[Lab] Azure Point to Site VPN 구성 (3)

   

지점 및 사이트 간 연결을 구성하려면 여러 단계를 수행해야 하지만, VPN 장치를 구입 및 구성하지 않고도
컴퓨터에서 가상 네트워크로의 보안 연결을 사용하려면 이러한 연결을 구성하는 것이 좋습니다.
지점 및 사이트 간 VPN을 구성하는 과정에서 사용되는 세 가지 주요 요소는
가상 네트워크와 게이트웨이, 인증에 사용되는 인증서 그리고 가상 네트워크에 연결하는 데 사용되는 VPN 클라이언트입니다.
 

전체 적인 순서는 아래와 같습니다.

1. 가상 네트워크 구성
2. 동적 라우팅 게이트웨이 구성 
3. 인증서 만들기 
4. VPN 클라이언트 구성 
5. VPN 연결 확인

      

   

3. 인증서 만들기

인증서는 지점 및 사이트 간 VPN에 대한 VPN 클라이언트를 인증하는 데 사용됩니다.

   

1. 자체 서명된 루트 인증서 생성 - 현재는 자체 서명된 루트 인증서만 지원됩니다.
2. 관리 포털에 루트 인증서 파일 업로드 
3. 클라이언트 인증서 생성 
4. 클라이언트 인증서 내보내기 및 설치 

   

3-1. 자체 서명된 루트 인증서 생성

1. X.509 인증서를 만드는 한 가지 방법은 인증서 작성 도구(makecert.exe)를 사용하는 것입니다.
   makecert를 사용하려면 무료로 제공되는 Microsoft Visual Studio Express 2013 for Windows Desktop을 다운로드하여 설치합니다.

   
   http://www.visualstudio.com/downloads/download-visual-studio-vs#d-express-windows-8

   

      

   

      

   

   

   

   

      

      

2. Visual Studio Tools 폴더로 이동하여 관리자 권한으로 명령 프롬프트를 시작합니다.

   

      

3. 아래 예의 명령은 컴퓨터의 개인 인증서 저장소에 루트 인증서를 만들고 이 인증서에 해당하는 .cer 파일도 만듭니다.
   나중에 이 파일을 관리 포털에 업로드하게 됩니다.
   .cer 파일을 저장할 디렉터리로 변경한 다음 아래 명령을 실행합니다.
   여기서 RootCertificateName은 인증서에 사용할 이름입니다.
   아래 예를 변경하지 않고 실행하면 루트 인증서 및 해당하는 RootCertificateName.cer 파일이 생성됩니다.
   참고 - 클라이언트 인증서를 생성할 루트 인증서를 만들었으므로
   이 인증서를 개인 키와 함께 내보내 복구 가능한 안전한 위치에 저장할 수 있습니다.
   makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "c:\RootCertificateName.cer"
    

   

      

   루트 인증서 확인 - ※ 개인용에서 확인해야 합니다.

   

      

      

   

      

3-2. 관리 포털에 루트 인증서 파일 업로드

1. 이전 절차에서 자체 서명된 루트 인증서를 생성한 경우 .cer 파일도 작성되었을 것입니다. 이제 해당 파일을 관리 포털에 업로드합니다. .cer 파일에는 루트 인증서의 개인 키가 포함되어 있지 않습니다.
2. 관리 포털의 가상 네트워크에 대한 인증서 페이지에서 루트 인증서 업로드를 클릭합니다.
    

   

3. 인증서 업로드 페이지에서 .cer 루트 인증서를 찾은 다음 확인 표시를 클릭합니다.
    

   

      

      

3-3. 클라이언트 인증서 생성

1. 자체 서명된 루트 인증서를 만드는 데 사용한 것과 같은 컴퓨터에서 관리자 권한으로 Visual Studio 명령 프롬프트 창을 엽니다.

      

2. 클라이언트 인증서 파일을 저장할 위치로 디렉터리를 변경합니다. RootCertificateName은 앞에서 생성한 자체 서명된 루트 인증서를 참조합니다.
   RootCertificateName을 루트 인증서 이름으로 변경하여 아래 예를 실행하면 이름이
   "ClientCertificateName"인 클라이언트 인증서가 개인 인증서 저장소에 생성됩니다.

      

3. 다음 명령을 입력합니다.
   makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1

      

   

      

4. 모든 인증서는 컴퓨터의 개인 인증서 저장소에 저장됩니다. 

   certmgr을 선택하여 확인합니다.
   이 절차에 따라 클라이언트 인증서를 필요한 만큼 생성할 수 있습니다.
   가상 네트워크에 연결하려는 각 컴퓨터에 대한 고유 클라이언트 인증서를 만드는 것이 좋습니다.

   

      

3-4. 클라이언트 인증서 내보내기 및 설치

1. 가상 네트워크에 연결하려는 각 컴퓨터에 클라이언트 인증서가 설치되어 있어야 합니다. 즉, 여러 클라이언트 인증서를 만든 다음 내보내야 할 수 있습니다. 클라이언트 인증서를 내보내려면 certmgr.msc를 사용합니다. 내보낼 클라이언트 인증서를 마우스 오른쪽 단추로 클릭하고 모든 태스크를 클릭한 다음 내보내기를 클릭합니다.

   

      

2. 개인 키와 함께 클라이언트 인증서를 내보냅니다. 이 인증서가 .pfx 파일입니다. 이 인증서에 설정하는 암호(키)를 기록하거나 기억해 둡니다.

   

      

   

      

   

   암호 : techdata

   

      

   

   

   

1. .pfx 파일을 클라이언트 컴퓨터에 복사합니다. 해당 인증서를 설치하려면 클라이언트 컴퓨터에서
   pfx 파일을 두 번 클릭합니다. 요청할 때 암호를 입력합니다. 설치 위치를 수정하지 마십시오.
    

   

★감사합니다★