SSL 인증서를 이용한 터미널서버 접속

윈도우서버의 터미널서버는, 자체적으로 RDP 보안계층을 지원합니다. 패킷스니핑툴로 패킷을 가로채봐야 암호화된 패킷을 해독하기는 어렵겠죠..

요즘은 웹서버에 SSL 인증서를 이용한 서버운영이 많습니다. RDP 보안 계층이 아닌 웹서버에 설치된 SSL 인증서을 이용하는 방법입니다.

다음은 터미널서버의 설정옵션 패널입니다.  일반 항목에서, 보안계층 지정이 가능한데요.  RDP 보안계층이 기본값으로 되어 있고 이 기본값으로도 운영상 문제점은 없습니다.



인증서를 이용한 SSL-RDP 를 이용할려면, 서버측에 공인인증서가 있어야 합니다. 물론 공인인증서를 절대적인 부분은 아니며, 사설 인증서로도 충분합니다. 물론 경고창이 뜨겠죠..

암호화수준은 기본값이 "클라이언트 호환 가능" 으로 되어 있습니다.
즉 서버측의 암호화 가능수준이 높더라더 클라이언트의 암호화 가능 수준에 맞춰진다는 얘기입니다.

암호화를 높게 해 놓을수록 좋기는 합니다만, 사전에암 호화수준에 따른 접속 테스트를 필히 해보시는게 좋겠습니다.

FIPS 규격 암호화 수준에서는 Microsoft 암호화 모듈을 사용하는 FIPS(Federal Information Processing Standard) 암호화 알고리즘으로 클라이언트와 서버 사이에 전송되는 데이터를 암호화 및 해독합니다. --> 권장하지 않음. 다른 서비스에 영향을 주게 됨

높음 암호화 수준에서는 강력한 128비트 암호화를 사용하여 클라이언트와 서버 간에 전송되는 데이터를 암호화합니다. Windows Server 2003 제품군 운영 체제 중 하나를 실행하는 클라이언트와 같이 128비트 클라이언트만 있는 환경에서 터미널 서버를 실행할 때 이 수준을 사용하십시오. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없습니다.

클라이언트 호환 가능 암호화 수준에서는 클라이언트와 서버 간에 전송되는 데이터를 클라이언트에서 지원되는 최대 키 강도로 암호화합니다. 혼합 또는 레거시 클라이언트가 있는 환경에서 터미널 서버를 실행할 때 이 수준을 사용하십시오.

낮음 암호화 수준에서는 클라이언트에서 서버로 전송된 데이터를 56비트 암호화를 사용하여 암호화합니다

첫번째 화면을 보면 기본값에는 없던 "SSL" 선택항목이 보이는데요. 인증서 부분이 활성화 되어 있기 때문입니다.

"편집" 버튼을 클릭하면 다음과 같은 이미 해당 서버에 설치된 인증서 목록이 나타납니다. 웹서버에 SSL을 적용한 웹사이트가 있다면 아마 나올것입니다.



내가 운영하는 서버에는 없다구요?.. 그러면 사설인증서를 이용해야 겠죠.
사설인증서는 IIS 6 의 리소스킷을 설치하면 SelfSSL.exe 가 있는데요. 이 툴을 이용해서 사설인증서 설치가 가능합니다.



선택이 되었다면, 보안계층을 SSL로 선택해 줍니다.



RDP 클라이언트에서는 필히 "인증시도" 또는 "인증필요"를 체크해 줘야 합니다. 그렇지 않으면 협상자체가 되지 않으므로 접속이 안되게 됩니다.



위와 같은 경고창이 뜨는데요. 이것은 원격 컴퓨터 이름과 인증서 이름이 다르기 때문이죠.

안뜨게 할려면,  RDP클라이언트 접속에서 접속대상 서버측 컴퓨터 부분에 인증서와 동일한 도메인 주소형태로 접속을 시도해야 합니다.

이로서 접속이 완료되면, SSL 암호화를 통한 터미널세션이 이루어지게 됩니다. SSL 인증서를 이용한 보안계층은 말 그대로 RDP 보안 계층이 아닌 SSL 보안계층을 이용하는 방법입니다.

보안계층보다 훨씬 더 중요한 부분이, 중간부분에 언급했던 "암호화 수준" 입니다. 128bit 를 지원하는 RDP 클라이언트 라면, "높음" 으로 설정하는 것이 좋습니다.



21-rdp_ssl_1.png
21-rdp_ssl_2.png
21-rdp_ssl_3.png
21-rdp_ssl_4.png
21-rdp_ssl_5.png