인바운드 STARTTLS 인증서 선택

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2011-04-27

다음과 같은 시나리오에서 인바운드 STARTTLS 인증서가 선택됩니다.

  • SMTP 호스트가 Edge 전송 서버를 사용하여 TLS(전송 계층 보안)를 요청합니다. Edge 전송 서버로 TLS를 요청하는 호스트는 기타 다른 SMTP 호스트일 수 있습니다. 이를 통해 도메인 보안 시나리오도 설명할 수 있습니다. 도메인 보안에 대한 자세한 내용은 도메인 보안 이해을 참조하십시오.

  • Microsoft Outlook Express와 같은 SMTP 클라이언트가 허브 전송 서버로 TLS를 요청하는 경우

  • 인터넷 연결 허브 전송 서버가 Edge 전송 서버로 TLS를 요청하는 경우

SMTP 세션을 설정하면 받는 서버가 TLS 협상에 사용할 인증서를 결정하는 인증서 선택 프로세스를 시작합니다. 보내는 서버에서도 인증서 선택 프로세스가 수행됩니다. 이러한 프로세스에 대한 자세한 내용은 아웃바운드 익명 TLS 인증서 선택을 참조하십시오.

이 항목에서는 인바운드 STARTTLS 인증서를 선택하는 프로세스에 대해 설명합니다. 이 항목에서 설명하는 모든 단계는 받는 서버에서 수행됩니다. 다음 그림은 이 프로세스의 단계를 보여 줍니다.

인바운드 STARTTLS 인증서 선택

인바운드 STARTTLS 인증서 선택

  1. SMTP 세션을 설정하면 Microsoft Exchange에서는 인증서를 로드하기 위한 프로세스를 호출합니다.

  2. 인증서 로드 기능에서는 세션이 연결되어 있는 수신 커넥터를 검사하여 AuthMechanism 속성이 TLS 값으로 설정되어 있는지 확인합니다. Set-ReceiveConnector cmdlet을 사용하여 수신 커넥터의 AuthMechanism 속성을 설정할 수 있습니다. 또한 특정 수신 커넥터의 인증 탭에서 **TLS(전송 계층 보안)**를 선택하여 AuthMechanism 속성을 TLS로 설정할 수도 있습니다.

    TLS를 인증 메커니즘으로 사용하지 않는 경우, 서버는 X-STARTTLS를 옵션으로서 보내는 서버에 보급하지 않으며 인증서도 로드되지 않습니다. 인증 메커니즘으로 TLS를 사용하는 경우에는 인증서 선택 프로세스가 계속해서 다음 단계로 진행됩니다.

  3. 인증서 선택 프로세스에서는 수신 커넥터 구성에서 FQDN(정규화된 도메인 이름) 값을 검색합니다. 수신 커넥터의 FQDN 값이 null인 경우 서버의 실제 FQDN이 검색됩니다.

  4. 인증서 선택 프로세스에서는 FQDN과 일치하는 인증서에 대한 로컬 컴퓨터 인증서 저장소를 검색합니다. 인증서가 발견되지 않으면 서버는 X-STARTTLS를 보급하지 않고, 인증서도 로드되지 않으며, 응용 프로그램 로그에 이벤트 ID 12014가 로깅됩니다.

  5. 인증서 선택 프로세스에서는 인증서 저장소의 인증서 중 일치하는 FQDN이 있는 모든 인증서를 검색합니다. 인증서 선택 프로세스는 이 목록에서 적합한 인증서 목록을 식별합니다. 적합한 인증서는 다음 조건을 충족해야 합니다.

    • X.509 버전 3 이상의 인증서여야 합니다.

    • 연결된 개인 키가 있는 인증서여야 합니다.

    • 주체 또는 주체 대체 이름 필드에 3단계에서 검색한 FQDN이 포함되어 있어야 합니다.

    • 인증서가 SSL/TLS를 사용하도록 설정되어 있어야 합니다. 특히 Enable-ExchangeCertificate cmdlet을 사용하여, 이 인증서에 대해 SMTP 서비스를 사용하도록 설정되어 있어야 합니다.

  6. 이러한 검사를 수행하여 적합한 인증서가 발견되지 않으면 서버는 X-STARTTLS를 보급하지 않고, 인증서도 로드되지 않으며, 응용 프로그램 로그에 이벤트 ID 12014가 로깅됩니다.

  7. 다음 순서에 따라 적합한 인증서 중에서 최적의 인증서가 선택됩니다.

    1. 가장 최근 Valid from 날짜별로 적합한 인증서를 정렬합니다. Valid from은 인증서의 버전 1 필드입니다.

    2. 이 목록에서 찾은 첫 번째 유효한 PKI(공개 키 인프라) 인증서가 사용됩니다.

    3. 유효한 PKI 인증서를 찾지 못하면 첫 번째 자체 서명 인증서가 사용됩니다.

  8. 인증서의 만료 여부를 확인하기 위해 인증서를 검사합니다. 인증서 속성의 Valid to 필드를 현재 날짜 및 시간과 비교합니다. 인증서가 만료되지 않은 경우 STARTTLS가 보급되고, 인증서가 만료된 경우에는 이벤트 ID 12016이 응용 프로그램 로그에 로깅되지만 이 경우에도 STARTTLS는 보급됩니다.

 © 2010 Microsoft Corporation. 모든 권리 보유.