인증서 관리(FAST Search Server 2010 for SharePoint)

아티클
01/25/2017

적용 대상: FAST Search Server 2010

마지막으로 수정된 항목: 2016-11-29

FAST Search Server 2010 for SharePoint에서는 인증 및 암호화 목적으로 인증서가 사용됩니다. 인증서는 다중 서버 FAST Search Server 2010 for SharePoint 배포의 서버 사이 그리고 FAST Search Server 2010 for SharePoint 및 Microsoft SharePoint Server 사이의 통신을 위해 사용됩니다.

잠재적으로 FAST Search Server 2010 for SharePoint 배포의 각 서버에는 서로 다른 기능을 수행하고 별개로 구성 및 교체되어야 하는 세 개의 인증서가 포함됩니다.

일반 목적의 FAST Search 인증서(내부 통신, 관리 서비스 및 Microsoft SharePoint Server에서의 공급에 사용)
HTTPS를 사용한 쿼리 트래픽을 위한 서버별 인증서(HTTPS 쿼리 트래픽이 설정된 쿼리 서버에서만 사용)
클레임 인증서(쿼리 서버에서만 사용)

일반 목적의 FAST Search 인증서에 나열된 요구 사항이 충족되면 처음 두 개의 인증서가 하나의 인증서로 합쳐질 수 있습니다. 하지만 만료 또는 해지 등의 이유로 이러한 두 인증서를 각각 대체하려면 특정 구성 단계를 수행해야 합니다.

이 섹션의 내용:

일반 목적의 FAST Search 인증서
HTTPS 쿼리 인증서
클레임 인증서

일반 목적의 FAST Search 인증서

초기 설치 중에 FAST Search Server 2010 for SharePoint는 자체 서명된 인증서를 생성합니다. 자체 서명된 인증서는 구성 시점으로부터 1년 후에 만료되며 테스트 환경에서만 사용할 수 있습니다. 이 인증서에는 다음과 같은 제한 사항이 있습니다.

자체 서명된 인증서는 해지할 수 없기 때문에 제한된 보안 성능을 제공합니다. 따라서 개인 키가 손상될 경우 공격자가 ID를 위조하거나 연결에 데이터를 삽입할 수 있습니다.
자체 서명된 인증서를 사용해서는 HTTPS를 통한 쿼리를 지원할 수 없습니다.
자체 서명된 인증서를 사용해서는 HTTPS를 통한 관리 서비스를 지원할 수 없습니다.

높은 보안 수준을 얻기 위해서는 FAST Search Server 2010 for SharePoint에서 기존의 PKI(공개 키 인프라)를 사용해야 합니다. 다중 서버 FAST Search Server 2010 for SharePoint 배포에 포함된 각 서버는 공통 CA(인증 기관)에서 발급한 별도의 인증서를 사용해야 합니다.

각 서버 인증서에는 다음과 같은 요구 사항이 적용됩니다.

제목 이름 또는 SAN(제목 대체 이름) 필드에는 인증서가 발급된 서버의 FQDN(정규화된 도메인 이름)이 포함되어야 합니다. FQDN은 HTTPS를 통해 쿼리 및 관리 서비스를 지원하기 위해 필요합니다.
Microsoft SharePoint Server에 발급된 인증서는 FAST Search Server 2010 for SharePoint 배포의 서버에 발급된 인증서와 발급자가 동일해야 합니다.
FAST Search Server 2010 for SharePoint 사용자는 인증서의 개인 키에 대한 액세스 권한이 있어야 합니다.

FAST Search Server 2010 for SharePoint 배포에는 기본 자체 서명된 인증서를 대체하도록 배포의 각 서버에서 실행해야 하는 Windows PowerShell 스크립트가 포함됩니다. 이 스크립트는 두 가지 별도 작업을 수행할 수 있습니다.

1년 만기의 새로운 자체 서명된 인증서를 만들고 새 인증서를 사용하도록 FAST Search Server 2010 for SharePoint를 구성합니다. 자체 서명된 인증서를 새로운 자체 서명된 인증서로 바꾸기를 참조하십시오.
이미 설치된 인증서에 지문을 제공하여 CA(인증 기관)에서 서명된 기존 인증서를 사용하도록 FAST Search Server 2010 for SharePoint를 구성합니다. 자체 서명된 인증서를 새로운 CA(인증 기관)로 서명된 인증서로 바꾸기를 참조하십시오.

자체 서명된 인증서를 새로운 자체 서명된 인증서로 바꾸기

자체 서명된 인증서를 새로운 자체 서명된 인증서로 바꾸려면 다음 단계를 수행합니다.

모니터링 서비스를 포함하여 팜의 모든 서버에 FAST Search Server 2010 for SharePoint를 설치합니다.
관리 서버에서 다음 단계를 수행합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft FAST Search Server 2010 for SharePoint를 클릭합니다.
3. SharePoint 2010 관리 셸을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
4. 명령 프롬프트에서 설치 폴더 아래의 installer\scripts를 찾습니다.
5. 다음 명령을 입력합니다.
```
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
```
6. 인증서의 암호를 입력합니다.
관리 서버에서 FAST Search Server 2010 for SharePoint를 시작합니다.
각 비관리 서버에서 다음 단계를 수행합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft FAST Search Server 2010 for SharePoint를 클릭합니다.
3. SharePoint 2010 관리 셸을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
4. 명령 프롬프트에서 설치 폴더 아래의 installer\scripts를 찾습니다.
5. 다음 명령을 입력합니다.
```
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
```
6. 관리 서버에서 인증서에 대해 정의한 암호를 입력합니다.
모든 비관리 서버에서 FAST Search Server 2010 for SharePoint를 시작합니다.

새로운 자체 서명된 인증서의 만료 날짜가 1년으로 설정됩니다.

FAST Search Server 2010 for SharePoint가 이미 Microsoft SharePoint Server에 대해 백 엔드로 추가된 경우 Content Search Service Application 만들기 및 설정(FAST Search Server 2010 for SharePoint)에서 SSL 사용 통신 구성의 인증서 단계를 다시 실행해야 합니다.

자체 서명된 인증서를 새로운 CA(인증 기관)로 서명된 인증서로 바꾸기

기본값인 자체 서명된 인증서를 인증 기관으로 서명된 인증서로 바꾸려면 다음 단계를 수행합니다.

모니터링 서비스를 포함하여 팜의 모든 서버에 FAST Search Server 2010 for SharePoint를 설치합니다.
FAST Search Server 2010 for SharePoint 팜의 각 서버에서 다음을 수행합니다.
- 새 인증서가 올바르게 설치되었고 FAST Search Server 2010 for SharePoint 사용자에게 인증서의 개인 키에 대한 액세스 권한이 있는지 확인합니다.
  
  인증서는 인증서 저장소에서 인증서(로컬 컴퓨터)\개인에 설치되어 있어야 합니다.
  
  인증서의 CA 인증서는 인증서(로컬 컴퓨터)\신뢰할 수 있는 루트 인증 기관에 설치해야 합니다.
관리 서버에서 다음 단계를 수행합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft FAST Search Server 2010 for SharePoint를 클릭한 다음 Microsoft FAST Search Server 2010 for SharePoint 셸을 클릭합니다.
3. 명령 프롬프트에서 설치 폴더 아래의 installer\scripts를 찾습니다.
4. 다음 명령을 입력합니다.
```
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
```
  로컬 서버에서 인증서 저장소를 열고 인증서를 찾아서 인증서 지문을 확인할 수 있습니다.
관리 서버에서 FAST Search Server 2010 for SharePoint를 시작합니다.
각 비관리 서버에서 다음 단계를 수행합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft FAST Search Server 2010 for SharePoint를 클릭한 다음 Microsoft FAST Search Server 2010 for SharePoint 셸을 클릭합니다.
3. 명령 프롬프트에서 설치 폴더 아래의 installer\scripts를 찾습니다.
4. 다음 명령을 입력합니다.
```
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
```
  로컬 서버에서 인증서 저장소를 열고 인증서를 찾아서 인증서 지문을 확인할 수 있습니다.
모든 비관리 서버에서 FAST Search Server 2010 for SharePoint를 시작합니다.

FAST Search Server 2010 for SharePoint에 문서를 공급하려면 Content SSA가 실행되는 Microsoft SharePoint Server에도 동일한 CA로 서명된 인증서가 필요합니다.

인증서 저장소에서 인증서(로컬 컴퓨터)\개인 아래의 Microsoft SharePoint Server에 인증서를 설치합니다. 인증서의 CA 인증서는 인증서(로컬 컴퓨터)\신뢰할 수 있는 루트 인증 기관에 설치해야 합니다. 다음 단계에서는 인증서에 올바른 권한을 설정하는 방법을 안내합니다.
FAST Search Server 2010 for SharePoint 관리 서버에서 SecureFASTSearchConnector.ps1 인증서를 FAST Search 커넥터를 실행하는 SharePoint Server 2010 서버에 복사합니다. SecureFASTSearchConnector.ps1 스크립트는 \installer\scripts\ 아래의 설치 폴더에서 찾을 수 있습니다.
FAST Search 커넥터를 실행하는 SharePoint Server 2010 서버에서 다음 단계를 수행합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft SharePoint 2010 Products를 클릭합니다.
3. SharePoint 2010 관리 셸을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
4. SecureFASTSearchConnector.ps1 스크립트를 복사한 디렉터리로 이동하고 스크립트를 실행하여 필요한 매개 변수를 사용자 환경에 대한 값으로 바꿉니다. 도메인 및 사용자 이름은 SharePoint Server Search 14(OSearch14) 서비스를 실행하는 사용자의 세부 정보에 따라 지정해야 합니다.
  - 인증서 지문을 알고 있으면 다음 명령을 입력합니다.
```
.\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"
```
  - 인증서 지문을 알고 있지 않으면 다음 명령을 입력합니다.
```
.\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"
```
    이 명령은 사용 가능한 인증서의 지문과 제안된 인증서를 사용할지 여부를 묻는 프롬프트를 반환합니다.
    
    이렇게 하려면 y를 입력한 다음 입력을 클릭합니다.

HTTPS 쿼리 인증서

HTTPS 쿼리 인증서는 쿼리 트래픽을 암호화하는 데 사용됩니다. 초기 설정에 대한 자세한 내용은 HTTPS 사용(선택 사항)을 참조하십시오.

HTTPS 쿼리 인증서 바꾸기

HTTPS 쿼리 인증서를 바꾸려면 각 FAST Search Server 2010 for SharePoint 쿼리 서버에서 다음 단계를 수행합니다.

서버별 새 SSL 인증서를 인증서 저장소로 가져옵니다. 이 인증서는 인증서(로컬 컴퓨터)\개인 아래에 저장해야 합니다. FASTSearchAdministrators 그룹에 인증서에 대한 모든 권한을 부여합니다.
기본 포트+286에서 이전 인증서 바인딩을 삭제합니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft FAST Search Server 2010 for SharePoint를 클릭합니다.
3. Microsoft FAST Search Server 2010 for SharePoint 셸을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
4. Windows PowerShell 명령 프롬프트에 다음 명령을 입력합니다.
```
netsh http delete sslcert ipport=0.0.0.0:<baseport+286>
```
  여기서 각 부분이 나타내는 의미는 다음과 같습니다.
  - *<기본 포트+286>*은 실제 포트 번호입니다.
기본 포트+286에서 새 인증서를 사용하도록 쿼리 서버를 구성합니다.
1. Windows PowerShell 명령 프롬프트에 다음 명령을 입력합니다.
```
netsh http add sslcert ipport=0.0.0.0:<baseport+286>  appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>
```
  여기서 각 부분이 나타내는 의미는 다음과 같습니다.
  - *<인증서_지문>*은 새 인증서의 지문입니다.
  - *<기본 포트+286>*은 실제 포트 번호입니다.

또한 새 인증서가 이전 인증서와 동일한 CA(인증 기관)로 서명되지 않은 경우 Microsoft SharePoint Server에 CA 인증서를 추가해야 합니다.

Microsoft SharePoint Server에서 다음을 수행합니다.

각 FAST Search Server 2010 for SharePoint 쿼리 서버용으로 만든 하나 이상의 SSL 인증서에 대해 Microsoft SharePoint Server에서 트러스트 관계를 사용하도록 설정합니다. 이렇게 하려면 SSL 인증서 서명 기관의 공용 인증서를 Microsoft SharePoint Server으로 가져오면 됩니다.
1. 시작 메뉴에서 모든 프로그램을 클릭합니다.
2. Microsoft SharePoint 2010 Products를 클릭합니다.
3. SharePoint 2010 관리 셸을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
4. 명령 프롬프트에 다음 명령을 입력합니다.
```
$trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert'
New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert
```
  여기서 각 부분이 나타내는 의미는 다음과 같습니다.
  - *<SSL_CA_공용_인증서>*는 SSL 인증서의 서명 기관에서 얻은 인증서 이름입니다.

클레임 인증서

클레임 인증서는 클레임 기반 인증을 제공합니다. 이 인증서를 바꾸려면 Create a FAST Search Center site (FAST Search Server 2010 for SharePoint)에 나열된 단계를 반복합니다.