신뢰할 수 있는 장치에서만 AWS WorkSpaces에 연결할 수 있도록 접근을 제한하는 방법

Requirements

1. 워크스페이스에 연결된 AD에 조인된 Windows Server 인스턴스
2. 워크스페이스에 연결하려는 클라이언트 (Mac, windows 등)

아래 테스트는 AD에 조인된 인스턴스와 클라이언트로 모두 Windows Server 2022 인스턴스를 사용했습니다. 워크스페이스에 연결하려는 클라이언트가 신뢰할 수 있는 장치가 되려면 Standalone Windows Root CA에서 발급된 클라이언트 인증서(private key로 생성되어 client authentication 용도로 생성되었으며 루트 인증서로 연결된 인증서)를 설치해야 합니다. 신뢰할 수 있는 장치는 또한 신뢰할 수 있는 루트 저장소에 루트 CA 인증서를 가지고 있어야 하며 이 인증서를 Workspace 콘솔에 업로드해야 합니다.

Steps

1. AD에 조인된 Windows Server에 로그인하여 Server Manager를 열고 Manage > Add roles and features 를 클릭합니다.
   
   Role-based or feature-based installation 을 선택하고 Server Roles 에서 Active Directory Certificate Services 를 클릭합니다. role services가 나올떄까지 Next→ “Certification Authority” 과 “Certification Authority Web enrollment” 을 선택합니다.
   

2. 설치 후 깃발 아이콘의 warning 을 클릭하여 Configure Active Directory Certificate Services… 를 클릭합니다
   
   Credentials를 AD의 Admin 계정으로 설정하고, Role Services에서 “Certification Authority”과 “Certification Authority Web enrollment”를 선택합니다.
   
   Standalone CA 선택 > Root CA 선택 > Create a new private key 선택 > RSA#Microsoft Software key storage Provider, key length는 2048, sha256 선택.
   다른 값은 모두 default로 설정된 것을 유지하고 Next를 계속 누릅니다.
   이 때, Common Name for this CA를 기억해둡니다. SSL 인증서의 이름입니다.
   이 과정을 통해 Windows server가 Standalone windows Root CA가 됩니다.

3. Configure 가 완료되면 IIS Manager로 들어갑니다. 왼쪽 탭에서 Default Web Site를 클릭하고 오른쪽 코너에서 Bindings를 클릭합니다.
   
   https, All Unassigned, 443 으로 설정하고 Host Name은 서버의 FQDN을 입력합니다. SSL certificate를 드롭다운 메뉴에서 선택합니다. (2번에서 기억한 Common Name 입니다.)

4. 인터넷 익스플로어로 이동하여 https://FQDN of the server/certsrv 주소로 이동합니다. (이 때, Edge나 Firefox 보다 인터넷 익스플로어를 이용하는 것을 권장합니다. Edge를 이용하였을 때는 아래 스텝과 다르게 동작하는 것을 확인했습니다.)
   
   Request a certificate→Advanced certificate request→Create and submit a request to this CA 를 클릭합니다.
   경고가 뜨면 Yes를 클릭합니다.
   

5. identifying information 아래에 디테일을 입력합니다.

6. Type of certificate: Client authentication certificate 로 선택하고,
   Key options: Create a new key set, CSP: Microsoft Enhanced RSA and AES Cryptographic provider, Key usage:Both, Key size:2048, Automatic key container name 선택, Mark keys as exportable 선택합니다.
   Additional options: PKCS10, hash algorithm: sha256, Friendly name을 지정하고 submit 합니다. (save request는 선택하지 않습니다.)
   만약 CSP가 Loading 에서 변하지 않으면 이 게시글 하단의 Troubleshooting 탭을 참고하세요.
   

7. Certification authority 를 열고 Pending requests를 클릭하여 요청을 우클릭→ All tasks→ Issue 를 클릭합니다. 이제 해당 인증서를 Issued certificates 탭에서 확인할 수 있습니다.

8. https://FQDN/certsrv 으로 이동하여 view the status of a pending certificate request 클릭 > client authentication certificate 클릭 > 경고창이 뜨면 Yes > Install this certificate 를 클릭합니다.
   설치가 완료되면 ‘Your new certificate has been successfully installed’ 메세지가 뜹니다.

9. mmc.exe를 실행하여 File→Add remove snap-in→ Certificate→ Add > My user account 를 선택 > Okay

10. Certificates - Current user를 확장하고 Personal → Certificates 로 이동하여 client certificate가 잘 설치되어있는지 확인합니다.
    

11. certificate를 우클릭하고→All tasks→ Export…→ Next를 클릭합니다.
    
    Yes,export the private key 선택 → PKCS #12 format → Include all certificates in the certification path if possible 을 선택합니다.
    
    패스워드를 입력하고 Next > 바탕화면에 알아보기 쉬운 이름으로 저장합니다. 해당 인증서는 워크스페이스에 연결하려는 클라이언트 디바이스에 설치해야합니다.

12. 저장된 .pfx 파일을 복사하여 클라이언트 디바이스(=Trusted Device)에 저장합니다. 해당 파일을 우클릭하여 Install pfx 합니다. 모든 설정을 디폴트로 하고 Next 클릭 > 경고창이 뜨면 Yes 를 클릭합니다.
    워크스페이스에 연결하려는 클라이언트 디바이스 마다 이 스텝을 반복합니다.
    클라이언트 디바이스에서 mmc.exe를 열고 File→Add remove snap-in→ Certificate→ Add > My user account 를 선택했을 때 Personal > Certificates 탭에서 인증서가 설치된 것을 확인할 수 있습니다.
    
    Trusted Root Certification Authorities > Certificates 탭에서는 해당 인증서에 연결된 루트 인증서가 설치된 것을 확인할 수 있습니다.
    

13. 그 다음으로 Root CA 인증서를 워크스페이스 콘솔에 import 해야합니다.

14. standalone CA 서버에서 mmc를 열고 File→Add remove snap-in→ Certificate→Computer account → Local computer 를 선택하고 Finish

15. Personal→Certificates 에서 Root 인증서를 확인할 수 있습니다.
    

이 인증서를 우클릭 > All Tasks > Export… 를 클릭합니다. 이 때 No, do not export the private key > Base-64 encoded X.509 를 통해 export 합니다. 바탕화면에 기억하기 쉬운 이름으로 저장합니다.
저장된 인증서를 Notepad로 오픈합니다.

텍스트 내용을 전체 복사합니다.

16. 이제 워크스페이스 콘솔로 이동하여 워크스페이스에 연결된 directory → Access control options 에서 Edit을 클릭합니다. Windows 를 Trusted devices로 설정하고 하단에 import certificate 를 클릭하여 복사한 텍스트를 붙여넣기 하여 임포트합니다.

17. 연결하려는 클라이언트마다 12번 스텝을 통해 루트 인증서와 클라이언트 인증서를 설치합니다.

18. 이제 클라이언트에서 워크스페이스 클라이언트를 이용하여 워크스페이스에 연결할 수 있습니다.

Troubleshooting

스텝 6에서 CSP 및 Hash algorithm이 모두 Loading 중인 경우,
인터넷 익스플로어 > 설정 > 인터넷 옵션 > 보안탭에서 해당 서버의 FQDN을 Trusted sites로 등록합니다.

Reference

[1] Restrict WorkSpaces access to trusted devices - https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html