Key Management Service In Exchange 2000 Server

윈도우 서버군 기술 강좌/Exchange Server 2003/04/04 08:54

Key Management Service In Exchange 2000 Server

글: Will Schmied , Printable Version
원문 : http://www.msexchange.org/tutorials/Key_Management_Service_In_Exchange_2000_Server.html
번역자 : 장승필 [spchang@pusan.ac.kr]

Exchange 2000(이하 E2K) 서버의 Key Management Service(이하 KMS)는 거의 지나치기 쉬운 기능 중에 하나이다. Windows 2000(W2K) 서버와 함께 E2K 서버의 native(?) 통합 때문에, KMS는 W2K이 table을 생각나게 하는 것뿐만 아니라 한편 살펴볼 가치가 있는 것으로 만드는 것과 같은 많은 장점을 이용할 수 있다.

The Basics
KMS는 W2K 인증 서비스를 기본적으로 사용하기 때문에, 추가적인 인증 기관(이하 CA)이 필요 없다. W2K 인증서버는 모든 인증서의 등록과 폐지뿐만 아니라 매일 인증서 신뢰 목록(이하 CTL)을 유지한다. KMS는 한 CA가 바쁘면, 도메인 내의 다른 Enterprise CA를 이용할 수 있다. 즉, KMS는 다음 CA로 옮겨가서 작업을 시도할 것이다. W2K에서 인증 서비스는 VeriSign과 같은 외부 3rd party CA의 하위 CA로 구성될 수 있다. 이렇게 함으로써 조직 밖의 다른 사용자가 볼 때, 당신 인증서의 신뢰성을 더 높일 수 있다.

사용자가 Advanced Security에서 등록되면(즉, KMS에 의해서 인증서가 게시되면), KMS는 공개키와 개인키(혹은 비밀키)로 이루어진 키쌍을 생성하기 위해 W2K 인증 서비스에 의해 게시된 인증서를 사용한다.(공개키는 AD에 저장되어 누구든지 이용할 수 있으며, 개인키는 키 관리 서버의 암호화된 DB에 저장된다.) 개인키는 단지 인증서를 게시하려는 사용자를 위해서만 이용할 수 있다. 키 쌍은 생성시에 사용된 인증서가 게시된 사용자와 영구히 엮인다. 사용자가 Advanced Security에 의해서 등록될 때는 두 개의 키쌍이 생성된다는 것을 꼭 기억해라. :
  • 첫 번째는 키 관리 서버에 의해 생성되고, 메시지 암호화에 이용된다.(키관리용 공개키 쌍)
  • 두 번째 키 쌍은 Outlook client에 의해 생성되고, 전자 서명된 메시지에 사용된다.(전자서명용 공개키 쌍)

    KMS on the job
    KMS의 사용으로 E2K 사용자는 통신이 안전하고 안심할 수 있다는 확신을 주는 두 개의 막강한 방법에 정통할 것이다
    사용자가 Advanced Security 발신 메시지에 등록되면, 발신자는 수진자에게 보내지는 메시지를 암호화하기 위해 수신자의 공개키를 사용한다.(이 공개키는 AD에 저장되고, 따라서 모든 도메인 사용자는 접근할 수 있다.) 그러므로 수신자는 메시지를 복호화할 수 있는 유일한 사람이다. 왜냐하면, 수신자만이 자신의 개인키에 접근할 수 있기 때문이다. 이런 식으로 메일 암호화는 지정된 수신자 외에는 아무도 메시지를 읽을 수 없다는 확신을 주는 서비스를 수행한다.
    메시지가 전자서명 될 때, 발신자는 자신의 개인키로 서명한다. 따라서, 메시지 원본의 검증에 공개키를 사용한다.(공개키와 개인키는 발신자의 identity에 의해 짝이 지어지며, 확인된다.) 이를 통해서, 수신자는 발신자에게 오는 메시지에 대해 큰 신뢰를 가질 수 있다. 추가적으로, 메시지에 적용된 전자 서명은 메시지의 내용에 기초해서 입증된 유효한 전자서명은 보내진 형태 그래도 도착했는 지 여부를 검증하는 서비스를 제공한다.(부인봉쇄) 전자서명된 메시지는 전송과정에서 변경되어질 수 없다. 따라서 전자서명은 종이에 잉크로 서명한 것처럼 막강하고 결합된다.

    Putting KMS to work
    KMS를 사용하기 위해서는 네트워크 상에 하나 이상의 CA가 필요하다.-최소한 Enterprise 최상위 CA. 원칙적으론, 하나의 Enterprise 최상위 CA와 하나 이상의 Enterprise 하위 CA를 가지고 있는 게 낫다. 이것은 KMS를 설치하기 전에 선행되어야 한다.

    KMS를 사용하기 위한 작업은 다음과 같다.
    1. 다음과 같이 하나 이상의 CA를 설치한다 :

    1. 컨트롤 판넬 – 프로그램 추가/제거 – 윈도우 구성요소 추가/제거에서 인증 서비스를 선택한다.
    2. 인증 서비스를 설치 후에는 컴퓨터의 이름을 바꿀 수 없다는 경고문을 읽은 후 예를 클릭한 후, 다음을 클릭한다.
    3. AD 도메인 상 첫번 째 CA라면, Enterprise 최상위 CA를 선택한다. 도메인 상에 첫번 째 CA가 아니면, Enterprise 하위 CA를 선택할 수 있다. 원하는 것을 선택한 후 다음을 클릭한다.
    4. CA Identifying Information 페이지에서 필요한 정보를 입력하고, 다음을 클릭한다. 데이터베이스와 로그 파일을 위한 기본 위치를 수용하려면 다음을 선택한다.(원하는 위치로 바꿀 수 있다.) 마법사가 인증 서비스 설치를 위해 IIS를 멈추는 것을 허락하기 위해서 OK를 클릭한다. W2K CD-ROM을 넣으라는 프롬프트 대화 상자가 나타날 수도 있다.
    5. 마법사의 설치가 끝나면, 완료를 클릭한 다음 프로그램 추가/삭제의 닫기를 클릭한다.

    2. 다음과 같이 KMS를 설치하기 위한 준비작업이 필요하다. :


    1. a. 인증기관 스냅인에서 설치한 CA의 노드를 확장한 다음, 권한 설정 폴더에서 오른쪽 버튼을 클릭한다. 새로 만들기 > 인증서 게시를 선택한다. CTRL키를 누른 상태에서 그림1처럼 다음의 템플릿을 선택한다.

      1. 등록에이전트(컴퓨터)
      2. Exchange 사용자
      3. Exchange 서명



    그림 1. 인증서버를 위한 템플릿 선택

    3. KMS를 설치한다.(혹은 최초의 E2K 설치와 함께 설치한다.) :

    1. 설치마법사의 컴포넌트 선택 화면에서, KMS를 선택하고, 다음을 클릭한다.
    2. 다음페이지에서 KMS가 일부분이 될 administrative group을 선택한 후, 다음을 클릭한다.
    3. 그림2에 보이는 바와 같이, KMS 암호의 등록을 다룰 방법을 결정해야 한다. Windows에서 이처럼 암호를 극도로 어렵게 취한적은 없다. Manual password entry는 확실히 더 보호되지만, 이를 다루는 것은 정말 피곤하다. 선택을 한 후, 다음을 클릭한다.
    4. KMS를 설치하기 위한 작업을 실제로 시작할 화면에서 다음을 클릭한다.(위의 선택에 따라 옵션 선택 화면이 나타날 수 있다.) 이제 마법사는 KMS를 설치하고 설정할 것이다.


    그림 2. KMS 암호를 다룰 방법 선택

    4. KMS의 설치가 끝난 후에는 다음과 같이 사용자를 등록할 수 있다. :

    1. Advanced Security를 선택한다.(administrative group의 노드에 있다.) 오른쪽 버튼을 클릭해서 모든작업 > 서비스 시작을 선택하면 KMS를 시작할 수 있다. 이 때 KMS 시작 암호를 입력하거나 암호가 저장되어 있는 파일의 위치를 입력할 수도 있다.
    2. Key Manager에서 오른쪽 버튼을 클릭하고 등록정보를 선택한다. 기본 암호를 입력해야 하는데, 기본 암호는 어리석게도 “password”이다. 어떤 작업을 수행하거나 등록정보 화면에서 탭을 바꿀 때마다 KMS 암호를 입력해야 한다. KSM암호를 바꾸기 위해서는 Administrators 탭에서 Change Password를 클릭한 후 이전 암호와 새 암호를 입력하고 OK를 클릭한다. 이렇게 하면 그림3과 같은 화면을 보게 될 것이다.


      그림 3. KMS 관리자의 암호가 바꼈다.

    3. 이제 Enrollment 탭으로 바꾼 후, 사용자가 인증서 등록 토큰을 전자우편으로 얻기 위해서 Send token in e-mail을 선택한다. 원한다면 전자우편의 내용을 바꿀 수 있다. 등록정보 화면을 닫기 위해 OK를 클릭한다.
    4. 다음으로 할 일은 KMS에서 사용할 암호화 알고리즘을 수정하는 것이다. 알고리즘은 이 글의 마지막 부분의 표에 정리되어 있다.
    5. 다음 단계는 사용자를 등록하는 것이다. 이 작업은 Key Manager의 오른쪽 버튼을 클릭하고, 모든 작업 > Enroll Users를 선택한다. GAL이나 stores, server, administrative groups을 표시해서 선택하는 방법으로 사용자를 찾을 수 있다. 등록할 사용자가 적으면, 첫 번째 옵션이 낫다. 많은 수의 사용자를 등록하고 싶다면, 두 번째 옵션을 선택하는 것이 낫다. 선택한 다음 OK를 클릭한다. 내 경우는 그림4와 같이 단지 두 명의 사용자만 등록할 예정이다. 사용자를 선택한 후, 이 작업을 마치기 위해 Enroll을 클릭한다. 선택된 사용자가 등록되는 것을 허가하기 위해 OK를 클릭한다.


    그림 4. 적은 수의 사용자 등록

    5. 여기서, 사용자가 설정을 살펴보자. 다음과 같은 작업을 통해서 KMS에 등록을 마칠 수 있다.

    1. 지금 받은 편지함에 그림5처럼 KMS에 게시된 인증서를 얻기 위한 절차가 적혀 있는 편지가 도착했을 것이다. 사용자가 그 절차를 마치고 나면, 그림6처럼 확인 상자를 보게 될 것이다. 이제 게시된 인증서가 도착하기를 기다리면 된다.


      그림 5. KMS가 토큰을 메일로 보낸다.


      그림 6. 모든 작업은 끝났으며, 회신이 오기를 기다리면 된다.

    2. 약간의 시간이 흐른 후에, 그림 7과 같은 새 편지가 도착했을 것이다. 사용자는 편지를 열어 보면 되는데, 이 때 암호는 인증서를 요구할 때 사용했던 암호를 입력하면 된다. 암호를 입력한 후 확인을 클릭하면, 그림 8과 같은 대화상자를 보게 될 것이다. 예를 클릭한 후, 암호를 다시 입력하고 확인을 클릭하면 모든 작업을 끝마치게 된다. Exchange 서버로부터 온 메시지를 보게 되고, 인증서가 설치되어서 사용할 수 있게 된다.


      그림 7. Exchange Server가 새로운 인증서 토큰을 가지고 회신한다.


      그림 8. Root 저장소에 인증서를 설치한다.

    3. 사용자는 그림 9와 같이 Outlook의 보안 설정을 구성해야 한다. 그림 10은 거의 어렵지 않게 완전히 게시된 완성된 인증서를 보여주고 있다. 보호되는 메시지를 보내고 읽을 때마다 암호를 입력해야 한다는 것을 명심해라.


      그림 9. 새 인증서를 사용하기 위해 Outlook을 설정한다.


      그림 10. 새롭게 게시된 인증서


    KMS caveats

    W2K의 인증서와 거의 유사하게, 사용자가 개인 키를 잃어 버려도, 전부 잃어 버린 것은 아니다. KMS하에서 잃어 버린 개인 키를 복구하는 과정은 실제로는 W2K보다 더 간단하다.(W2K에서는 힘든 작업을 수행하는 Authorized Recovery Agent를 필요로 한다.) KMS와 함께, KMS 관리자는 Key Manager의 오른쪽 클릭으로 모든 작업 > Recover Keys를 선택함으로써 간단하게 잃어버린 개인 키를 복구할 수 있다. 여기서 복구가 필요한 사용자를 선택하기만 하면 된다. 이 때, 선택된 사용자들은 그림 7과 같이 Key Management Server로부터 편지를 받게 되고, 위에서 얘기했던 방법으로 키를 복구할 수 있다.

    KMS는 당신이 살고 있는 지리적 위치나 Outlook의 버전에 기초해서 클라이언트에서 구성할 수 있는 다양한 암호화 알고리즘을 지원한다. 그림 11과 같이 Encryption Configuration을 오른쪽 클릭해서 등록정보를 선택하고 Algorithms 탭을 선택하면 된다. 다음과 같은 알고리즘을 사용할 수 있다.:

     Outlook 97이나 그 이전 버전을 사용하고 있다면 MS Exchange 4.0/5.0 암호화 하에서 알고리즘을 선택해라.
    Algorithm Description
    DES (North America only) Data Encryption Standard. DES는 56-bit 길이의 키를 사용해서 암호화를 하며 기본값으로 설정되어 있다.
    CAST-64 (North America only) 64-bit 길이의 키를 사용하는 알고리즘
    CAST-40 북미 밖에서 사용하기 위한 것이다. 키 길이가 40 bit라는 것을 제외하고는 CAST-64와 유사하다.

     Outlook 98이나 그 이상 버전을 사용한다면, S/MIME 암호화 하에서 알고리즘을 선택해라.
    Algorithm Description
    3DES (North America only) "triple DES"로 알려져 있으며, Exchange에서 사용할 수 있는 가장 강력한 암호화 알고리즘으로 권장사항이다. S/MIME의 기본값으로 설정되어 있다.(참고로 정식 이름은 DESede이며 키 길이는 DES의 2배, 즉 112 bit)
    DES (North America only) Data Encryption Standard. DES는 56-bit 길이의 키를 사용해서 암호화를 하며 기본값으로 설정되어 있다.
    RC2-128 (North America only) 128 bit의 키를 사용한다. 복호화를 위해 많은 시간과 처리 과정이 필요하다.
    RC2-40 북미 밖에서 사용하기 위한 것이다. 키 길이가 40 bit라는 것을 제외하고는 RC2-128과 유사하다.


    Wrapping it up

    원컨대 E2K t서버의 KMS가 당신의 조직에 가지고 올 수 있는 쉽고 유연한 힘을 보여 줬다고 생각한다. W2K 서버에 이미 존재하고 있는 관리의 단순함과 보안의 상호작용으로 KMS는 Exchange 사용자의 전자우편 전달에서 보안성과 비밀성을 유지하는 이상적인 솔루션이다.

    '윈도우 서버군 기술 강좌 > Exchange Server' 카테고리의 다른 글

    백업. 잘 되고 있습니까?  (0) 2008/06/10
    Key Management Service In Exchange 2000 Server  (0) 2003/04/04
    익스체인지 서버 2000 데이터베이스 구조: 복원작업하는 날은 언제나 궂은 날  (0) 2003/03/10
    재해 복구  (0) 2002/08/18
    익스체인지 2000으로 메시지 아카이빙하기(Message Archiving)  (0) 2002/08/13
    Blocking Incoming Mail Using Microsoft Exchange 2000  (0) 2002/08/13
    • Posted by NTFAQ
    트랙백 0, 댓글 0개가 달렸습니다

    트랙백 주소 :: http://ntfaq.co.kr/trackback/24 관련글 쓰기

    댓글을 달아 주세요