클라이언트 액세스 서버용 SSL 이해

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2007-03-23

SSL(Secure Sockets Layer)은 클라이언트와 서버 간의 통신 보안을 유지하는 방법입니다. 클라이언트 액세스 서버 역할이 설치된 Microsoft Exchange Server 2007을 실행하는 컴퓨터의 경우 SSL을 사용하여 서버와 클라이언트 간의 통신 보안을 유지합니다. 클라이언트에는 모바일 장치, 조직의 네트워크 내부에 있는 컴퓨터 및 조직의 네트워크 외부에 있는 컴퓨터가 포함됩니다. 여기에는 VPN(가상 사설망)에 연결되거나 연결되지 않은 클라이언트가 모두 포함됩니다.

기본적으로 Exchange 2007을 설치할 때 Outlook Web Access, Exchange ActiveSync 및 외부에서 Outlook 사용을 사용하면 클라이언트 통신이 SSL을 통해 암호화됩니다. 기본적으로 POP3(Post Office Protocol version 3) 및 IMAP4(Internet Message Access Protocol Version 4 rev1)는 SSL을 통해 통신할 수 없게 구성됩니다.

SSL을 사용하려면 디지털 인증서가 필요합니다. 이 항목에서는 다양한 유형의 디지털 인증서 개요 및 이러한 유형의 디지털 인증서를 사용하기 위한 클라이언트 액세스 서버 구성 방법에 대한 정보를 제공합니다.

디지털 인증서 개요

디지털 인증서는 사용자나 컴퓨터를 식별하기 위한 온라인 암호 같은 역할을 하는 전자 파일로, 클라이언트 통신에 사용되는 SSL 암호화된 채널을 만드는 데 사용됩니다. 인증서는 CA(인증 기관)에서 인증서 소유자의 신원을 보증하기 위해 발급한 디지털 내역서이며 이 인증서를 통해 해당 당사자들은 암호화를 사용하여 안전한 방식으로 통신할 수 있습니다.

디지털 인증서를 사용하여 다음을 수행할 수 있습니다.

• 인증서 소유자, 즉 사용자, 웹 사이트, 심지어는 라우터 같은 네트워크 리소스가 실제로 해당 본인 또는 대상이 맞는지 인증합니다.

• 온라인으로 교환되는 데이터의 절도 또는 훼손으로부터 보호합니다.

디지털 인증서는 신뢰할 수 있는 타사 CA 또는 Microsoft Windows PKI(공개 키 인프라)에서 인증서 서비스를 사용하여 발급하거나 자체 서명할 수 있습니다. 인증서의 종류마다 각각의 장단점이 있습니다. 각 종류의 디지털 인증서는 위조할 수 없도록 변조 방지되어 있습니다.

인증서는 여러 가지 사용 목적으로 발급될 수 있습니다. 이러한 사용 목적으로는 웹 사용자 인증, 웹 서버 인증, S/MIME(Secure/Multipurpose Internet Mail Extensions), IPsec(인터넷 프로토콜 보안), TLS(전송 계층 보안), 코드 서명이 해당됩니다.

인증서는 공개 키를 포함하며 해당 개인 키를 소유하는 사용자, 컴퓨터 또는 서비스의 ID에 이러한 공개 키를 첨부합니다. 클라이언트와 서버에서 데이터를 전송하기 전에 데이터를 먼저 암호화할 때 공개 키와 개인 키가 사용됩니다. Microsoft Windows 기반 사용자, 컴퓨터, 서비스의 경우 신뢰할 수 있는 루트 인증서 저장소에 루트 인증서 사본이 있고 인증서에 올바른 인증서 경로가 있으면 CA에 대한 신뢰가 설정됩니다. 인증서가 유효하려면 인증서가 해지되지 않고 유효 기간이 만료되지 않아야 합니다.

인증서 종류

디지털 인증서의 주요 종류에는 자체 서명 인증서, Windows PKI 생성 인증서 및 타사 인증서와 같이 세 가지가 있습니다.

자체 서명 인증서

Exchange 2007을 설치할 때 자체 서명 인증서가 자동으로 구성됩니다. 자체 서명 인증서는 해당 인증서를 만든 응용 프로그램에서 서명합니다. 인증서 제목과 이름이 일치합니다. 발급자와 제목은 인증서에 정의되어 있습니다. 자체 서명 인증서는 일부 클라이언트 프로토콜을 허용하여 통신에 SSL을 사용합니다. Microsoft Exchange ActiveSync 및 Office Outlook Web Access는 자체 서명 인증서를 사용하여 SSL 연결을 설정할 수 있습니다. 외부에서 Outlook 사용은 자체 서명 인증서를 사용하여 작동하지 않습니다. 자체 서명 인증서는 클라이언트 컴퓨터나 모바일 장치의 신뢰할 수 있는 루트 인증서 저장소에 수동으로 복사되어야 합니다. 클라이언트가 SSL을 통해 서버에 연결할 때 서버가 자체 서명 인증서를 제시하면 클라이언트가 신뢰할 수 있는 기관에서 인증서가 발급되었는지 확인하는 메시지를 표시합니다. 클라이언트는 발급 기관을 명시적으로 신뢰해야 합니다. 클라이언트가 계속하면 SSL 통신도 계속할 수 있습니다.

소규모 조직에서는 관리자가 인증서 계층 구조를 직접 만들 수 있는 지식과 경험이 부족하거나 아니면 비용 때문에 또는 두 가지 이유 모두로 인해 타사 인증서를 사용하지 않도록 결정하거나 인증서를 직접 발급하기 위한 PKI를 설치하지 않도록 결정하는 경우가 많습니다. 자체 서명 인증서를 사용할 경우 설치가 간단하고 비용도 최소한으로 유지됩니다. 그러나 자체 서명 인증서를 사용하면 인증서 수명 주기 관리, 갱신, 신뢰 관리 및 해지를 위한 인프라를 설정하기가 훨씬 더 어렵습니다.

Windows 공개 키 인프라 인증서

두 번째 인증서 종류는 Windows PKI 생성 인증서입니다. PKI는 공개 키 암호화를 사용하여 전자 거래에서 각 당사자의 유효성을 확인 및 인증하는 디지털 인증서, 인증 기관 및 RA(등록 기관)로 구성되는 시스템입니다. Active Directory를 사용하는 조직에 CA를 구현할 때는 인증서 수명 주기 관리, 갱신, 신뢰 관리 및 해지를 위한 인프라를 제공합니다. 그러나 Windows PKI 생성 인증서를 만들고 관리하려면 서버 및 인프라를 배포해야 하므로 약간의 추가 비용이 듭니다.

인증서 서비스는 Windows PKI를 배포하는 데 필요하며 제어판의 프로그램 추가/제거를 통해 설치할 수 있습니다. 도메인의 어떤 서버에나 인증서 서비스를 설치할 수 있습니다.

도메인 가입 Windows CA에서 인증서를 얻으면 해당 CA를 사용하여 네트워크에서 사용 중인 서버나 컴퓨터에 발급할 인증서를 요청하거나 서명할 수 있습니다. 따라서 타사 인증서 공급업체와 비슷하지만 비용이 저렴한 PKI를 사용할 수 있습니다. 다른 종류의 인증서를 공개적으로 배포할 수 있는 것처럼 이러한 PKI 인증서를 배포할 수는 없지만 PKI CA가 개인 키를 사용하여 요청자의 인증서에 서명하면 해당 요청자가 확인됩니다. 이 CA의 공개 키는 인증서에 포함되어 있습니다. 신뢰할 수 있는 루트 인증서 저장소에 이 인증서가 있는 서버는 해당 공개 키를 사용하여 요청자의 인증서를 해독하고 요청자를 인증할 수 있습니다.

PKI 생성 인증서를 배포하는 단계는 자체 서명 인증서를 배포하는 절차와 비슷하지만, PKI의 신뢰할 수 있는 루트 인증서 복사본을 Microsoft Exchange에 SSL 연결을 설정하려는 컴퓨터나 모바일 장치의 신뢰할 수 있는 루트 인증서 저장소에 설치해야 합니다.

Windows PKI는 조직이 자체의 인증서를 게시할 수 있도록 합니다. 클라이언트에서는 내부 네트워크의 Windows PKI를 통해 인증서를 요청하고 받을 수 있습니다. Windows PKI는 인증서를 갱신하거나 해지할 수 있습니다.

자세한 내용은 다음 항목을 참조하십시오.

• 인증서에 대한 자세한 내용은 Public Key Infrastructure for Windows Server 2003을 참조하십시오.

• Windows PKI 구현을 위한 유용한 정보에 대한 자세한 내용은 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure를 참조하십시오.

• Windows 기반 PKI를 배포하는 방법에 대한 자세한 내용은 Windows Server 2003 PKI Operations Guide를 참조하십시오.

신뢰할 수 있는 타사 인증서

타사 인증서나 상업용 인증서는 타사 또는 영리 CA가 생성한 인증서를 사용자 네트워크 서버에 사용할 수 있도록 구입한 것입니다. 자체 서명 인증서와 PKI 기반 인증서의 한 가지 문제점은 인증서가 클라이언트 컴퓨터나 모바일 장치에서 자동으로 신뢰되지 않기 때문에 클라이언트 컴퓨터와 장치의 신뢰할 수 있는 루트 인증서 저장소로 인증서를 가져와야 한다는 것입니다. 타사 인증서나 상업용 인증서에는 이러한 문제가 없습니다. 영리 CA가 발급한 인증서는 대부분 신뢰할 수 있는 루트 인증서 저장소에 이미 있기 때문에 이미 신뢰된 상태입니다. 발급자를 신뢰할 수 있으면 해당 인증서도 신뢰할 수 있습니다. 타사 인증서를 사용하면 배포 과정이 매우 간편해집니다.

대규모 조직 또는 인증서를 공개적으로 배포해야 하는 조직의 경우 인증서 관련 비용이 들더라도 타사 인증서나 상업용 인증서를 사용하는 것이 가장 좋습니다. 소규모나 중간 규모의 조직에서는 상업용 인증서가 가장 좋은 방법이 아닐 경우도 있으므로 사용 가능한 다른 인증서 옵션 중 하나를 사용하도록 결정할 수 있습니다.

인증서 종류 선택

설치할 인증서 종류를 선택할 때 고려해야 할 몇 가지 요소가 있습니다. 인증서는 유효한 것으로 서명되어야 합니다. 서명은 자체 서명일 수도 있고 CA에 의해 이뤄질 수도 있습니다. 자체 서명 인증서에는 제한이 있습니다. 예를 들어 일부 모바일 장치의 경우 신뢰할 수 있는 루트 인증서 저장소에 디지털 인증서를 설치할 수 없을 수도 있습니다. 모바일 장치에 인증서를 설치할 수 있는지 여부는 모바일 장치 제조업체와 모바일 운영자에 따라 달라집니다. 일부 제조업체와 모바일 운영자는 신뢰할 수 있는 루트 인증서 저장소에 액세스할 수 없도록 설정합니다. 이 경우 자체 서명 인증서와 Windows PKI CA 인증서 모두 모바일 장치에 설치할 수 없습니다.

대부분의 모바일 장치에는 여러 가지 신뢰할 수 있는 타사 상업용 인증서가 사전 설치되어 있습니다. 최적의 사용자 환경을 위해서는 신뢰할 수 있는 타사 CA의 Windows Mobile 6.0 및 디지털 인증서를 실행하는 장치를 사용하여 Exchange ActiveSync에 대해 인증서 기반 인증을 구현합니다.

자세한 내용

자세한 내용은 다음 항목을 참조하십시오.

• 클라이언트 액세스 서버용 SSL 관리

• 여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하는 방법

• Windows Mobile이 탑재된 장치에 인증서를 설치하는 방법