkSpaces 클라이언트용 스마트 카드를 사용하여 인증서 기반 상호 전송 계층 보안(mTLS) 인증을 활성화하려면 자체 관리형 Active Directory와 통합된 운영 스마트 카드 인프라가 필요합니다. Amazon WorkSpaces 및 Active Directory를 사용하여 스마트 카드 인증을 설정하는 방법에 대한 자세한 내용은 [Amazon WorkSpaces 관리 설명서](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)를 참조하세요.

WorkSpaces에 스마트 카드 인증을 활성화하기 전에 다음 전제 조건을 검토하세요.
+ [CA 인증서 요구 사항](#ca-cert)
+ [사용자 인증서 요구 사항](#user-cert)
+ [인증서 해지 확인 프로세스](#ocsp)
+ [고려 사항](#other)

### CA 인증서 요구 사항
<a name="ca-cert"></a>

AD Connector에는 스마트 카드 인증을 위해 사용자 인증서 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. AD Connector는 CA 인증서를 사용자가 스마트 카드로 제시한 인증서와 일치시킵니다. 다음 CA 인증서 요구 사항에 유의하세요.
+ CA 인증서를 등록할 수 있으려면 만료일까지 90일 이상 남아 있어야 합니다.
+  CA 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 Base64로 인코딩된 X.509(.CER)를 선택합니다.
+ 스마트 카드 인증이 성공하려면 발급하는 CA에서 사용자 인증서로 연결되는 모든 루트 및 중간 CA 인증서를 업로드해야 합니다.
+ AD Connector 디렉터리당 최대 100개의 CA 인증서를 저장할 수 있습니다
+ AD Connector는 CA 인증서에 대한 RSASSA-PSS 서명 알고리즘을 지원하지 않습니다.
+ 인증서 전파 서비스가 자동 및 실행으로 설정되어 있는지 확인합니다.

### 사용자 인증서 요구 사항
<a name="user-cert"></a>

다음은 사용자 인증서에 대한 몇 가지 요구 사항입니다.
+  사용자의 스마트 카드 인증서에는 사용자 userPrincipalName(UPN)의 주체 대체 이름(SAN)이 있습니다.
+ 사용자의 스마트 카드 인증서에는 스마트 카드 로그온(1.3.6.1.4.1.311.20.2.2) 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 위한 향상된 키 사용이 포함되어 있습니다.
+ 사용자의 스마트 카드 인증서에 대한 온라인 인증서 상태 프로토콜(OCSP) 정보는 기관 정보 액세스에서 ‘액세스 방법=온라인 인증서 상태 프로토콜(1.3.6.1.5.5.7.48.1)’로 되어 있어야 합니다.

AD 커넥터 및 스마트 카드 인증 요구 사항에 대한 자세한 내용은 *Amazon WorkSpaces 관리 안내서*의 [요구 사항](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)을 참조하세요. Amazon WorkSpaces 문제를 해결하는 데 도움이 필요하면 *Amazon WorkSpaces 사용 설명서*의 [WorkSpaces 클라이언트 문제 해결을](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html) 참조하세요.

### 인증서 해지 확인 프로세스
<a name="ocsp"></a>

스마트 카드 인증을 수행하려면 AD Connector가 OCSP(온라인 인증서 상태 프로토콜)를 사용하여 사용자 인증서의 해지 상태를 확인해야 합니다. 인증서 해지 확인을 수행하려면 OCSP 응답자 URL이 인터넷에서 액세스할 수 있어야 합니다. DNS 이름을 사용하는 경우 OCSP 응답자 URL은 IANA([인터넷 할당 번호 기관) 루트 영역 데이터베이스)](https://www.iana.org/domains/root/db)에 있는 최상위 도메인을 사용해야 합니다.

**참고**  
2025년 10월 7일 이후에 생성된 디렉터리에서는 SmartCard 인증서 검증에 사용되는 OCSP 서버를 VPC의 네트워크 구성을 통해 라우팅할 수 있어야 합니다. VPC의 라우팅 테이블, 보안 그룹 및 네트워크 ACLs을 통해 OCSP 서버에 액세스할 수 없는 경우 인증서 해지 확인 중에 SmartCard 인증이 실패합니다. 이 문제를 해결하려면 다음을 확인하세요.  
네트워크 라우팅: VPC 라우팅 테이블을 사용하면 AD Connector 디렉터리 인스턴스가 배포된 서브넷에서 트래픽이 OCSP 서버에 도달할 수 있습니다.
보안 그룹: 디렉터리의 네트워크 인터페이스와 연결된 보안 그룹은 포트 80(HTTP)에서 OCSP 서버로의 아웃바운드 트래픽을 허용합니다.
네트워크 ACLs: 서브넷 네트워크 ACLs OCSP 서버와의 양방향 트래픽을 허용합니다.
인터넷 게이트웨이/NAT: OCSP 서버가 인터넷에 연결되어 있는 경우 VPC에 디렉터리 서브넷에 대한 적절한 인터넷 게이트웨이 또는 NAT 게이트웨이 구성이 있는지 확인합니다. 네트워크 유형이 IPv4인 경우 VPC로 NAT 및 인터넷 게이트웨이를 구성해야 합니다.

AD Connector 인증서 해지 확인에서는 다음 프로세스를 사용합니다.
+ AD Connector는 OCSP 응답자 URL에 대한 사용자 인증서의 AIA(기관 정보 액세스) 확장을 확인해야 합니다. 그러면 AD Connector는 URL을 사용하여 해지를 확인합니다.
+ AD Connector가 사용자 인증서 AIA 확장에 있는 URL을 확인할 수 없거나 사용자 인증서에서 OCSP 응답자 URL을 찾을 수 없는 경우 AD Connector는 루트 CA 인증서 등록 중에 제공된 선택적 OCSP URL을 사용합니다.

  사용자 인증서 AIA 확장의 URL이 확인되지만 응답하지 않는 경우 사용자 인증이 실패합니다.
+ 루트 CA 인증서 등록 중에 제공된 OCSP 응답자 URL이 확인되지 않거나 응답하지 않거나 제공된 OCSP 응답자 URL이 없는 경우 사용자 인증이 실패합니다.
+ OCSP 서버는 [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960)을 준수해야 합니다. 또한 OCSP 서버는 GET 메서드를 사용하여 총 255바이트 이하의 요청을 지원해야 합니다.

**참고**  
AD Connector에는 OCSP 응답자 URL에 대한 **HTTP** URL이 필요합니다.

### 고려 사항
<a name="other"></a>

AD Connector에서 스마트 카드 인증을 사용하도록 설정하기 전에 다음 항목을 고려하세요.
+ AD Connector는 인증서 기반 상호 전송 계층 보안 인증(상호 TLS)을 사용하여 하드웨어 또는 소프트웨어 기반 스마트 카드 인증서를 사용하여 Active Directory에 사용자를 인증합니다. 현재는 CAC(일반 액세스 카드) 및 PIV(개인 신원 확인) 카드만 지원됩니다. 다른 유형의 하드웨어 또는 소프트웨어 기반 스마트 카드는 작동할 수 있지만, WorkSpaces 스트리밍 프로토콜과 함께 사용할 수 있도록 테스트되지는 않았습니다.
+ 스마트 카드 인증은 WorkSpaces에 대한 사용자 이름 및 암호 인증을 대체합니다.

  스마트 카드 인증이 활성화된 AD Connector 디렉터리에 다른 AWS 애플리케이션이 구성된 경우 해당 애플리케이션에는 여전히 사용자 이름 및 암호 입력 화면이 표시됩니다.
+ 스마트 카드 인증을 활성화하면 사용자 세션 길이가 Kerberos 서비스 티켓의 최대 수명으로 제한됩니다. 그룹 정책을 사용하여 이 설정을 구성할 수 있으며 기본적으로 10시간으로 설정되어 있습니다. 이 설정에 대한 자세한 내용은 [Microsoft 설명서](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)를 참조하세요.
+ AD Connector 서비스 계정의 지원되는 Kerberos 암호화 유형은 도메인 컨트롤러에서 지원하는 각 Kerberos 암호화 유형과 일치해야 합니다.

## 스마트 카드 인증 활성화
<a name="enable-clientauth"></a>

AD Connector의 WorkSpaces에 대한 스마트 카드 인증을 활성화하려면 먼저 CA(인증 기관) 인증서를 AD Connector로 가져와야 합니다. AWS Directory Service 콘솔, [API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) 또는 [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html)를 사용하여 CA 인증서를 AD Connector로 가져올 수 있습니다. 다음과 같은 단계를 사용하여 CA 인증서를 가져온 다음 스마트 카드 인증을 활성화합니다.

**Topics**
+ [AD 커넥터 서비스 계정에 대해 Kerberos 제한된 위임 활성화](#step1)
+ [AD 커넥터에 CA 인증서 등록](#step2)
+ [지원되는 AWS 애플리케이션 및 서비스에 스마트 카드 인증 활성화](#step3)

### AD 커넥터 서비스 계정에 대해 Kerberos 제한된 위임 활성화
<a name="step1"></a>

AD Connector를 통한 스마트 카드 인증을 사용하려면 자체 관리형 AD 디렉터리의 LDAP 서비스에 대한 AD Connector 서비스 계정에 대해 **Kerberos 제한된 위임(KCD)**을 사용하도록 설정해야 합니다.

Kerberos 제한된 위임은 Windows Server의 새 기능입니다. 이 기능은 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하도록 하여 애플리케이션의 신뢰 경계를 지정하고 시행하도록 지원합니다. 자세한 내용은 [Kerbero 제한된 위임](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)을 참조하세요.
**참고**  
**Kerberos 제한된 위임(KCD)**을 사용하려면 AD Connector 서비스 계정의 사용자 이름 부분이 동일한 사용자의 SAMAccountName과 일치해야 합니다. SAMAccountName은 20자로 제한됩니다. samAccountName은 이전 버전의 Windows 클라이언트 및 서버의 로그인 이름으로 사용되는 Microsoft Active Directory 속성입니다.

1. `SetSpn` 명령을 사용하여 자체 관리형 AD에서 AD Connector 서비스 계정의 SPN(서비스 보안 주체 이름)을 설정합니다. 이렇게 하면 서비스 계정을 위임 구성에 사용할 수 있습니다.

   SPN은 모든 서비스 또는 이름 조합일 수 있지만, 기존 SPN과 중복될 수는 없습니다. `-s`에서는 중복이 있는지 확인합니다.

   ```
   setspn -s my/spn service_account
   ```

1. **AD 사용자 및 컴퓨터**에서 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 연 다음 AD Connector 서비스 계정을 선택하고 **Properties(속성)**을 선택합니다.

1. **Delegation(위임)** 탭을 선택합니다.

1. **지정된 서비스에만 위임할 수 있도록 이 사용자를 신뢰**를 선택하고 **모든 인증 프로토콜 사용** 옵션을 선택합니다.

1. **추가**를 선택한 다음 **사용자 또는 컴퓨터**를 선택하여 도메인 컨트롤러를 찾습니다.

1. **확인**을 선택하면 위임에 사용할 수 있는 서비스 목록이 표시됩니다.

1. **ldap** 서비스 역할 유형을 선택한 후 **확인**을 선택합니다.

1. **확인**을 선택하여 새 구성을 저장합니다.

1. Active Directory의 다른 도메인 컨트롤러에 대해서도 이 프로세스를 반복합니다. PowerShell을 사용하여 프로세스를 자동화할 수도 있습니다.

### AD 커넥터에 CA 인증서 등록
<a name="step2"></a>

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록합니다.

**방법 1: AD Connector(AWS Management Console)에서 인증서를 등록하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **스마트 카드 인증** 섹션에서 **작업**을 선택한 다음 **인증서 등록을** 선택합니다.

1. **인증서 등록** 대화 상자에서 **파일 선택**을 선택한 다음 인증서를 선택하고 **열기**를 선택합니다. OCSP(온라인 인증서 상태 프로토콜) 응답자 URL을 제공하여 이 인증서에 대한 해지 확인을 수행하도록 선택할 수도 있습니다. OCSP에 대한 자세한 내용은 [인증서 해지 확인 프로세스](#ocsp) 단원을 참조하세요.

1. **인증서 등록**을 선택합니다. 인증서 상태가 **등록**으로 변경되면 등록 프로세스가 성공적으로 완료된 것입니다.

**방법 2: AD Connector(AWS CLI)에서 CA 인증서를 등록하려면**
+ 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 보조 OCSP 응답자 주소를 제공하려면 선택적 `ClientCertAuthSettings` 객체를 사용합니다.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
  ```

  성공하면 응답은 인증서 ID를 제공합니다. 다음 CLI 명령을 실행하여 CA 인증서가 성공적으로 등록되었는지 확인할 수도 있습니다.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

  상태 값이 `Registered`를 반환하면 인증서가 성공적으로 등록된 것입니다.

### 지원되는 AWS 애플리케이션 및 서비스에 스마트 카드 인증 활성화
<a name="step3"></a>

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록할 수 있습니다.

**방법 1: AD Connector(AWS Management Console) 에서 스마트 카드 인증을 활성화하려면**

1. **디렉터리 세부 정보** 페이지의 **스마트 카드 인증** 섹션으로 이동한 다음 **활성화**를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.

1. **스마트 카드 인증 활성화** 대화 상자에서 **활성화**를 선택합니다.

**방법 2: AD Connector(AWS CLI)에서 스마트 카드 인증을 활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
  ```

  성공하면 AD Connector는 HTTP 본문이 비어 있는 `HTTP 200` 응답을 반환합니다.

인증서 보기, 인증서 등록 취소 또는 비활성화에 대한 자세한 내용은 [스마트 카드 인증 설정 관리](manage-clientauth.md)을 참조하세요.