Exchange Server 인증서 갱신

모든 인증서에는 기본 제공 만료 날짜가 있습니다. Exchange Server Exchange 서버에 설치된 기본 자체 서명된 인증서는 Exchange가 서버에 설치된 후 5년 후에 만료됩니다. EAC(Exchange 관리 센터) 또는 Exchange 관리 셸을 사용하여 Exchange 인증서를 갱신할 수 있습니다. 여기에는 Exchange 자체 서명된 인증서 및 CA(인증 기관)에서 발급한 인증서가 포함됩니다.

참고

인증서 관리 작업은 Exchange Server 2016 CU23 및 Exchange Server 2019 CU12용 EAC에서 제거됩니다. Exchange Management Shell 프로시저를 사용하여 이러한 버전에서 인증서를 내보내고 가져옵니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 예상 완료 시간: 5분

  • 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.

  • CA에서 발급한 인증서의 경우 CA의 인증서 요청 요구 사항을 확인합니다. Exchange는 1024, 2048(기본값) 또는 4096비트인 RSA 공개 키를 사용하여 Base64 인코딩(기본값) 또는 DER(Distinguished Encoding Rules)를 사용하는 PKCS #10 요청(.req) 파일을 생성합니다. 인코딩 및 공개 키 옵션은 Exchange 관리 셸에서만 사용할 수 있습니다.

  • CA에서 발급한 인증서를 갱신하려면 인증서를 발급한 것과 동일한 CA로 인증서를 갱신해야 합니다. CA를 변경하거나 갱신하려고 할 때 원본 인증서에 문제가 있는 경우 새 인증서에 대한 새 인증서 요청(인증서 서명 요청 또는 CSR이라고도 함)을 만들어야 합니다. 자세한 내용은 인증 기관에 대한 Exchange Server 인증서 요청 만들기를 참조하세요.

  • 구독된 Edge 전송 서버에서 CA에서 발급한 인증서를 갱신하거나 교체하는 경우 이전 인증서를 제거한 다음 Edge 구독을 삭제하고 다시 만들어야 합니다. 자세한 내용은 Edge 구독 프로세스를 참조하세요.

  • 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 클라이언트 및 모바일 디바이스 권한 항목의 "클라이언트 액세스 서비스 보안" 항목을 참조하세요.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.

문제가 있습니까? Exchange Server, Exchange Online 또는 Exchange Online Protection. 무슨 작업을 하고 싶으십니까?

인증 기관에서 발급한 인증서 갱신

절차는 내부 CA(예: Active Directory 인증서 서비스) 또는 상용 CA에서 발급한 인증서에 대해 동일합니다.

CA에서 발급한 인증서를 갱신하려면 인증서 갱신 요청을 만든 다음, 요청을 CA로 보냅니다. 그런 다음 CA는 Exchange 서버에 설치해야 하는 실제 인증서 파일을 보냅니다. 이 절차는 서버에 인증서를 설치하여 새 인증서 요청을 완료하는 절차와 거의 동일합니다. 자세한 내용은 보류 중인 Exchange Server 인증서 요청 완료를 참조하세요.

EAC를 사용하여 인증 기관에 대한 인증서 갱신 요청 만들기

  1. EAC를 열고 서버>인증서로 이동합니다.

  2. 서버 선택 목록에서 갱신할 인증서를 보유하는 Exchange 서버를 선택합니다.

  3. 모든 유효한 인증서에는 목록에서 인증서를 선택할 때 표시되는 세부 정보 창에 갱신 링크가 있습니다. 갱신할 인증서를 선택한 다음 세부 정보 창에서 갱신 을 클릭합니다.

  4. 열리는 Exchange 인증서 갱신 페이지의 다음 파일에 인증서 요청 저장 필드에서 새 인증서 갱신 요청 파일 의 UNC 경로 및 파일 이름을 입력합니다. 예를 들면 \\FileServer01\Data\ContosoCertRenewal.req와 같습니다. 작업을 마친 후 확인을 클릭합니다.

인증서 요청은 상태 값이 보류 중인 Exchange 인증서 목록에 표시됩니다.

Exchange 관리 셸을 사용하여 인증 기관에 대한 인증서 갱신 요청 만들기

인증 기관에 대한 새 인증서 갱신 요청을 만들려면 다음 구문을 사용합니다.

  • 인증서 갱신 요청 파일의 콘텐츠를 CA로 보내야 하는 경우 다음 구문을 사용하여 Base64로 인코딩된 요청 파일을 만듭니다.

    $txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
    
  • 인증서 갱신 요청 파일을 CA로 보내야 하는 경우 다음 구문을 사용하여 DER로 인코딩된 요청 파일을 만듭니다.

    $binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
    

갱신하려는 인증서의 지문 값을 찾으려면 다음 명령을 실행합니다.

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

자세한 구문 및 매개 변수 정보는 Get-ExchangeCertificateNew-ExchangeCertificate를 참조하세요.

참고:

  • KeySize 매개 변수를 사용하지 않는 경우 인증서 요청에는 2048비트 RSA 공개 키가 있습니다.
  • Server 매개 변수를 사용하지 않으면 명령은 로컬 Exchange 서버를 실행합니다.

다음은 지문 값 5DB9879E38E36BCB60B761E29794392B23D1C054이 인 기존 인증서에 대한 Base64로 인코딩된 인증서 갱신 요청을 만드는 예제입니다.

$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

이 예제에서는 동일한 인증서에 대해 DER(이진) 인코딩된 인증서 갱신 요청을 만듭니다.

$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)

인증서 갱신 요청을 성공적으로 만들었는지 어떻게 알 수 있나요?

인증 기관에 대한 인증서 갱신 요청을 성공적으로 만들 수 있는지 확인하려면 다음 단계 중 하나를 수행합니다.

  • 서버> 인증서의 EAC에서 인증서 요청을 저장한 서버가 선택되어 있는지 확인합니다. 요청은 상태보류 중인 요청이 있는 인증서 목록에 있어야 합니다.

  • 인증서 요청을 저장한 서버의 Exchange 관리 셸에서 다음 명령을 실행합니다.

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Exchange 자체 서명된 인증서 갱신

Exchange 자체 서명된 인증서를 갱신하는 경우 기본적으로 새 인증서를 만듭니다.

EAC를 사용하여 Exchange 자체 서명된 인증서 갱신

  1. EAC를 열고 서버>인증서로 이동합니다.

  2. 서버 선택 목록에서 갱신할 인증서를 보유하는 Exchange 서버를 선택합니다.

  3. 모든 유효한 인증서에는 목록에서 인증서를 선택할 때 표시되는 세부 정보 창에 갱신 링크가 있습니다. 갱신할 인증서를 선택한 다음 세부 정보 창에서 갱신 을 클릭합니다.

  4. 열리는 Exchange 인증서 갱신 페이지에서 기존 인증서가 할당된 Exchange 서비스의 읽기 전용 목록을 확인한 다음 확인을 클릭합니다.

Exchange 관리 셸을 사용하여 Exchange 자체 서명된 인증서 갱신

자체 서명된 인증서를 갱신하려면 다음 구문을 사용합니다.

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

갱신하려는 인증서의 지문 값을 찾으려면 다음 명령을 실행합니다.

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

다음은 로컬 Exchange 서버에서 자체 서명된 인증서를 갱신하고 다음 설정을 사용하는 예제입니다.

  • 갱신할 기존 자체 서명된 인증서의 지문 값은 입니다. BC37CBE2E59566BFF7D01FEAC9B6517841475F2D
  • 강제 스위치는 확인 프롬프트 없이 원래 자체 서명된 인증서를 대체합니다.
  • 프라이빗 키를 내보낼 수 있습니다. 이렇게 하면 인증서를 내보내고 다른 서버에서 가져올 수 있습니다.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Exchange 자체 서명 인증서를 성공적으로 갱신했음을 어떻게 알 수 있나요?

Exchange 자체 서명된 인증서를 성공적으로 갱신했는지 확인하려면 다음 절차 중 하나를 사용합니다.

  • 서버> 인증서의 EAC에서 인증서를 설치한 서버가 선택되어 있는지 확인합니다. 인증서 목록에서 인증서에 Status 속성 값이 유효한지 확인합니다.

  • 자체 서명된 인증서를 갱신한 서버의 Exchange 관리 셸에서 다음 명령을 실행하여 속성 값을 확인합니다.

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

중요

인증서에 서비스를 제거, 갱신 또는 할당하면 Exchange 백 엔드 및 기본 웹 사이트에서 인증서를 제거할 수 있습니다. 인증서 바인딩을 확인하고 올바른 인증서를 적용해야 합니다.

추가 리소스

Exchange 백 엔드 웹 사이트에서 자체 서명된 인증서가 제거된 후 OWA, ECP 또는 EMS를 열 수 없음