하이브리드 배포를 위한 인증서 요구 사항
하이브리드 배포에서 디지털 인증서는 온-프레미스 Exchange organization Microsoft 365 또는 Office 365 간의 통신을 보호하는 데 중요한 부분입니다. 인증서를 사용하면 각 Exchange 조직은 상대방을 신뢰할 수 있습니다. 인증서는 또한 각 Exchange 조직이 올바른 소스와 통신하도록 보장합니다.
하이브리드 배포에서는 많은 서비스가 인증서를 사용합니다.
Active Directory Federation Services(AD FS)를 사용하여 연결(Microsoft Entra Connect)Microsoft Entra: Microsoft Entra 배포하도록 선택한 경우 하이브리드 배포의 일부로 AD FS와 연결하면 신뢰할 수 있는 타사 CA(인증 기관)에서 발급한 인증서를 사용하여 웹 클라이언트와 페더레이션 서버 프록시 간에 트러스트를 설정하고, 보안 토큰에 서명하고, 보안 토큰의 암호를 해독합니다.
자세한 내용은 인증서를 참조하십시오.
Exchange 페더레이션: 자체 서명된 인증서를 사용하여 온-프레미스 Exchange 서버와 Microsoft Entra 인증 시스템 간에 보안 연결을 만듭니다.
공유에서 자세히 알아보세요.
Exchange 서비스: 신뢰할 수 있는 타사 CA에서 발급한 인증서는 Exchange 서버와 클라이언트 간의 SSL(Secure Sockets Layer) 통신을 보호하는 데 사용됩니다. 인증서를 사용하는 서비스에는 웹에서 Outlook, Exchange ActiveSync, 외부에서 Outlook 사용 및 보안 메시지 전송이 포함됩니다.
기존 Exchange 서버: 기존 Exchange 서버는 인증서를 사용하여 웹용 Outlook 통신, 메시지 전송 등을 보호할 수 있습니다. Exchange 서버에서 인증서를 사용하는 방법에 따라 자체 서명된 인증서를 사용할 수도 있고 신뢰할 수 있는 타사 CA에서 발급된 인증서를 사용할 수도 있습니다.
하이브리드 배포를 위한 인증서 요구 사항
하이브리드 배포를 구성할 때에는 신뢰할 수 있는 타사 CA에서 구매한 인증서를 사용하고 구성해야 합니다. 하이브리드 보안 메일 전송에 사용되는 인증서를 모든 온-프레미스 사서함(Exchange 2016 이상), 사서함 및 클라이언트 액세스(Exchange 2013 및 이전) 서버에 설치해야 합니다.
중요
여러 Active Directory 포리스트에 Exchange 서버가 배포된 조직에 하이브리드 배포를 구성하려면 Active Directory 포리스트마다 별도의 타사 CA 인증서를 사용해야 합니다.
Exchange Edge 전송 서버를 온-프레미스 조직에 배포하는 경우 이 인증서를 모든 Edge 전송 서버에도 설치해야 합니다. 각 Edge 전송 서버는 하이브리드 보안 메일이 올바르게 작동하려면 동일한 발급 CA와 동일한 제목을 공유하는 인증서를 사용해야 합니다.
ADFS, Exchange 페더레이션, 서비스 및 Exchange 등의 여러 서비스에 각각 인증서가 필요합니다. 조직에 따라 다음 중 하나를 선택할 수 있습니다.
여러 서버의 모든 서비스에 타사 인증서 사용
서비스를 제공하는 각 서버에 대해 타사 인증서 사용
모든 서비스에 대해 동일한 인증서를 사용할지 또는 각 서비스에 대해 전용 인증서를 사용할지는 조직 및 구현하는 서비스에 따라 결정됩니다. 각 옵션에 대해 고려해야 할 몇 가지 사항은 다음과 같습니다.
여러 서버에서 타사 인증서: 여러 서버에서 서비스에서 사용하는 타사 인증서는 얻는 것이 약간 저렴할 수 있지만 갱신 및 교체가 복잡해질 수 있습니다. 복잡한 이유는 교체가 필요할 때마다 인증서가 설치된 모든 서버에서 인증서를 교체해야 하기 때문입니다.
각 서버에 대한 타사 인증서: 서비스를 호스트하는 각 서버에 대해 전용 인증서를 사용하면 해당 서버의 서비스에 대해 인증서를 특별히 구성할 수 있습니다. 인증서를 교체하거나 갱신해야 하는 경우 서비스가 설치된 서버에서만 교체하면 됩니다. 다른 서버에는 영향을 주지 않습니다.
선택적인 ADFS 서버에는 전용 타사 인증서를 사용하고, 하이브리드 배포용 Exchange 서비스에는 또 다른 인증서를 사용하고, 필요한 경우 기타 필요한 서비스나 기능용 Exchange 서버에도 별도의 인증서를 사용하는 것이 좋습니다. 하이브리드 배포에서 페더레이션된 공유의 일부로 구성된 온-프레미스 페더레이션 트러스트는 기본적으로 자체 서명된 인증서를 사용합니다. 특정 요구 사항이 없는 경우 하이브리드 배포의 일부로 구성된 페더레이션 트러스트에 타사 인증서를 사용할 필요가 없습니다.
단일 서버에 설치된 서비스는 서버에 대해 여러 FQDN(정규화된 도메인 이름)을 구성해야 할 수 있습니다. 필요한 최대 FQDN 수를 허용하는 인증서를 구매해야 합니다. 인증서는 주체(보안 주체 이름이라고도 함) 및 하나 이상의 SAN(주체 대체 이름)으로 구성됩니다. 주체 이름은 온-프레미스와 Exchange Online 조직 간에 공유되는 기본 SMTP 도메인입니다. SAN은 주체 이름 외에도 인증서에 추가할 수 있는 추가 FQDN입니다. 5개의 FQDN을 지원하는 인증서가 필요한 경우 인증서에 5개의 도메인(주체 이름 1개, SAN 4개)을 추가할 수 있는 인증서를 구입합니다.
다음 표에는 하이브리드 배포에 사용하도록 구성된 인증서에 포함해야 할 최소한의 제안 FQDN이 요약되어 있습니다.
| 서비스 | FQDN 제안 | 필드 |
|---|---|---|
| 기본 공유 SMTP 도메인 | contoso.com | 주체 이름 |
| 자동 검색 | Exchange 2013 클라이언트 액세스 서버의 외부 자동 검색 FQDN과 일치하는 레이블(예: autodiscover.contoso.com) | 주체 대체 이름 |
| 전송 | Edge 전송 서버의 외부 FQDN과 일치하는 레이블(예: edge.contoso.com) | 주체 대체 이름 |
Office 365 통해 전자 메일 메시지를 인터넷에 릴레이할 필요가 없는 경우 기본 공유 SMTP 도메인 대신 주체 이름에 전송 서비스 이름을 사용할 수 있습니다. 자세한 내용은 Office 365 통해 전자 메일 메시지를 릴레이하도록 인증서 기반 커넥터 구성을 참조하세요.