10Machine Certificate·L2TPMachine Certificate·L2TP
이 장은 기기 단위 인증(Machine Certificate) 과 OS 내장 L2TP/IPsec 클라이언트로 접속하는 방법 을 묶어 다룹니다. 앞쪽은 "이 기기가 회사가 인정한 기기인가"를 인증서로 확인하는 방법을, 뒤쪽은 Check Point 전용 클라이언트 없이 Windows·macOS에 내장된 표준 VPN 클라이언트로 게이트웨이에 붙는 방법을 처음부터 끝까지 정리합니다.
Machine Certificate — 기기 단위 인증
사용자 인증이 "누가 접속하는가"를 확인한다면, Machine Certificate(기기 인증서)는 "어떤 기기가 접속하는가" 를 확인합니다. Endpoint Security 클라이언트가 Security Gateway에 붙을 때, 기기에 발급한 인증서로 승인된 기기에서만 접속 하도록 막거나, 사용자가 로그인하기 전에 기기 수준의 신뢰를 먼저 확인 하는 데 씁니다.
두 가지 인증 모드
기기 인증서 인증은 두 가지 방식으로 동작합니다.
- User and machine authentication(사용자+기기 인증) — 기기 인증서와 사용자 인증 방식을 함께 써서 인증합니다. "올바른 기기에서 올바른 사용자가" 접속할 때만 통과합니다.
- Machine-only authentication(기기 단독 인증) — 기기 인증서만으로 인증합니다. 이 모드는 사용자가 Windows에 로그인하기 전에도, 로그인한 뒤에도 쓸 수 있다는 점이 특징입니다.
제약 사항
기기 인증서를 쓰기 전에 다음 한계를 알아 두어야 합니다.
- 기기는 Microsoft AD 서버에 정의 되어 있어야 합니다.
- 기기 인증서의 Subject 필드는 비어 있으면 안 되며, 호스트명이 첫 번째 값 이어야 합니다. 예를 들면 다음과 같습니다.
CN = DESKTOP-12345, OU = Computers, DC = example, DC = com
- 기기 단독 인증 터널은 Security Gateway의 인증 방식이 "Defined on user record (Legacy authentication)" 이거나 인증서 기반 realm 이어야 합니다.
- Machine Groups를 쓰는 Check Point Desktop Policy 는 지원되지 않습니다.
- Check Point Management Server는 기기 인증서의 발급(enrollment)이나 배포 기능을 제공하지 않 습니다. 발급·배포는 외부(AD/CA)에서 처리해야 합니다.
- 기기 개체에는 반드시 Access Role 을 써야 합니다.
machine@location같은 개체는 지원되지 않습니다.
기능 구성 단계
기기 인증서 인증은 크게 여섯 단계로 구성합니다.
1) LDAP 서버의 루트 CA를 Management의 Trusted CA에 추가
LDAP 서버에 있는 루트 CA를 Management의 신뢰할 수 있는 CA로 등록합니다(자세한 절차는 sk149253 참고). 이 CA가 있어야 기기 인증 절차가 동작 합니다.
2) LDAP Account Unit 만들기
LDAP 계정 단위를 생성합니다(자세한 절차는 sk31841 참고).
3) 인증 강제(enforcement) 설정
먼저 기능 상태(status)의 의미를 알아야 합니다.
| 상태 | 뜻 |
|---|---|
| Disabled | 기능을 끕니다. 기기 인증서 인증을 하지 않 습니다. |
| When available | 클라이언트는 인증서가 있어도 없어도 접속 할 수 있습니다. 게이트웨이가 기기 인증서를 받으면 기기를 인증하려고 시도합니다. |
| Mandatory | 기기 인증서 없이는 접속할 수 없 습니다. |
기기 인증서 인증 상태는 다음과 같이 설정합니다.
- Identity Awareness Software Blade를 켜고 마법사(Wizard)를 끝까지 진행합니다.
- 기본 Remote Access 구성(community, office mode, visitor mode)을 적용합니다.
- VPN Clients > Authentication 으로 갑니다.
- 화면 맨 아래에서 Send Machine Certificate 를 체크합니다.
- When Available 또는 Mandatory 를 고릅니다.
- OK 를 누릅니다.

4) 사용자·기기 정책 구성 — Access Role 만들기
기기와 사용자를 정책에서 다루려면 Access Role 개체를 만들고, 그것을 정책의 Source에 넣습니다.
- SmartConsole로 Management Server에 접속합니다.
- Objects 메뉴로 갑니다.
- New 를 왼쪽 클릭합니다.
- More > User > Access Role 을 고릅니다. New Access Role 창이 열립니다.
- 왼쪽 트리에서 Users 창을 클릭하고, 다음 중 하나를 고릅니다.
- Any user — 모든 사용자
- All identified users — 지원되는 인증 방식으로 식별된 모든 사용자(내부 사용자, Active Directory 사용자, LDAP 사용자 포함)
- Specific users/groups — 사용자·그룹을 목록에서 하나씩 골라 지정

- 왼쪽 트리에서 Machines 창을 클릭하고, 다음 중 하나를 고릅니다.
- Any machine — 모든 기기
- All identified machines — 지원되는 인증 방식(Active Directory)으로 식별된 기기
- Specific machines — 기기를 목록에서 하나씩 골라 지정

- OK 를 누릅니다.
- 왼쪽 탐색 창에서 Security Policies 를 클릭합니다.
- 다룰 네트워크 정책 탭을 고릅니다.
- Access Control 에서 Policy 를 고릅니다.
- Source 열에서 우클릭 > Add new items… 를 누릅니다.
- 방금 만든 Access Role 을 왼쪽 클릭해 넣습니다.
- VPN 열에서 우클릭 > Specific VPN communities… 를 고릅니다.
- RemoteAccess community를 추가합니다.
- Security Gateway / Cluster에 Access Control 정책을 설치(Install)합니다.
5) 정책 예시
Access Role을 어떻게 구성하느냐에 따라 규칙이 어떤 접속에 매칭되는지 달라집니다. 네 가지 예를 봅니다.
예시 1 — 기기만 검사 : Source에 Machines_Access_Role 개체가 들어 있습니다. Access Role에서 Machines 창에 Specific machines/groups 를 골라 LDAP 기기/기기 그룹을 추가하고, Users·Network 창은 Any 로 둡니다. 클라이언트가 기기 인증(Machine only 또는 Machine and User) 으로 접속하면, 기기가 LDAP 기기 그룹과 일치할 때 이 규칙이 매칭됩니다.
예시 2 — 사용자만 검사 : Source에 Users_Access_Role 개체가 들어 있습니다. Access Role에서 Users 창에 Specific users/groups 를 골라 LDAP 사용자/사용자 그룹을 추가하고, Machine·Network 창은 Any 로 둡니다. 클라이언트가 사용자 인증(User only 또는 Machine and User) 으로 접속하면, 사용자가 LDAP 사용자 그룹과 일치할 때 이 규칙이 매칭됩니다.
예시 3 — 기기+사용자 모두 검사 : Source에 Machines_and_Users_Access_Role 개체가 들어 있습니다. Access Role에서 Machines 창에 Specific machines/groups 를, Users 창에 Specific users/groups 를 고르고, Network 창은 Any 로 둡니다. Machine and User 인증으로 접속한 연결만 , 기기와 사용자가 둘 다 해당 LDAP 그룹과 일치할 때 이 규칙에 매칭됩니다.
예시 4 — 누구든 : 정책 Source에 Any 개체가 들어 있습니다. 클라이언트가 사용자 인증(User only 또는 Machine and User)으로 접속하면 이 규칙이 매칭됩니다.
6) (선택) 기기 인증서와 함께 UPN 쓰기
기본적으로 사용자 로그인 속성은 DN 입니다. 대신 UserPrincipalName(UPN) 을 사용자 로그인 속성으로 쓰려면 machine_certificate realm 을 만들 어야 합니다. 이렇게 하면 다음이 가능해집니다.
- 기기용 realm과 사용자용 realm을 따로 구성할 수 있습니다.
- 사용자는 기기 인증에 영향을 주지 않고 UPN으로 로그인 할 수 있습니다.
- 단, 사용자 realm에는 여전히 인증 요소(authentication factor)가 하나는 있어야 합니다.
- realm을 만든 뒤에는 사용자가 선택하는 realm의 LDAP 조회 방식을 DN 대신 UPN으로 바꿀 수 있습니다.
machine_certificate realm은 Database Tool(GuiDBEdit Tool)로 만듭니다.
- Security Management Server / 해당 Domain Management Server를 백업 합니다. 참고 — sk108902(Gaia OS 백업 모범 사례), sk91400(Gaia의 System Backup and Restore), sk98153(Endpoint Security Management Server 데이터베이스 스냅샷).
- 모든 SmartConsole 창을 닫 습니다.
L2TP 클라이언트
L2TP(Layer Two Tunneling Protocol) 는 업계 표준 인터넷 터널링 프로토콜 입니다. 어떤 조직은 기능이 풍부하고 더 안전한 Check Point 클라이언트 대신, 운영체제에 내장된 L2TP 클라이언트 로 내부망에 원격 접속하기를 선호합니다. Check Point Security Gateway는 이런 L2TP IPsec 클라이언트와도 VPN을 맺을 수 있으며, 이 장의 설명은 Microsoft IPsec / L2TP 클라이언트 를 중심으로 합니다.
L2TP 클라이언트용 Remote Access 환경을 만드는 원리는 Check Point Remote Access 클라이언트를 설정하는 것과 같습니다. 그러므로 L2TP 설정을 시작하기 전에 일반 Remote Access VPN 구성을 먼저 이해해 두어야 합니다.
클라이언트와 게이트웨이 사이에 VPN 맺기
Microsoft IPsec / L2TP 클라이언트 사용자가 Security Gateway 뒤의 네트워크 자원에 접근하려면, 클라이언트와 게이트웨이 사이에 VPN 터널이 만들어집니다. 구성 요소는 다음과 같습니다.

| 번호 | 설명 |
|---|---|
| 1 | 내부 호스트(Internal hosts) |
| 2 | Security Gateway |
| 3 | 인터넷(Internet) |
| 4 | 원격 IPsec 클라이언트(Remote IPsec Client) |
L2TP 연결의 동작 과정
VPN이 맺어지는 과정은 사용자에게는 보이지 않게(transparent) 진행되며, 내부적으로는 다음 순서로 일어납니다.
- IPsec / L2TP 클라이언트 사용자가 Security Gateway로 연결을 시작합니다.
- 클라이언트가 상대 Security Gateway와 IKE(Internet Key Exchange) 협상을 시작합니다. 원격 클라이언트 기기와 게이트웨이의 신원은 다음 중 한 방법으로 인증됩니다.
- 인증서 교환 으로
- 사전 공유 키(pre-shared key) 로
인증된 기기만 연결을 맺을 수 있습니다. 3. 두 피어가 암호화 키를 교환하고 IKE 협상이 끝납니다. 4. 이제 클라이언트와 게이트웨이 사이에 암호화가 성립합니다. 둘 사이의 모든 연결은 IPsec 표준으로 이 VPN 터널 안에서 암호화 됩니다. 5. 클라이언트가 짧은 L2TP 협상 을 시작하고, 그 끝에서 클라이언트는 IPsec으로 암호화·캡슐화한 L2TP 프레임을 게이트웨이로 보낼 수 있게 됩니다. 6. 이제 게이트웨이가 사용자 를 인증합니다. 이것은 3단계의 기기 인증에 더해지는 사용자 단위 인증 으로, 다음 방법 중 하나로 이뤄집니다. - 인증서(EAP) - MD5 challenge(EAP) — 사용자에게 사용자명과 암호(사전 공유 비밀)를 묻습니다. - 사용자명과 암호(PAP) 7. 게이트웨이가 원격 클라이언트에 Office Mode IP 주소 를 배정해 내부망으로 라우팅 가능하게 만듭니다. 주소는 모든 Office Mode 방식 으로 배정할 수 있습니다. 8. Microsoft IPsec / L2TP 클라이언트가 게이트웨이에 연결되어 내부망의 위치를 탐색·접속 할 수 있습니다.
Security Gateway 요구 사항
Microsoft IPsec / L2TP 클라이언트를 쓰려면 게이트웨이가 원격 접속용으로 설정 되어 있어야 합니다. 설정은 Check Point Remote Access 클라이언트용과 매우 비슷하며, 게이트웨이와 사용자 그룹을 포함하는 Remote Access community 를 만드는 일을 포함합니다. 여기에 더해, Office Mode 기능으로 클라이언트에 주소를 배정 하도록 게이트웨이를 구성해야 합니다.
L2TP 전역(Global) 구성
L2TP 인증과 관련된 일부 설정은 R71 이상 버전의 게이트웨이에 대해 전역으로 구성할 수 있습니다. 이 설정은 SmartConsole의 global properties에서 다룹니다.
모든 L2TP 클라이언트는 표준 사용자 인증에 더해 IKE용 사전 공유 키 를 쓰도록 구성할 수 있습니다. IKE에 사전 공유 키를 쓰려면 Global Properties > Remote Access > VPN - Authentication and Encryption 으로 가서 Support L2TP with Pre-Shared Key 를 선택합니다.
사용자 인증
L2TP 연결을 인증하는 방법은 두 가지입니다 — Legacy Authentication을 쓰는 방법 과 인증서를 쓰는 방법 입니다.
인증 스킴(Authentication Methods)
L2TP 클라이언트는 다음 인증 스킴 중 어느 것으로든 연결을 맺을 수 있습니다.
- Check Point password
- OS password
- RADIUS
- LDAP
- TACACS
사용자명과 암호를 쓰는 것은 사용자가 본인이 맞는지 확인하는 일입니다. 모든 사용자는 Remote Access community에 속하고 Office Mode로 구성 되어 있어야 합니다.
인증서(Certificates)
L2TP 연결을 맺는 과정에서는 두 벌의 인증 이 일어납니다. 먼저 클라이언트 기기와 게이트웨이가 인증서로 서로의 신원을 인증 하고, 그다음 클라이언트의 사용자와 게이트웨이가 인증서 또는 사전 공유 비밀 로 서로 인증합니다.
Microsoft IPsec / L2TP 클라이언트는 기기 IKE 인증용 인증서와 사용자 인증용 인증서를 따로 보관합니다. 게이트웨이 쪽에서는, 사용자 인증에 인증서를 쓸 경우 사용자 인증용과 IKE 인증용에 같은 인증서를 쓸 수도, 다른 인증서를 쓸 수도 있습니다.
클라이언트용과 사용자용 인증서는 같은 CA에서 발급해도 되고 다른 CA에서 발급 해도 됩니다. 사용자와 클라이언트 기기는 SmartConsole에서 각각 별도의 user로 정의합니다. 인증서를 발급할 수 있는 곳은 다음과 같습니다.
- Security Management Server의 Internal Certificate Authority (ICA)
- OPSEC 인증 CA
사용자 인증서 용도(User Certificate Purposes)
PKI 인증서는 정해진 용도(purpose)로만 쓰이도록 만들 수 있습니다. 한 인증서는 "client authentication", "server authentication", "IPsec", "email signing" 같은 용도를 하나 이상 가질 수 있으며, 이 용도는 인증서의 Extended Key Usage 확장에 나타납니다.
IKE 인증용 인증서는 별다른 용도가 필요 없 습니다. 그러나 사용자 인증에 대해서는 Microsoft IPsec / L2TP 클라이언트가 다음을 요구합니다.
- 사용자 인증서 는 "client authentication" 용도를 가져야 합니다.
- Security Gateway 인증서 는 "server authentication" 용도를 가져야 합니다.
대부분의 CA(ICA 포함)는 기본적으로 이런 용도를 지정하지 않습니다. 따라서 IPsec / L2TP 클라이언트용 인증서를 발급하는 CA는 Extended Key Usage 확장에 적절한 용도를 넣어 발급 하도록 따로 구성해야 합니다.
ICA는 이런 용도를 넣어 인증서를 발급 하도록 설정할 수 있습니다. OPSEC 인증 CA의 경우, Management Server가 용도가 포함된 인증서 요청(certificate request) 을 만들도록 구성할 수 있습니다. 또한 Microsoft IPsec / L2TP 클라이언트가 L2TP 협상 중에 게이트웨이 인증서를 검증하지 않도록 설정할 수도 있는데, 이는 이미 IKE 협상 때 게이트웨이 인증서를 확인했으므로 보안 문제가 아닙니다.
Microsoft IPsec / L2TP 클라이언트용 Remote Access 구성
Microsoft IPsec / L2TP 클라이언트용 Remote Access VPN을 맺으려면 게이트웨이와 클라이언트 양쪽 에서 설정이 필요합니다. 설정은 Check Point Remote Access 클라이언트를 구성하는 것과 같고, 몇 가지 단계만 추가됩니다. 전체 흐름은 다음과 같습니다.
- 사용자용 개체와 인증 자격 증명(보통 인증서)을 포함해 Remote Access 환경 을 구성합니다.
- 게이트웨이에 Office Mode와 L2TP 지원 을 구성합니다.
- 클라이언트 기기에서 사용자 인증서는 User Certificate Store 에, 클라이언트 기기 인증서는 Machine Certificate Store 에 넣습니다.
- 클라이언트 기기에서 Microsoft IPsec / L2TP 연결 프로필 을 설정합니다.
Remote Access 환경 구성
네트워크가 Remote Access용 VPN 연결을 쓰도록 구성합니다.
클라이언트 기기와 인증서 정의
- 클라이언트 기기마다 대응하는 user를 하나씩 정의하거나, 모든 기기에 대해 user 하나를 정의하고, 각 클라이언트 기기 user에 인증서를 생성 합니다. 절차는 일반적인 user와 인증서 정의 절차와 같습니다.
- 클라이언트 기기에 대응하는 user들을 user 그룹에 넣고, 그 user 그룹을 Remote Access VPN community에 추가 합니다.
Office Mode와 L2TP 지원 구성
L2TP 지원을 구성하려면 —
- Office Mode 를 구성합니다(원문 63쪽 "Office Mode" 참고).
- Gateways & Servers 를 클릭하고 해당 Security Gateway를 더블 클릭합니다. Security Gateway Properties 창이 General Properties 페이지와 함께 열립니다.
- 탐색 트리에서 VPN Clients > Remote Access 를 클릭합니다.
- Support L2TP 를 클릭합니다.
- 사용자용 Authentication Method 를 고릅니다.
- EAP 인증서 를 쓰려면 Smart Card or other Certificates (encryption enabled) 를 고릅니다.
- EAP 사용자명+공유 비밀(암호) 을 쓰려면 MD5-challenge 를 고릅니다.
클라이언트 기기 준비
- 클라이언트 기기의 Windows Services 창에서 IPsec Policy Agent 가 실행 중인지 확인합니다. Automatic(자동)으로 설정 하는 것이 좋습니다.
- 그 기기에 다른 IPsec 클라이언트가 설치되어 있지 않은지 확인합니다.
클라이언트 인증서를 Machine Certificate Store에 넣기
- 관리자 권한으로 클라이언트 기기에 로그인합니다.
- Microsoft Management Console 을 실행합니다 — Start > Run.
mmc를 입력하고 Enter를 누릅니다.- Console > Add/Remove Snap-In 을 고릅니다.
- Standalone 탭에서 Add 를 클릭합니다.
- Add Standalone Snap-in 창에서 Certificates 를 고릅니다.
- Certificates snap-in 창에서 Computer account 를 고릅니다.
- Select Computer 창에서 새 인증서를 저장한 컴퓨터(로컬이든 아니든)를 고릅니다.
- Finish 로 마치고 Close 로 Add/Remove Snap-in 창을 닫습니다.
- MMC Console 창이 나타나고, Console root에 새 certificates 가지(branch)가 추가됩니다.
- Certificates 가지의 Personal 항목을 우클릭하고 All Tasks > Import 를 고릅니다. Certificate Import Wizard 가 뜹니다.
- Certificate Import Wizard 에서 인증서 위치로 이동합니다.
- 인증서 파일 암호를 입력합니다.
- Certificate Store 창에서 인증서 종류에 따라 저장소가 자동 선택 되는지 확인합니다.
- Finish 로 가져오기를 끝냅니다.
- (Personal 아래) Certificate 하위 디렉터리로 갑니다. 사용자 이름이 붙은 인증서 하나와 관리 이름이 붙은 인증서 하나 , 이렇게 두 개가 있습니다.
- 관리 인증서를 골라 Trusted Root Certificate 하위 디렉터리의 Certificates 목록으로 드래그 합니다.
- MMC 콘솔을 나갑니다. 저장할 필요는 없 습니다. 변경은 Internet Explorer Properties에서 확인할 수 있습니다.
MMC를 쓰면 이 인증서는 "Local Computer" 의 인증서 저장소에서 볼 수 있습니다.
사용자 인증서를 User Certificate Store에 넣기
- 클라이언트 기기에서, 저장된 위치의 사용자 인증서 아이콘(.p12 파일)을 더블 클릭 합니다. Certificate Import Wizard 가 뜹니다.
- 암호를 입력합니다.
- Certificate Store 창에서 인증서 종류에 따라 저장소가 자동 선택되는지 확인합니다.
- Finish 로 가져오기를 끝냅니다.
MMC를 쓰면 이 인증서는 "current user" 의 인증서 저장소에서 볼 수 있습니다.
Microsoft IPsec / L2TP 클라이언트 연결 프로필 설정
클라이언트 기기 인증서와 사용자 인증서가 제대로 배포되면 L2TP 연결 프로필을 설정합니다. 화면 단계는 Windows 버전마다 조금씩 다를 수 있습니다.
L2TP 프로필을 구성하려면 —
- 클라이언트 기기에서 Network and Sharing Center 로 갑니다.
- Set up a new connection or network > Connect to a workplace > Use my Internet connection (VPN) 을 고릅니다.
- Internet address 에 게이트웨이의 IP 주소 또는 해석 가능한 호스트명을 입력합니다.
- Destination name 에 새 연결 이름을 입력합니다(예:
L2TP_connection). - Windows 7에서는 Don't connect now; just set it up so I can connect later 를 고릅니다.
- Next 를 누릅니다.
- Create 를 누릅니다.
- Close 를 누릅니다.
L2TP 연결 구성을 마무리하려면 —
- Network and Sharing Center 에서 Change adapter settings 를 클릭합니다.
- 방금 만든 연결을 우클릭하고 Properties 를 고릅니다.
- Security 탭의 Type of VPN 에서 Layer 2 Tunneling Protocol with IPSEC (L2TP/IPSEC) 를 고릅니다.
- Advanced settings 를 클릭하고 L2TP 탭에서 —
- 게이트웨이를 사전 공유 키 지원 으로 구성했다면, 인증에 preshared key를 골라 키를 입력할 수 있습니다.
- 게이트웨이를 Smart Card 또는 다른 인증서 로 구성했다면, Use certificate for authentication 을 고를 수 있습니다.
- OK 를 누릅니다.
- Authentication 아래에서 Use Extensible Authentication protocols 또는 Allow these protocols 를 고릅니다.
- Use extensible Authentication protocols (EAP) 를 고른 경우 — MD5-challenge, 또는 Smart Card or other Certificates 를 고릅니다. 게이트웨이의 Support L2TP에서 구성한 인증 방식 과 같게 맞춥니다.
- Allow these protocols 를 고른 경우 — Unencrypted password (PAP) 를 고릅니다.
- OK 를 누릅니다.
사용자 인증서 용도 구성
IPsec / L2TP 클라이언트용 인증서를 발급하는 CA는 적절한 용도를 넣어 발급 하도록 구성해야 합니다. 또는 Microsoft IPsec / L2TP 클라이언트가 게이트웨이 인증서의 "Server Authentication" 용도를 요구하지 않도록 설정할 수도 있습니다.
CA가 인증서를 발급하도록 구성 (L2TP)
ICA Management Tool 로 CA를 구성하려면 —
- ICA Management tool 을 실행합니다.
- 게이트웨이 인증서를 "server authentication" 용도로 발급하려면, IKE Certificate Extended Key Usage 속성을 값
1로 바꿉니다. - 사용자 인증서를 "client authentication" 용도로 발급하려면, IKE Certificate Extended Key Usage 를 값
2로 바꿉니다.
OPSEC 인증 CA로 인증서를 발급한다면, Database Tool(GuiDBEdit Tool)로 전역 속성 cert_req_ext_key_usage 값을 1 로 바꿉니다. 그러면 Management Server가 Extended Key Usage 확장(용도)이 들어간 인증서 요청 을 보내게 됩니다.
SmartConsole 로 CA를 구성하려면 —
- Gateways & Servers 를 클릭하고 해당 Security Gateway를 더블 클릭합니다. Security Gateway Properties 창이 General Properties 페이지와 함께 열립니다.
- 탐색 트리에서 IPsec VPN 을 클릭합니다.
- Repository of Certificates Available to the Gateway 영역에서 Add 를 클릭합니다.
- Certificate Properties 창이 열립니다.
- 인증서 설정을 구성하고 OK 를 누릅니다.
- 그 인증서를 골라 View 를 클릭합니다.
- 인증서에 Extended Key Usage Extension 이 나타나는지 확인합니다.
- 탐색 트리에서 VPN Clients > Remote Access 를 클릭합니다.
- L2TP Support 영역에서 새 인증서를 고릅니다.
- OK 를 누르고 변경을 publish 합니다.
"Server Authentication" 용도를 검사하지 않게 만들기
다음 절차는 Microsoft IPsec / L2TP 클라이언트가 게이트웨이 인증서의 "Server Authentication" 용도를 요구하지 않도록 설정합니다.
- 클라이언트 기기 바탕화면의 My Network Places 아이콘을 우클릭하고 Properties 를 고릅니다.
- Network and Dial-up Connections 창에서 L2TP 연결 프로필을 더블 클릭합니다.
- Properties 를 클릭하고 Security 탭을 고릅니다.
- Advanced (custom settings) 를 고르고 Settings 를 클릭합니다.
- Advanced Security Settings 창의 Logon security 아래에서 Use Extensible Authentication Protocol (EAP) 를 고르고 Properties 를 클릭합니다.
- Smart Card or other Certificate Properties 창에서 Validate server certificate 체크를 해제 하고 OK 를 누릅니다.
L2TP 연결 맺기
- Connect 를 클릭해 L2TP 연결을 맺습니다.
- 연결에 배정된 IP 주소를 보려면, 연결 Status 창의 Details 탭을 보거나
ipconfig /all명령을 씁니다.
더 알아보기
L2TP 프로토콜은 RFC 2661 에 정의되어 있습니다. IPsec을 이용한 L2TP 암호화는 RFC 3193 에 설명되어 있습니다. L2TP 프로토콜과 Microsoft IPsec / L2TP 클라이언트에 대한 자세한 내용은 사용 중인 Windows 버전의 Network and Dial Up Connections Help 를 참고하세요.