[Horizon] 자체 CA 서명된 Connection Server 인증서 구성

2019. 11. 26. 16:32VMware Horizon/Horizon 운영

* 자체 서명된 Connection Server 인증서 구성

 

# 0. 구성에 앞서...

- 포스팅 된 구성 내용은 테스트 환경 및 구축자의 구성 방식에 따라 차이가 있을 수 있습니다.

- 이 포스팅에서는 AD 서버에 CA 서버가 구성되어 있습니다.

- 이 포스팅에서는 CA 서버의 인증서 템플릿을 활용합니다.

 

 Horizon Connection Server를 구성하게 되면, 기본적으로 CA가 서명하지 않은 인증서가 있습니다. CA에서 서명하지 않은 인증서의 경우 트래픽을 가로채는 등의 보안 상의 위험한 부분이 존재하기 때문에 기본 인증서를 CA 서명된 인증서로 변경하는 것이 좋습니다.

 

 이번 포스팅에서는 자체적인 CA 인증 기관 및 CA 인증서를 구성하고 CA가 서명한 Connection Server 인증서를 만들어 적용하고자 합니다.

 


# 1. Windows Server Active Directory Certificate Services

 

* AD 서버 - 서버 관리자 (시작 메뉴 - 서버 관리자 or 실행 (Windows Key + R) - servermanager)

시작 메뉴 - 서버 관리자

 

실행 - servermanager

 

* 대시보드 - 역할 및 기능 추가

대시보드 - 이 로컬 서버 구성 - 역할 및 기능 추가

 

* Active Directory 인증서 서비스 - 인증 기관, 인증 기관 웹 등록 항목 체크 및 진행

서버 역할 - Active Directory 인증서 서비스 선택 - 다음

 

인증 기관, 인증 기관 웹 등록 항목 체크 - 다음

 

기본 옵션 - 다음

 

선택 옵션 확인 - 설치

 

설치 완료 확인 - 대상 서버에서 Active Directory 인증서 서비스 구성 선택

 

자격 증명 지정 - 기본 옵션 - 다음

 

인증 기관, 인증 기관 웹 등록 선택 - 다음

 

엔터프라이즈 CA 선택 - 다음

 

루트 CA 선택 - 다음

 

새 개인 키 만들기 선택 - 다음

 

기본 옵션 - 다음

 

CA 이름 지정 - 기본 옵션 - 다음

 

CA 인증서 유효 기간 설정 - 다음

 

인증서 데이터베이스 위치 지정 - 기본 옵션 - 다음

 

AD CS 구성 값 확인 - 구성

 

CA 인증 기관 및 CA 인증서 생성 완료

 

 

# 2. 인증서 템플릿 생성 및 권한 부여

실행 - certsrv.msc

 

시작 - Windows 관리 도구 - Certification Authority

 

인증서 템플릿 - 관리 - 인증서 템플릿 콘솔로 진입

 

인증서 템플릿 - 웹 서버 선택 - 템플릿 복제

 

일반 - 템플릿 표시 이름, 템플릿 이름, 유효 기간, 갱신 기간 입력

 

요청 처리 - 개인 키를 내보낼수 있음 (이 부분이 누락되면 Horizon Client 의 세션에 대한 정상적인 연결이 불가능 합니다.)

 

보안 - 인증서 요청을 하고자 하는 서버 추가 및 읽기, 쓰기, 등록, 권한 부여 - 확인 및 인증서 템플릿 콘솔 닫기

 

certsrv - 인증서 템플릿 - 새로 만들기 - 발급할 인증서 템플릿

 

인증서 템플릿 사용 - 생성한 템플릿 선택 - 확인 (항목이 생성되는 데 시간이 조금 걸릴 수도 있습니다.)

 

 

# 3. Connection Server 인증서 요청 및 설정 (Connection Server VM 접속) 

Connection Server VM 접속 - 실행 (Windows Key + R) - mmc

 

파일 - 스냅인 추가/제거 선택

 

스냅인 추가/제거 - 인증서 선택 - 추가 - 확인

 

인증서 스냅인 - 컴퓨터 계정 선택 - 다음

 

컴퓨터 선택 - 로컬 컴퓨터 선택 - 마침

 

mmc - 인증서 - 개인용 - 인증서 - 기존 Connection Server 인증서 확인

 

해당 인증서 속성 - 일반 - 이름 - oldvdm 으로 이름 변경

 

인증서가 잘못 설정될 경우 Horizon Console에 접속이 불가능 합니다.

비상 용도로 지우지 마시고 이름만 바꿔서 두세요.

 

개인용 - 인증서 - 모든 작업 - 새 인증서 요청

 

인증서 등록 - 다음

 

인증서 등록 정책 선택 - 관리자가 구성 - 다음

 

인증서 요청 - 생성한 인증서 템플릿 체크 - 설정 구성

 

인증서 속성 - 주체 - 주체 이름 : 일반 이름 선택, 값 : Connection Server FQDN 입력

 

인증서 속성 - 주체 - 대체 이름 : DNS 선택, 값 : Connection Server FQDN 입력

 

인증서 속성 - 일반 - 이름 : vdm 입력

 

인증서 속성 - 개인 키 - 키 옵션 - 개인 키를 내보낼 수 있게 설정 체크

 

인증 기관 탭에서는 생성한 CA 인증 기관 확인이 가능 합니다.

 

인증서 요청 - 등록 - 자체 CA 서명된 Connection Server 인증서 생성 완료 

 

 

# 4. 새로 만든 인증서 적용 및 확인

Connection Server VM - 실행 - Services.msc

 

서비스 - VMware Horizon View 연결 서버 서비스 선택 - 다시 시작

서비스가 재시작 되는 동안에는 해당 Connection Server 의 기능을 사용할 수 없습니다.

 

대시보드 - 새로 고침 - 연결 서버의 상태가 정상적으로 체크되어 있는지 확인

 

변경 사항이 반영되는 데 시간이 조금 걸릴 수도 있습니다.

만약 변경 사항이 확인되지 않으신다면, 연결 서버 설정 편집 부분에

 

Horizon Administrator - View 구성 - 서버 - 연결 서버 - 연결 서버 선택 - 편집

 

HTTP 보안 터널에 있는 URL이 IP로 되어있는지 FQDN으로 되어 있는지 확인해보시면 됩니다.

 

인증서에는 이상이 없는 데, CA 인증서를 신뢰하지 못하는 경우, http://CA Server FQDN/certsrv 로 접속 하셔서

 

http://CA Server FQDN/certsrv

 

CA 인증서를 다운로드 한 후, 설치 시 신뢰할 수 있는 루트 인증 기관에 CA 인증서를 설치하시면 됩니다.

 

CA 인증서 설치 - 로컬 컴퓨터 - 저장소 : 신뢰할 수 있는 루트 인증 기관

 

이상입니다. 감사합니다.