여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서 구성

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2012-07-23

셸을 사용하여 여러 호스트 이름을 사용하도록 SSL(Secure Sockets Layer) 인증서를 구성할 수 있습니다.

Microsoft Exchange Server 2010 클라이언트 액세스 서버를 배포할 때에는 인증서를 신뢰할 수 없다는 내용의 오류 메시지가 표시되는 일 없이 Microsoft Office Outlook Web App 및 Office Outlook 2007 등의 모든 클라이언트에서 암호화된 세션을 사용하여 서비스에 연결할 수 있는지 확인해야 합니다.

셸을 사용하여 클라이언트 액세스 서버의 모든 DNS 호스트 이름을 포함하는 인증서 요청을 만들 수 있습니다. 그런 후 사용자가 대체 이름 특성에 나열된 Outlook Anywhere, Autodiscover, POP3 및 IMAP4 또는 통합 메시징과 같은 서비스용 인증서에 연결할 수 있도록 할 수 있습니다. 예를 들어, 다른 사용자가 다음 예에 표시된 이름을 지정하여 사용자의 Exchange 서비스에 연결하도록 할 수 있습니다.

  • https://CAS01/owa

  • https://CAS01.FQDN.name/owa

  • https://CASIntranetName/owa

  • https://autodiscover.emaildomain.com

각 IP 포트와 인증서 조합에 대해 여러 인증서를 요구하고 여러 IP 주소 및 IIS(인터넷 정보 서비스) 웹 사이트의 구성을 유지 관리할 필요 없이 클라이언트에서 SSL 또는 TLS(전송 계층 보안)를 사용하여 각 호스트 이름에 연결할 수 있게 하는 단일 인증서를 만들 수 있습니다.

인증서 요청의 인증서 Subject Alternative Name 속성에 가능한 모든 DNS 이름 값을 추가하여 단일 인증서를 만들 수 있습니다. Windows 기반 인증서 서비스 인증 기관은 이러한 요청에 대해 인증서를 만들어야 합니다.

참고

타사 또는 인터넷 기반 인증 기관에서는 사용자에게 허가된 DNS 이름에 대한 인증서만 발급합니다. 따라서 인트라넷 DNS 이름은 대개 허용되지 않습니다.

여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하려면 다음을 수행하십시오.

  1. New-ExchangeCertificate cmdlet을 사용하면 인증서 요청 파일을 만들 수 있습니다.

  2. 이 파일을 Windows 인증서 서비스 인증 기관으로 보낸 후 인증 기관 페이지의 웹 서버 템플릿을 사용합니다. 이렇게 하면 클라이언트 액세스 서버로 가져올 수 있는 .cer 파일이 생성됩니다.

  3. Get-ExchangeCertificate cmdlet을 사용하면 인증서에 대한 지문을 확인할 수 있습니다.

  4. 인증서를 가져온 후에는 Enable-ExchangeCertificate cmdlet을 사용하여 IIS, IMAP4 및 POP3에 할당할 수 있습니다.

SSL과 관련된 다른 관리 작업에 대한 자세한 내용은 클라이언트 액세스 서버용 SSL 관리를 참조하십시오.

선행 조건

  • 관리자 그룹에 없는 계정을 사용하여 해당 컴퓨터에 로그온한 다음 runas 명령을 사용하여 IIS 관리자를 관리자로 실행하는 것이 보안상 가장 좋습니다. 이 옵션은 보안 모범 사례입니다. 이 작업을 수행하려면 명령 프롬프트에서 **runas /user:**Administrative_AccountName **"mmc systemroot\system32\inetsrv\iis.msc"**를 입력합니다.

  • Exchange 2010의 TLS 기능 및 관련 용어를 읽어 보십시오. 여기에는 SSL 또는 TLS 서비스에 대해 인증서를 구성할 때 고려해야 할 여러 변수와 이러한 변수가 전체적인 구성에 영향을 주는 방식에 대한 정보가 포함되어 있습니다.

셸을 사용하여 인증서 요청 파일 만들기

이 절차를 수행하려면 먼저 사용 권한을 할당 받아야 합니다. 필요한 사용 권한을 확인하려면 다음을 참조하십시오.클라이언트 액세스 권한의 "클라이언트 액세스 서버 보안 설정" 항목

이 예에서는 PKCS#10 형식으로 인증서 요청을 포함하는 텍스트 파일을 만듭니다.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

셸을 사용하여 인증서 가져오기

이 절차를 수행하려면 먼저 사용 권한을 할당 받아야 합니다. 필요한 사용 권한을 확인하려면 다음을 참조하십시오.클라이언트 액세스 권한의 "클라이언트 액세스 서버 보안 설정" 항목

이 예에서는 이전에 받은 인증서를 가져옵니다.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

셸을 사용하여 인증서의 지문 확인

이 절차를 수행하려면 먼저 사용 권한을 할당 받아야 합니다. 필요한 사용 권한을 확인하려면 다음을 참조하십시오.클라이언트 액세스 권한의 "클라이언트 액세스 서버 보안 설정" 항목

이 예에서는 호스트 이름이 CAS01인 인증서의 지문을 확인합니다.

Get-ExchangeCertificate -DomainName "CAS01"

참고

이 예에서는 지정한 호스트 이름과 일치하는 인증서가 여러 개 있을 경우 여러 개의 인증서가 반환됩니다. 따라서 요청에 대해 적합한 인증서의 지문을 선택해야 합니다.

셸을 사용하여 IIS, POP3 및 IMAP4에 인증서 할당

이 절차를 수행하려면 먼저 사용 권한을 할당 받아야 합니다. 필요한 사용 권한을 확인하려면 다음을 참조하십시오.클라이언트 액세스 권한의 "클라이언트 액세스 서버 보안 설정" 항목

이 예에서는 IIS, POP3 및 IMAP4에 인증서를 할당합니다.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

이 예에서 서버에 인증서를 할당하면 다시 Exchange 서버에서 실행 중인 모든 서비스에 인증서가 할당됩니다.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificateNew-ExchangeCertificate cmdlet의 구문 및 매개 변수에 대한 자세한 내용은 전역 cmdlet을 참조하십시오.

 © 2010 Microsoft Corporation. 모든 권리 보유.