Office Communications Server 2007 R2에 대한 TLS 및 MTLS

마지막으로 수정된 항목: 2009-03-10

TLS 및 MTLS 프로토콜은 인터넷에서 암호화된 통신 및 끝점 인증을 제공합니다. Office Communications Server는 이러한 두 프로토콜을 사용하여 트러스트된 서버 네트워크를 만들고 해당 네트워크를 통한 모든 통신이 암호화되도록 합니다. 서버 간의 모든 SIP 통신은 MTLS를 통해 수행되며, 클라이언트에서 서버로의 SIP 통신은 TLS를 통해 수행됩니다.

TLS를 사용하는 경우 사용자가 클라이언트 소프트웨어를 통해 연결 대상인 Office Communications Server 2007 R2 서버를 인증할 수 있습니다. TLS 연결에서는 클라이언트가 서버의 유효한 인증서를 요청합니다. 유효한 인증서란 클라이언트에서도 트러스트된 CA가 발급했으며 DNS 이름이 서버의 DNS 이름과 일치하는 인증서를 말합니다. 인증서가 유효하면 클라이언트는 서버를 신뢰하고 연결을 엽니다. 이 연결은 트러스트되며 해당 지점부터는 트러스트된 다른 서버나 클라이언트에서 트러스트 여부를 확인하지 않습니다. 이 컨텍스트 내에서 웹 서비스와 함께 사용되는 SSL(Secure Sockets Layer)을 TLS 기반으로 연결할 수 있습니다.

서버 간 연결에서는 상호 인증에 MTLS(Mutual TLS)를 사용합니다. MTLS 연결에서 메시지를 보내는 서버와 받는 서버는 상호 트러스트된 CA에서 인증서를 교환합니다. 이 인증서는 각 서버의 ID를 서로 간에 증명합니다. Office Communications Server 2007 R2 배포에서 엔터프라이즈 CA를 통해 발급된 인증서는 자동으로 모든 내부 클라이언트 및 서버에서 유효한 것으로 간주됩니다. 페더레이션 시나리오에서는 두 페더레이션 파트너가 모두 발급 CA를 신뢰해야 합니다. 각 파트너는 원하는 경우 서로 다른 CA를 사용할 수 있습니다. 단, 이 경우 다른 파트너도 해당 CA를 신뢰해야 합니다. 이러한 신뢰 관계는 신뢰할 수 있는 루트 CA에 파트너의 루트 CA를 포함하는 에지 서버를 사용하거나 두 파트너가 모두 신뢰하는 타사 CA를 사용하면 쉽게 설정할 수 있습니다.

TLS 및 MTLS를 사용하면 도청 및 메시지 가로채기(man-in-the-middle) 공격을 모두 방지할 수 있습니다. 메시지 가로채기(man-in-the-middle) 공격에서 공격자는 두 네트워크 엔터티 간의 통신을 통신 당사자 몰래 공격자 컴퓨터를 통해 다시 라우팅합니다. TLS 및 보안 서버 목록을 사용하면 응용 프로그램 계층에서 부분적으로 메시지 가로채기(man-in-the-middle) 공격 위험을 완화할 수 있지만, 궁극적으로는 권장되는 방법에 따라 네트워크 인프라(여기서는 회사 DNS)를 보호해야 합니다. Office Communications Server에서는 DNS 서버가 도메인 컨트롤러 및 전역 카탈로그와 같은 방식으로 트러스트된다고 가정합니다.

다음 그림에서는 Office Communications Server가 MTLS를 사용하여 트러스트된 서버 네트워크를 만드는 방법을 자세히 보여 줍니다.