도메인 보안 사용: 상호 TLS 구성

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2009-12-07

이 항목에서는 S/MIME 및 다른 메시지 수준 보안 솔루션을 대신하여 상대적으로 비용이 낮은 Microsoft Exchange Server 2010 및 Microsoft Office Outlook 2007의 기능 집합인 도메인 보안을 위한 MTLS(상호 전송 계층 보안)를 구성하는 방법에 대해 설명합니다.

이 시나리오를 예로 들어 이 항목에서는 가상 회사인 Contoso의 Exchange 관리자가 파트너인 Woodgrove Bank와 도메인 보안 전자 메일을 교환할 수 있도록 Exchange 2010 환경을 구성하는 방법에 대해 설명합니다. Contoso 관리자는 Woodgrove Bank에서 보내고 받은 모든 전자 메일이 상호 TLS를 통해 보호되고 있는지 확인하려고 합니다. 또한 도메인 보안 기능을 구성하여 상호 TLS를 사용할 수 없는 경우 Woodgrove Bank에서 보내고 받은 모든 메일을 거부하려고 합니다.

Contoso에는 인증서를 생성하는 내부 PKI(공개 키 인프라)가 있습니다. PKI의 루트 인증서는 주요 타사 CA(인증 기관)에서 서명했습니다. Woodgrove Bank는 동일한 타사 CA를 사용하여 인증서를 생성합니다. 따라서 Contoso와 Woodgrove Bank 모두 서로의 루트 CA를 신뢰합니다.

상호 TLS를 설정하려면 Contoso의 Exchange 관리자가 다음 절차를 수행합니다.

1단계: TLS 인증서에 대한 인증서 요청 생성

2단계: Edge 전송 서버로 인증서 가져오기

3단계: 아웃바운드 도메인 보안 구성

4단계: 인바운드 도메인 보안 구성

5단계: 도메인 보안 메일 흐름 테스트

선행 조건

• 이 항목에서는 사용자가 타사 인증서 서비스에 대한 요청 생성을 읽고 이해했다고 가정합니다.

• 도메인 보안을 위해 Microsoft Exchange EdgeSync 서비스를 완전히 배포해야 합니다. 일반적으로 ExchangeCertificate cmdlet을 사용하지 않는 도메인 보안 기능 구성은 조직 내에서 변경되어야 하며 Microsoft Exchange EdgeSync 서비스를 사용하여 Edge 전송 서버로 동기화되어야 합니다.

• TLS on an Edge 전송 서버에서 상호 TLS를 실행하려면 인증서 유효성 검사 및 인증서 해지 목록 검사를 수행할 수 있도록 컴퓨터와 PKI 환경을 구성해야 합니다. 자세한 내용은 도메인 보안을 위해 Edge 전송 서버에 PKI 사용을 참조하십시오.

• 이 시나리오 내의 개별 구성 단계를 더 적은 권한 수로도 수행할 수 있지만, 전체 종단 간 시나리오 작업을 완료하려면 계정이 Organization Management 관리 역할 그룹의 구성원이어야 합니다.

1단계: TLS 인증서에 대한 인증서 요청 생성

Contoso에는 타사 CA를 따르는 내부 PKI가 있습니다. 이 시나리오에서 이것은 Contoso가 자사 인프라에 배포한 CA에는 공공 타사 CA에서 서명한 루트 인증서가 포함되어 있음을 의미합니다. 기본적으로 공공 타사 CA는 Microsoft Windows 인증서 저장소에 있는 신뢰할 수 있는 루트 인증서 중 하나입니다. 따라서 신뢰할 수 있는 루트 저장소에 동일한 타사 CA가 있고 Contoso에 연결된 모든 클라이언트는 Contoso에서 제시한 인증서를 인증할 수 있습니다.

Contoso에는 TLS 인증서를 요구하는 두 개의 Edge 전송 서버, mail1.contoso.com과 mail2.mail.contoso.com이 있습니다. 따라서 Contoso 전자 메일 관리자는 서버당 하나씩 총 두 개의 인증서 요청을 생성해야 합니다.

다음 예에서는 관리자가 Base64로 인코딩된 PKCS#10 인증서 요청을 생성하는 데 사용하는 명령을 보여 줍니다.

Contoso 관리자는 CN=mail1.contoso.com에 대해 이 명령을 실행해야 합니다.

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

Contoso 관리자는 CN=mail2.mail.contoso.com에 대해 이 명령을 실행해야 합니다.

$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com"  -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2

구문과 매개 변수에 대한 자세한 내용은 New-ExchangeCertificate를 참조하십시오.

맨 위로 이동

2단계: Edge 전송 서버로 인증서 가져오기

Contoso 관리자가 인증서 요청을 생성한 다음 Contoso의 CA 관리자는 요청을 사용하여 서버에 대한 인증서를 생성합니다. 결과 인증서를 단일 인증서 또는 인증서 체인으로 발급해야 하며 적절한 Edge 전송 서버로 복사해야 합니다.

Edge 전송 서버로 인증서를 가져오면 인증서를 SMTP 서비스에 사용할 수 있도록 설정해야 합니다. Contoso 관리자는 각각의 인증서에 대해 한 번씩 즉, 각 Edge 전송 서버에서 다음 명령을 실행합니다.

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

위 예에서는 인증서를 Enable-ExchangeCertificate cmdlet으로 파이프라인하여 TLS 인증서를 가져와 사용하도록 설정합니다. 또한 인증서를 가져온 다음 사용하도록 설정할 수도 있습니다. 이 경우 사용하도록 설정할 인증서의 지문을 지정해야 합니다.

구문 및 매개 변수에 대한 자세한 내용은 Import-ExchangeCertificate 및 Enable-ExchangeCertificate 항목을 참조하십시오.

인증서 및 관련 키 전송

PKI 또는 CA 공급자로부터 인증서를 받으면 이를 재해 긴급 복구 계획의 일환으로 백업할 수 있도록 .pfx(PKCS#12) 파일로 변환해야 합니다. .pfx 파일에는 인증서와 관련 키가 포함됩니다. 또는 인증서와 키를 다른 컴퓨터로 전송해 이동시킬 수도 있습니다. 예를 들어 도메인 보안으로 표시되는 전자 메일을 보내고 받으려는 Edge 전송 서버를 여러 대 사용하는 경우, 모든 서버에 사용할 수 있는 단일 인증서를 만들 수 있습니다. 이러한 경우 인증서를 각 Edge 전송 서버로 가져와 TLS에 사용하게 됩니다.

.pfx 파일의 복사본을 안전하게 보관하는 한 항상 해당 인증서를 가져와 사용할 수 있습니다. .pfx 파일에는 개인 키가 있으므로 이를 안전한 위치의 저장소 미디어에 보관하여 실제로 보호하는 것이 중요합니다.

Import-ExchangeCertificate cmdlet은 항상 .pfx 파일에서 가져온 개인 키를 내보낼 수 없음으로 표시한다는 점을 알고 있어야 합니다. 이 기능은 의도적인 것입니다.

MMC의 인증서 관리자 스냅인을 사용하여 .pfx 파일을 가져올 때 개인 키 내보내기와 강력한 키 보호를 지정할 수 있습니다.

맨 위로 이동

3단계: 아웃바운드 도메인 보안 구성

아웃바운드 도메인 보안을 구성하려면 다음 세 단계를 수행해야 합니다.

1. Set-TransportConfig cmdlet를 실행하여 도메인 보안 전자 메일을 보내려는 도메인을 지정합니다.

2. Set-SendConnector cmdlet을 실행하여 도메인 보안 전자 메일을 보내려는 도메인에 메일을 보낼 송신 커넥터의 DomainSecureEnabled 속성을 설정합니다.

3. Get-SendConnector cmdlet을 실행하여 다음을 확인합니다.

   • 도메인 보안 전자 메일을 보내려는 도메인에 메일을 보낼 송신 커넥터에서 DNS(Domain Name System)를 사용하여 메일을 라우트하는지 여부

   • 도메인 보안에 사용 중인 인증서의 주체 이름 또는 주체 대체 이름이 일치하도록 FQDN이 설정되었는지 여부

위의 세 단계에서 변경하는 사항은 포괄적이기 때문에 내부 Exchange 서버에서도 변경해야 합니다. 구성 변경 내용은 Microsoft Exchange EdgeSync 서비스를 사용하여 Edge 전송 서버로 복제됩니다.

3a단계: 전송 구성에서 보낸 사람 도메인 지정

도메인 보안 전자 메일을 보내려는 도메인을 지정하는 것은 비교적 간단합니다. Contoso 관리자는 내부 Exchange 2010 서버에서 다음 명령을 실행합니다.

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

TLSSendDomainSecureList 매개 변수는 도메인 이름의 다중값 목록을 사용합니다. Set-TransportConfig 명령은 TLSSendDomainSecureList의 전체 값을 cmdlet에서 제공하는 새 값으로 바꿉니다. 따라서 다른 도메인을 이미 구성한 상태에서 새 도메인을 추가하려면 목록에 기존 도메인을 포함하거나 임시 변수를 사용해야 합니다. 다음 예에서는 기존 값을 덮어쓰지 않고 TLSSendDomainSecureList 매개 변수에 woodgrovebank.com 도메인을 추가하는 방법을 보여 줍니다.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList

구문과 매개 변수에 대한 자세한 내용은 Set-TransportConfig를 참조하십시오.

3b단계: 기본 송신 커넥터 구성

Contoso는 Internet이라는 기본 DNS 라우팅 송신 커넥터를 사용하여 파트너에게 도메인 보안 전자 메일을 보냅니다. 기본 DNS 라우팅 송신 커넥터가 기본 Internet 송신 커넥터이므로 DNS를 사용하여 메일을 라우트하고 스마트 호스트는 사용하지 않습니다. FQDN은 이미 mail.contoso.com으로 설정되어 있습니다. Contoso 관리자가 만든 인증서가 New-ExchangeCertificate의 DomainName 매개 변수를 mail.contoso.com으로 설정했으므로 추가 구성을 하지 않고 송신 커넥터에서 인증서를 사용할 수 있습니다.

테스트용 하위 도메인이 구성되어 있는 경우 송신 커넥터의 FQDN을 사용자가 만든 인증서에 맞게 업데이트해야 합니다(예: subdomain.mail.contoso.com). 하지만 주체 또는 주체 대체 이름 필드의 하위 도메인이 포함된 인증서를 만든 경우에는 송신 커넥터의 FQDN을 업데이트할 필요가 없습니다.

따라서 Contoso 관리자가 송신 커넥터에 대해 수행해야 할 구성은 DomainSecureEnabled 매개 변수를 설정하는 것입니다. 이렇게 하려면 Contoso 관리자는 Internet 송신 커넥터의 내부 Exchange 2010 서버에서 다음 명령을 실행합니다.

Set-SendConnector Internet -DomainSecureEnabled:$true

구문과 매개 변수에 대한 자세한 내용은 Set-SendConnector를 참조하십시오.

3c단계: 송신 커넥터 구성 확인

구성 변경을 완료한 후 Contoso 관리자는 도메인 보안에 사용되는 송신 커넥터가 제대로 구성되었는지 확인해야 합니다. 이를 위해 Contoso 관리자는 다음 명령을 실행해야 합니다.

Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled

이 명령은 Contoso 관리자가 구성을 확인할 수 있도록 도메인 보안에 대해 구성된 관련 매개 변수를 나열합니다.

구문과 매개 변수에 대한 자세한 내용은 Get-SendConnector를 참조하십시오.

맨 위로 이동

4단계: 인바운드 도메인 보안 구성

인바운드 도메인 보안을 사용하도록 설정하려면 다음 두 단계를 수행해야 합니다.

1. Set-TransportConfig cmdlet를 실행하여 도메인 보안 전자 메일을 받으려는 도메인을 지정합니다.

2. Edge 전송 서버에서 Exchange 관리 셸 또는 EMC(Exchange 관리 콘솔)를 사용하여 도메인 보안 전자 메일을 받으려는 수신 커넥터에서 도메인 보안을 사용하도록 설정합니다. 도메인 보안에 상호 TLS 인증이 필요하므로 수신 커넥터에서 TLS도 사용하도록 설정해야 합니다.

4a단계: 전송 구성에서 받는 사람 도메인 지정

도메인 보안 전자 메일을 받을 도메인을 지정하는 것은 비교적 간단합니다. 도메인을 지정하려면 Contoso 관리자는 내부 Exchange 2010 서버 또는 관리 워크스테이션의 셸에서 다음 명령을 실행합니다.

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

TLSReceiveDomainSecureList 매개 변수는 도메인 이름의 다중값 목록을 사용합니다. Set-TransportConfig 명령은 TLSReceiveDomainSecureList 매개 변수의 전체 값을 Set-TransportConfig cmdlet에서 제공하는 새 값으로 바꿉니다. 따라서 다른 도메인을 이미 구성한 상태에서 새 도메인을 추가하려면 목록에 기존 도메인을 포함하거나 임시 변수를 사용해야 합니다. 다음 예에서는 기존 값을 덮어쓰지 않고 TLSReceiveDomainSecureList 매개 변수에 woodgrovebank.com 도메인을 추가하는 방법을 보여 줍니다.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList

구문과 매개 변수에 대한 자세한 내용은 Set-TransportConfig를 참조하십시오.

4b단계: 수신 커넥터 구성

도메인 보안 전자 메일을 받으려는 도메인에서 보낸 메일을 수락하는 각 Edge 전송 서버에서 수신 커넥터를 구성해야 합니다. 두 Edge 전송 서버에서 Identity 매개 변수 값이 Internet인 단일 Internet 수신 커넥터를 사용하도록 Contoso 환경을 구성합니다. 따라서 Woodgrove Bank와 메일을 주고받는 동안 TLS를 사용하도록 설정하려면 Contoso 관리자는 두 Edge 전송 서버의 기본 Internet 수신 커넥터에서 TLS를 사용하도록 설정해야 합니다. 이를 위해 Contoso 관리자는 mail1.contoso.com 및 mail2.mail.contoso.com 모두에서 다음 명령을 실행합니다.

Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

구문과 매개 변수에 대한 자세한 내용은 Set-ReceiveConnector를 참조하십시오.

EMC에서 다음 단계를 사용하여 수신 커넥터를 구성할 수도 있습니다.

1. Edge 전송 서버에서 EMC를 열고 Edge 전송을 클릭한 다음 결과 창에서 수신 커넥터 탭을 클릭합니다.

2. 도메인 보안 전자 메일을 받을 도메인에서 메일을 수락할 수신 커넥터를 선택한 다음(이 경우 Internet 커넥터) 작업 창에서 속성을 클릭합니다.

3. 인증 탭에서 TLS(전송 계층 보안) 및 **도메인 보안 사용(상호 인증 TLS)**을 선택한 다음 확인을 클릭합니다.

인증 메커니즘을 TLS로 지정하면 모든 인바운드 연결에서 TLS를 사용해야 하는 것은 아닙니다.

다음과 같은 이유로 Woodgrove Bank에서 연결된 경우 TLS를 사용해야 합니다.

• Woodgrove Bank가 TLSReceiveDomainSecureList 매개 변수의 Set-TransportConfig cmdlet에 지정됨

• 수신 커넥터에서 DomainSecureEnabled 매개 변수가 $true로 설정됨

Set-TransportConfig cmdlet의 TLSReceiveDomainSecureList 매개 변수에 나열되지 않은 다른 보낸 사람은 보내는 시스템에서 TLS를 지원하는 경우에만 TLS를 사용합니다.

맨 위로 이동

5단계: 도메인 보안 메일 흐름 테스트

도메인 보안 전자 메일을 구성한 다음 성능 로그와 프로토콜 로그를 검토하여 연결을 테스트할 수 있습니다. Outlook에서 도메인 보안 메일 흐름 경로를 통해 인증된 메시지는 도메인 보안 메시지로 표시됩니다.

성능 카운터

도메인 보안 기능에는 MSExchange Secure Mail Transport 아래의 다음 성능 카운터 집합이 포함됩니다.

• 받은 도메인 보안 메시지

• 보낸 도메인 보안 메시지

• 도메인 보안 아웃바운드 세션 오류

이러한 성능 카운터를 사용하여 도메인 보안 메일 흐름에 대한 새 카운터 로그 파일을 만들어 보내고 받은 메시지 수와 실패한 상호 TLS 세션을 모니터링할 수 있습니다. 카운터 로그를 만들고 구성하는 방법에 대한 자세한 내용은 성능 로그 및 경고 MMC 스냅인과 함께 제공되는 도움말 파일을 참조하십시오.

프로토콜 로그

송신 및 수신 프로토콜 로그를 검토하여 TLS 협상의 수행 여부를 확인할 수 있습니다.

자세한 프로토콜 로그를 보려면 조직에서 도메인 보안 전자 메일을 주고받는 데 사용되는 커넥터의 프로토콜 로깅 수준을 Verbose로 설정해야 합니다. 이 작업을 수행하기 위해 Contoso 관리자는 두 Edge 전송 서버에서 다음 명령을 실행합니다.

Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose

송신 커넥터에서 프로토콜 로깅을 사용하도록 설정하기 위해 Contoso 관리자는 내부 Exchange 서버 또는 관리 워크스테이션에서 다음 명령을 실행합니다. 그러면 구성 변경 사항이 Microsoft Exchange EdgeSync 서비스를 사용하여 Edge 전송 서버로 복제됩니다.

Set-SendConnector Internet -ProtocolLoggingLevel Verbose

구문 및 매개 변수에 대한 자세한 내용은 Set-ReceiveConnector 및 Set-SendConnector 항목을 참조하십시오.

프로토콜 로그를 보는 방법에 대한 자세한 내용은 프로토콜 로깅 구성을 참조하십시오.

맨 위로 이동

 © 2010 Microsoft Corporation. 모든 권리 보유.