여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하는 방법

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2007-10-24

이 항목에서는 Exchange 관리 셸을 사용하여 여러 개의 호스트 이름을 사용하도록 SSL(Secure Sockets Layer) 인증서를 구성하는 방법에 대해 설명합니다.

클라이언트 액세스 서버 역할이 설치된 Microsoft Exchange Server 2007이 실행되는 컴퓨터를 배포할 때는 Outlook Web Access 및 Outlook 2007과 같은 모든 클라이언트에서 인증서를 신뢰할 수 없다는 오류 메시지를 받지 않고 암호화 세션을 사용하여 서비스에 연결할 수 있는지 확인해야 합니다.

참고

ISA(Internet Security and Acceleration) Server에서 Exchange 2007에 대한 SSL 연결을 처리하려면, 여러 서버에서 사용하거나 여러 개의 호스트 이름을 가진 인증서를 요청할 때 인증서의 제목을 첫 번째 SAN 항목으로 포함해야 합니다.

Exchange 관리 셸을 사용하여 클라이언트 액세스 서버의 모든 DNS 호스트 이름을 포함하는 인증서 요청을 만들 수 있습니다. 그런 후 사용자가 대체 이름 특성에 나열된 Outlook Anywhere, Autodiscover, POP3 및 IMAP4 또는 통합 메시징과 같은 서비스용 인증서에 연결할 수 있도록 할 수 있습니다. 예를 들어, 다른 사용자가 다음 예에 표시된 이름을 지정하여 사용자의 Exchange 서비스에 연결하도록 할 수 있습니다.

각 IP 포트와 인증서 조합에 대해 여러 인증서를 요구하고 여러 IP 주소 및 IIS(인터넷 정보 서비스) 웹 사이트의 구성을 유지 관리할 필요 없이 클라이언트에서 SSL 또는 TLS(전송 계층 보안)를 사용하여 각 호스트 이름에 연결할 수 있게 하는 단일 인증서를 만들 수 있습니다.

인증서 요청의 인증서 Subject Alternative Name 속성에 가능한 모든 DNS 이름 값을 추가하여 단일 인증서를 만들 수 있습니다. Microsoft Windows 기반 인증서 서비스 인증 기관은 이러한 요청에 대해 인증서를 만들어야 합니다.

참고

타사 또는 인터넷 기반 인증 기관에서는 사용자에게 허가된 DNS 이름에 대한 인증서만 발급합니다. 따라서 인트라넷 DNS 이름은 허용되지 않습니다.

여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하려면 다음을 수행하십시오.

  1. New-ExchangeCertificate cmdlet를 사용하면 인증서 요청 파일을 만들 수 있습니다.

  2. 이 파일을 Windows 인증서 서비스 인증 기관으로 보낸 후 인증 기관 페이지의 웹 서버 템플릿을 사용합니다. 이렇게 하면 클라이언트 액세스 서버로 가져올 수 있는 .cer 파일이 생성됩니다.

  3. Get-ExchangeCertificate cmdlet를 사용하면 인증서에 대한 지문을 확인할 수 있습니다.

  4. 인증서를 가져온 후에는 Enable-ExchangeCertificate cmdlet를 사용하여 IIS, IMAP4 및 POP3에 할당할 수 있습니다.

시작하기 전에

다음 절차를 수행하려면 사용하는 계정이 Exchange 보기 권한만 있는 관리자 역할을 위임받아야 합니다.

사용 권한, 역할 위임 및 Exchange 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.

중요

다음 절차를 수행하기 전에 클라이언트 액세스 보안 관리를 읽어 보십시오.

중요

관리자 그룹에 없는 계정을 사용하여 해당 컴퓨터에 로그온한 다음 runas 명령을 사용하여 IIS 관리자를 관리자로 실행하는 것이 보안상 가장 좋습니다. 명령 프롬프트에서 runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"를 입력합니다.

중요

SSL 또는 TLS 서비스에 대한 인증서를 구성할 때 여러 가지 변수를 고려해야 합니다. 또한 이러한 변수가 전체 구성에 어떤 영향을 미치는지 이해해야 합니다. 계속하기 전에 TLS에 대한 인증서 또는 인증서 요청 만들기을 읽어 보십시오.

절차

Exchange 관리 셸로 인증서 요청 파일을 만들려면 다음을 수행합니다.

  1. 다음 명령을 실행합니다.

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt

    이 명령을 실행하면 PKCS#10 형식으로 인증서 요청을 포함하는 텍스트 파일이 생성됩니다.

Exchange 관리 셸을 사용하여 인증서를 가져오려면 다음을 수행합니다.

  1. 다음 명령을 실행합니다.

    Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Exchange 관리 셸을 사용하여 인증서의 지문을 확인하려면 다음을 수행합니다.

  1. 지문을 확인하려면 다음 명령을 실행합니다.

    Get-ExchangeCertificate -DomainName "CAS01"

참고

이 명령을 실행하면 지정한 호스트 이름과 일치하는 인증서가 여러 개 있을 경우 여러 개의 인증서가 반환됩니다. 따라서 요청에 대해 적합한 인증서의 지문을 선택해야 합니다.

Exchange 관리 셸을 사용하여 IIS, POP3 및 IMAP4에 인증서를 할당하려면 다음을 수행합니다.

  1. IIS, POP3 및 IMAP4에 인증서를 할당하려면 다음 명령을 실행합니다.

    Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

  2. 또는 서버에 인증서를 할당한 후 Exchange 서버에서 실행되는 모든 서비스에 해당 인증서를 할당하려면 다음 명령을 실행합니다.

    Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificateNew-ExchangeCertificate cmdlet의 구문 및 매개 변수에 대한 자세한 내용은 전역 cmdlet를 참조하십시오.

자세한 내용

SSL 또는 TLS에 대한 인증서 또는 인증서 요청을 만드는 방법에 대한 자세한 내용은 TLS에 대한 인증서 또는 인증서 요청 만들기를 참조하십시오.