[가상네트워크 게이트웨이] 인증서 추가 설정.

2024. 7. 2. 09:56

[가상네트워크 게이트웨이] 인증서 추가 설정.

2024. 7. 2. 09:56 in Azure

문제]

무슨이유에서인지 인증서의 추가 부분이 되지 않았다.

-> MS 에 문의해본결과, 인증서 문제가 있단다.

MS 에서 문제가 있다니 뭐 그런가보다 해서 넘어갔다.

---------메일 원본-------------------------------------------------------------------------------------------------------------

고객님 현재 구매하신 인증서 같은 경우

Azure VPN과 적합하지 않는 것으로 확인되었습니다.

우선 저희측 백단 데이터를 확인해봤는데

Azure 측과의 Handshake가 아예 없어서 VPN의 로컬 설치단계부터 문제가 있어 보입니다.

저희의 Technology leader과 함꼐 인증서를 생성하고 export및 설치 과정에서 operation에 문제가 없으며

인증서 인증 경로를 확인해보면 root 인증서 아이콘에 경탐호 표시가 있고

해당 root 인증서 자체가 가용한 child(client)인증서를 생성 불가한 것으로 저희 판단하였습니다.

gateway reset과정까지 걸쳐서 진행했고

최종적으로는 자체 인증서를 쓰는 것으로 저희가 권장을 드렸습니다.

----------------------------------------------------------------------------------------------------------------------

그럼 메일에 기재되어 있는 자체 인증서는 어떻게 해야하나.

기술 문서는 아래와 같다.

P2S용 인증서 생성 및 내보내기: PowerShell - Azure VPN Gateway | Microsoft Learn

P2S용 인증서 생성 및 내보내기: PowerShell - Azure VPN Gateway

자체 서명된 루트 인증서를 만들고, 공개 키를 내보내고, VPN Gateway 지점 및 사이트 간 연결에 대한 클라이언트 인증서를 생성하는 방법을 알아봅니다.

learn.microsoft.com

PowerShell 핵심은 아래와 같다.

1.먼저 루트 인증서 만들기.

$params = @{
    Type = 'Custom'
    Subject = 'CN=P2SRootCert'
    KeySpec = 'Signature'
    KeyExportPolicy = 'Exportable'
    KeyUsage = 'CertSign'
    KeyUsageProperty = 'Sign'
    KeyLength = 2048
    HashAlgorithm = 'sha256'
    NotAfter = (Get-Date).AddMonths(24)
    CertStoreLocation = 'Cert:\CurrentUser\My'
}
$cert = New-SelfSignedCertificate @params

2. 클라이언트 인증서 생성.

$params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params