인바운드 익명 TLS 인증서 선택

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2009-11-23

다음은 인바운드 익명 TLS(전송 계층 보안) 인증서의 선택이 발생하는 시나리오입니다.

  • 인증을 위한 Edge 전송 서버 및 허브 전송 서버 간의 SMTP 세션

  • 공개 키만을 사용한 암호화용 허브 전송 서버 간의 SMTP 세션

허브 전송 서버 간의 통신을 위해 해당 세션의 암호화에 인증서의 익명 TLS 및 공개 키가 사용됩니다. Kerberos는 인증에 사용됩니다. SMTP 세션을 설정하면 받는 서버가 TLS 협상에 사용할 인증서를 결정하는 인증서 선택 프로세스를 시작합니다. 보내는 서버에서도 인증서 선택 프로세스가 수행됩니다. 이러한 프로세스에 대한 자세한 내용은 아웃바운드 익명 TLS 인증서 선택를 참조하십시오.

이 항목에서는 인바운드 익명 TLS 인증서의 선택 프로세스를 설명합니다. 모든 단계는 받는 서버에서 수행됩니다. 다음 그림은 이 프로세스의 단계를 보여줍니다.

인바운드 익명 TLS 인증서 선택

익명 인바운드 TLS 인증서 선택

  1. SMTP 세션을 설정하면 Microsoft Exchange에서는 인증서를 로드하기 위한 프로세스를 호출합니다.

  2. 인증서 로드 기능에서는 세션이 연결되어 있는 수신 커넥터를 검사하여 AuthMechanism 속성이 ExchangeServer 값으로 설정되어 있는지 확인합니다. Set-ReceiveConnector cmdlet을 사용하여 수신 커넥터의 AuthMechanism 속성을 설정할 수 있습니다. 특정 수신 커넥터의 인증 탭에 있는 Exchange Server 인증을 선택하여 ExchangeServerAuthMechanism 속성을 설정할 수도 있습니다.

    ExchangeServer가 인증 메커니즘으로 사용하도록 설정되어 있지 않을 경우 해당 서버는 SMTP 세션의 보내는 서버로 X-ANONYMOUSTLS를 보급하지 않으며 인증서도 로드되지 않습니다. ExchangeServer를 인증 메커니즘으로 사용하도록 설정되어 있으면 인증서 선택 프로세스가 다음 단계로 진행됩니다.

  3. Microsoft Exchange는 Active Directory를 쿼리하여 서버에 있는 인증서의 지문을 검색합니다. 서버 개체의 msExchServerInternalTLSCert 특성은 인증서 지문을 저장합니다.

    msExchServerInternalTLSCert 특성을 읽을 수 없거나 값이 null인 경우 Microsoft Exchange는 X-ANONYMOUSTLS를 보급하지 않으며 인증서도 로드되지 않습니다.

    참고

    msExchServerInternalTLSCert 특성을 읽을 수 없거나 SMTP 세션 동안이 아닌 Microsoft Exchange 전송 서비스를 시작하는 동안 값이 null일 경우 이벤트 ID 12012가 응용 프로그램 로그에 기록됩니다.

  4. 지문이 검색되면 인증서 선택 프로세스는 이 지문과 일치하는 인증서의 로컬 컴퓨터 인증서 저장소를 검색합니다. 인증서를 찾지 못하면 서버는 X-ANONYMOUSTLS를 보급하지 못하고, 인증서도 로드되지 않으며, 이벤트 ID 12013이 응용 프로그램 로그에 기록됩니다.

  5. 인증서가 인증서 저장소에서 로드되고 나면 만료 여부가 확인됩니다. 인증서의 Valid to 필드는 현재 날짜 및 시간과 비교됩니다. 인증서가 만료되었을 경우 이벤트 ID 12015가 응용 프로그램 로그에 기록됩니다. 이 경우, 인증서 선택 프로세스는 중단되지 않으며 남은 사항을 확인하며 계속 진행됩니다.

  6. 로컬 컴퓨터의 인증서 저장소에서 가장 최신의 것인지 확인하기 위해 인증서를 검사합니다. 이 검사의 일부로 도메인 목록이 잠재적인 인증서 도메인을 위해 작성됩니다. 도메인 목록은 다음 컴퓨터 구성을 기반으로 합니다.

    • mail.contoso.com과 같은 FQDN(정규화된 도메인 이름)

    • 호스트 이름(예: EdgeServer01)

    • 실제 FQDN(예: EdgeServer01.contoso.com)

    • 실제 호스트 이름(예: EdgeServer01)

      참고

      Microsoft Windows 부하 분산을 실행하는 컴퓨터에 대해 서버를 클러스터로 구성할 경우 DnsFullyQualifiedDomainName 설정 대신에 다음 레지스트리 키를 검사합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. 도메인 목록이 작성되고 나면 인증서 선택 프로세스가 FQDN과 일치하는 인증서 저장소의 모든 인증서를 찾는지 검사합니다. 인증서 선택 프로세스는 이 목록에서 적합한 인증서 목록을 식별합니다. 적합한 인증서는 다음 조건을 충족해야 합니다.

    • X.509 버전 3 이상의 인증서여야 합니다.

    • 연결된 개인 키가 있는 인증서여야 합니다.

    • 주체 또는 주체 대체 이름 필드에 6단계에서 검색한 FQDN이 포함되어 있어야 합니다.

    • SSL(Secure Sockets Layer)/TLS에 대해 인증서를 사용할 수 있어야 합니다. 특히 Enable-ExchangeCertificate cmdlet을 사용하여 이 인증서에 대해 SMTP 서비스를 사용하도록 설정되어 있어야 합니다.

  8. 다음 순서에 따라 적합한 인증서 중에서 최적의 인증서가 선택됩니다.

    1. 최근 Valid from 날짜를 기준으로 적합한 인증서를 정렬합니다. Valid from은 인증서의 버전 1 필드입니다.

    2. 이 목록에서 찾은 첫 번째 유효한 PKI(공개 키 인프라) 인증서가 사용됩니다.

    3. 유효한 PKI 인증서를 찾지 못하면 첫 번째 자체 서명 인증서가 사용됩니다.

  9. 가장 좋은 인증서를 결정하고 나면 해당 지문이 msExchServerInternalTLSCert 특성에 저장된 인증서와 일치하는지 결정하기 위해 기타 검사가 진행됩니다. 인증서가 일치하면 해당 인증서는 X-ANONYMOUSTLS용으로 사용됩니다. 일치하지 않을 경우 이벤트 ID 1037이 응용 프로그램 로그에 기록됩니다. 그러나 이로 인해 X-ANONYMOUSTLS가 실패하지는 않습니다.

 © 2010 Microsoft Corporation. 모든 권리 보유.