FTD 인증서 기반 인증 요구 사항 및 사전 요건
모델 지원
FTD
지원되는 도메인
모든
사용자 역할
관리자
Network Admin(네트워크 관리자)
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
FTD
모든
관리자
Network Admin(네트워크 관리자)
인증서 등록 개체이 연결된 후 디바이스에 설치되면 인증서 등록 프로세스가 즉시 시작됩니다. 이 프로세스는 자체 서명 및 SCEP 등록 유형의 경우 자동으로 진행되므로, 관리자의 추가 작업이 필요하지 않습니다. 수동 인증서 등록 및 PKCS12 파일 가져오기의 경우 관리자의 추가 작업이 필요합니다.
인증서 등록이 완료되면 디바이스에 인증서 등록 개체와 이름이 동일한 트러스트 포인트가 존재하게 됩니다. 이 트러스트 포인트를 VPN 인증 방법의 컨피그레이션에서 사용하십시오.
FTD 사용자 인터페이스에 선택 사항이 표시되지만 현재는 ECDSA가 아닌 RSA 키만 지원합니다.
FTD VPN이 클러스터링된 환경에서 지원되지 않으므로 PKI도 클러스터링 환경에서 지원되지 않습니다.
FTD 디바이스는 Microsoft CA 서비스, Cisco Adaptive Security Appliance 및 Cisco IOS Router에서 제공하는 CA 서비스를 사용한 인증서 등록을 지원합니다.
FTD 디바이스는 CA(Certificate Authority)로 구성할 수 없습니다.
Firepower Threat Defense 디바이스는 Microsoft CA 서비스, Cisco Adaptive Security Appliance 및 Cisco IOS Router에서 제공하는 CA 서비스를 지원하고 이들을 사용해 인증합니다.
인증서 등록은 하위 또는 상위 도메인에서 수행할 수 있습니다.
상위 도메인에서 등록이 완료되면 동일한 도메인에 인증서 등록 개체가 포함되어야 합니다. 디바이스의 트러스트 포인트가 하위 도메인에 오버라이드된 경우, 오버라이드된 값이 디바이스에 구축됩니다.
리프 도메인의 디바이스에 인증서 등록이 완료되면 상위 도메인 및 다른 하위 도메인에서는 보이지 않습니다.
리프 도메인을 삭제하면 포함된 디바이스의 인증서 등록을 제거할 필요가 없습니다.
디바이스에 한 도메인의 인증서가 등록되면 다른 도메인에는 등록이 허용되지 않습니다. 하지만 다른 도메인에서 인증서를 볼 수 있습니다.
디바이스가 한 도메인에서 다른 도메인으로 이동하는 경우, 또는 도메인이 아닌 곳에서 도메인으로 이동하는 경우 해당 디바이스의 인증서 등록을 제거하고 새 도메인에 재구성되어야 합니다. 디바이스에서 등록을 제거하면 알림을 받게 됩니다.
디지털 인증서의 소개는 PKI 인프라 및 디지털 인증서을 참조하십시오.
관리되는 디바이스에서 인증서를 가져오고 등록하는 데 사용되는 개체에 대한 설명은 인증서 등록 개체을 참조하십시오.
단계 1 |
을(를) 선택합니다. 이 화면에 나열된 각 디바이스에 대해 다음 열을 볼 수 있습니다.
|
||
단계 2 |
(+) 선택 > 새 인증서 추가를 선택하여 디바이스에 등록 개체를 연결하고 설치합니다. 등록 유형에 따릅니다.
|
단계 1 |
Devices(디바이스) > Certificates(인증서) 화면에서 Add(추가) > Add New Certificate(새 인증서 추가)를 선택하고 Add New Certificate(새 인증서 추가) 대화 상자를 엽니다. |
단계 2 |
드롭다운 목록에서 Device(디바이스)를 엽니다. |
단계 3 |
다음 방법 중 하나로 인증서 등록 개체를 이 디바이스와 연결합니다.
|
단계 4 |
설치를 누르면 자체 서명된 자동 등록 프로세스가 시작됩니다. 자체 서명된 등록 유형의 트러스트 포인트의 경우 관리되는 디바이스가 자체 CA로 작동하여 자체 ID를 생성하는 CA 인증서가 필요하지 않으므로 CA 인증서 상태는 항상 NotApplicable 상태입니다. 디바이스가 자체 서명된 ID 인증서를 생성하면 ID 인증서는 InProgress에서 Available 상태로 변경됩니다. |
단계 5 |
이 장치에 대해 생성된 자체 서명된 ID 인증서를 보려면 돋보기를 클릭합니다. |
인증서 등록이 완료되면 디바이스에 인증서 등록 개체와 이름이 동일한 트러스트 포인트가 존재하게 됩니다. 이 트러스트 포인트를 VPN 인증 방법의 컨피그레이션에서 사용하십시오.
참고 |
SCEP 등록을 사용할 경우 매니지드 디바이스와 CA 서버 간에 직접 연결이 설정됩니다. 등록 프로세스를 시작하기 전에 디바이스가 CA 서버에 연결되었는지 확인하십시오. |
단계 1 |
설치를 누르면 자동 등록 프로세스가 시작됩니다. |
||
단계 2 |
Devices(디바이스) > Certificates(인증서) 화면에서 Add(추가) > Add New Certificate(새 인증서 추가)를 선택하고 Add New Certificate(새 인증서 추가) 대화 상자를 엽니다. |
||
단계 3 |
드롭다운 목록에서 Device(디바이스)를 엽니다. |
||
단계 4 |
다음 방법 중 하나로 인증서 등록 개체를 이 디바이스와 연결합니다.
|
||
단계 5 |
설치를 누르면 자동 등록 프로세스가 시작됩니다. SCEP 등록 유형 트러스트 포인트의 경우 CA 서버에서 CA 인증서를 가져와 디바이스에 설치하므로 CA 인증서 상태가 InProgress에서 Available로 전환됩니다. ID 인증서는 디바이스가 특정 CA에서 SCEP를 사용해 ID 인증서를 가져오므로 InProgress에서 Available 상태로 변경됩니다.
|
||
단계 6 |
이 장치에 생성되고 설치된 ID 인증서를 보려면 돋보기를 클릭합니다. |
인증서 등록이 완료되면 디바이스에 인증서 등록 개체와 이름이 동일한 트러스트 포인트가 존재하게 됩니다. 이 트러스트 포인트를 VPN 인증 방법의 컨피그레이션에서 사용하십시오.
단계 1 |
등록 프로세스를 시작 하려면 설치 를 누릅니다. |
단계 2 |
Devices(디바이스) > Certificates(인증서) 화면에서 Add(추가) > Add New Certificate(새 인증서 추가)를 선택하고 Add New Certificate(새 인증서 추가) 대화 상자를 엽니다. |
단계 3 |
드롭다운 목록에서 Device(디바이스)를 엽니다. |
단계 4 |
다음 방법 중 하나로 인증서 등록 개체를 이 디바이스와 연결합니다.
|
단계 5 |
가져오기를 누르면 수동 등록 프로세스를 시작합니다. Firepower Management Center가 (등록 개체가 제공한) CA 인증서를 관리되는 디바이스에 설치하고 CA 서버를 인증하며 관리되는 디바이스에 트러스트 포인트를 생성하므로 CA 인증서 상태는 InProgress에서 Available 상태로 전환됩니다. ID 인증서 상태가 CSR 생성 및 ID 인증서 가져오기가 보류 중이라는 경고 메시지를 보여줄 수 있습니다. |
단계 6 |
ID 인증서를 가져오기 위해 PKI CA 서버에서 적절한 작업을 실행합니다. |
단계 7 |
ID 인증서를 가져오려면 가져오기를 선택합니다. 가져오기가 완료되면 ID 인증서 상태는 Available이 됩니다. |
단계 8 |
장치에 대한 ID 인증서를 보려면 돋보기를 클릭합니다. |
인증서 등록이 완료되면 디바이스에 인증서 등록 개체와 이름이 동일한 트러스트 포인트가 존재하게 됩니다. 이 트러스트 포인트를 VPN 인증 방법의 컨피그레이션에서 사용하십시오.
단계 1 |
장치 > 인증서 화면에서 PKCS12 파일 가져오기 대화 상자를 열려면 + 추가 > PKCS12 파일 가져오기를 클릭합니다. |
단계 2 |
디바이스 드롭다운 목록에서 사전 구성된 관리되는 디바이스를 선택합니다. |
단계 3 |
PKCS12인증서 등록 유형을 지정합니다. |
단계 4 |
PKCS#12 인증서 파일을 찾아서 선택하려면 검색을 선택합니다. |
단계 5 |
암호 해독을 위해 암호 문구 값을 입력합니다. |
단계 6 |
추가를 누릅니다. 파일 가져오기의 경우 CA 인증서 및 ID 인증서 상태는 PKCS12 파일이 디바이스에 설치됨에 따라 In Progress(진행 중)에서 Available(사용 가능)으로 전환됩니다. |
단계 7 |
사용 가능 상태에서 장치에 대한 ID 인증서를 보려면 돋보기를 클릭합니다. |
관리되는 디바이스의 인증서(트러스트 포인트)는 PKCS#12 파일과 동일합니다. VPN 인증 설정에서 이 인증서를 사용합니다.
인증서 등록 환경의 차이로 인해 문제가 발생했는지 여부는 Firepower Threat Defense VPN 인증서 가이드라인 및 제한 사항을 참조하십시오. 다음을 확인합니다.
CA 서버의 호스트 이름이 등록 개체에 지정된 경우 Flex Config를 사용해 서버에 적절히 연결하는 DNS를 구성합니다. CA 서버의 IP 주소를 사용해도 됩니다.
Microsoft 2012 CA 서버를 사용하는 경우 관리되는 디바이스에서 기본 IPsec 템플릿을 허용하지 않으므로 변경해야 합니다.
작업 템플릿을 구성하려면 MS CA 설명서를 참조하여 다음 단계를 따르십시오.
IPsec(오프라인 요청) 템플릿을 복제합니다.
Extensions(확장) > Application policies(애플리케이션 정책)에서 IP security IKE intermediate(IP 보안 IKE 중급) 대신 IP security end system(IP 보안 최종 시스템)을 선택합니다.
권한 및 템플릿 이름을 설정합니다.
새 템플릿을 추가하고 새 템플릿 이름을 반영하기 위해 레지스트리 설정을 변경합니다.
기능 |
버전 |
세부 사항 |
---|---|---|
수동 등록 기능 향상 |
6.7 |
이제 ID 인증서 없이 CA 인증서만 생성할 수 있습니다. CA 인증서 없이 CSR을 생성하고 CA에서 ID 인증서를 가져올 수도 있습니다. |
PKCS CA 체인 |
6.7 |
인증서를 발급하는 인증 기관(CA)의 체인을 보고 관리할 수 있습니다. 인증서 복사본을 내보낼 수도 있습니다. |