모바일 장치 보안 및 Exchange 2007

 

마지막으로 수정된 항목: 2008-01-23

Microsoft Exchange Server 2007은 클라이언트와 Exchange 서버 간의 보안을 향상시키기 위해 SSL(Secure Sockets Layer)을 사용합니다. 기본적으로 Exchange ActiveSync, Office Outlook Web Access 및 외부에서 Outlook 사용에서 SSL을 사용합니다. POP3 및 IMAP4를 사용하도록 설정하는 경우에는 이들 프로토콜에 대해서도 SSL을 구성할 수 있습니다.

Exchange ActiveSync에 SSL을 사용하려면 사용하려는 모바일 장치와 클라이언트 액세스 서버에 모두 SSL 인증서가 있어야 합니다. 클라이언트 액세스 서버 역할을 실행하는 Exchange 2007 컴퓨터에 SSL 인증서를 설치하는 작업은 간단합니다. 그러나 모바일 장치에 SSL 인증서를 설치하는 작업은 좀 더 까다로우며, 모든 장치에서 모든 종류의 인증서가 지원되는 것은 아닙니다. SSL을 사용하여 모바일 장치와 클라이언트 액세스 서버 간의 통신을 암호화하는 것 외에, Exchange ActiveSync에 대해 인증서 기반 인증용으로 디지털 인증서를 사용할 수 있습니다. 이 문서에서는 모바일 장치와 Exchange 서버 간의 Exchange ActiveSync 통신 보안을 향상시킬 수 있도록 SSL 인증서를 사용하기 위해 수행해야 하는 단계에 대해 설명합니다. 또한 SSL을 사용하는 암호화와 인증용 디지털 인증서를 사용하는 암호화 간의 차이점에 대해서도 설명합니다.

SSL 인증과 인증서 기반 인증 비교

디지털 인증서는 주로 클라이언트와 서버 간의 통신 채널 암호화와 인증이라는, 두 가지 용도로 사용됩니다.

디지털 인증서를 사용하여 클라이언트와 서버 간의 통신 채널이 암호화되는 경우 서버 인증서의 공용 키를 사용하여 데이터 전송 전에 데이터가 암호화됩니다. 클라이언트가 데이터를 받으면 클라이언트의 개인 키를 사용하여 데이터 암호가 해독됩니다.

인증은 클라이언트와 서버가 데이터 전송을 위해 해당 클라이언트와 서버의 ID를 확인하는 프로세스입니다. Exchange 2007에서는 인증을 사용하여 Exchange 서버와 통신하려는 사용자 또는 클라이언트의 신원을 확인합니다. 인증을 통해 장치가 특정 개인에게 속해 있는지 확인할 수 있습니다. 기본적으로 Exchange ActiveSync에서는 기본 인증이 사용됩니다. 그러나 Exchange ActiveSync 가상 디렉터리에서 인증 방법을 변경하여 인증 방법을 인증서 기반 인증으로 변경할 수 있습니다. 인증서 기반 인증에 대한 자세한 내용은 ActiveSync에 대한 인증 방법 선택을 참조하십시오.

클라이언트 액세스 서버에 SSL 인증서 설치

기본적으로 Exchange 2007을 실행하는 컴퓨터에 클라이언트 액세스 서버 역할을 설치할 때 Exchange ActiveSync용 가상 디렉터리가 Exchange 서버의 기본 IIS(인터넷 정보 서비스) 웹 사이트에 만들어집니다.

Microsoft-Server-ActiveSync 가상 디렉터리는 SSL을 사용하도록 자동으로 구성됩니다. 이 설정은 변경하지 않는 것이 좋습니다. 기본적으로 클라이언트 액세스 서버에는 자체 서명 SSL 인증서가 설치됩니다. 그러나 Exchange ActiveSync는 이 자체 서명 인증서를 사용하여 모바일 장치와 Exchange 서버 간의 통신을 암호화할 수 없습니다. Windows PKI(공용 키 인프라) 기반 인증서 또는 신뢰할 수 있는 타사 인증서를 설치 및 구성해야 Exchange ActiveSync에 SSL을 사용할 수 있습니다.

SSL을 사용하도록 Exchange ActiveSync를 구성하는 방법

Exchange ActiveSync에서 SSL을 사용하도록 하기 위해 클라이언트 액세스 서버에 대해 수행해야 하는 단계는 서버에 SSL 인증서를 설치하기 위해 수행해야 하는 단계뿐입니다. 이러한 단계는 신뢰할 수 있는 타사 인증서를 사용하는지 아니면 Windows PKI 인증서를 사용하는지에 따라 약간 다릅니다. Windows PKI 인증서를 구성하는 방법이나 신뢰할 수 있는 타사로부터 인증서를 얻는 방법에 대한 자세한 내용은 클라이언트 액세스 서버용 SSL 이해를 참조하십시오.

SSL을 사용하도록 Exchange ActiveSync 클라이언트를 구성하는 방법

Windows PKI 인증서 또는 신뢰할 수 있는 타사 인증서를 얻는 것 외에도 Exchange ActiveSync 클라이언트 장치가 SSL을 사용하도록 구성해야 합니다. Exchange ActiveSync에서는 자체 서명 인증서를 사용하여 Exchange 2007에 연결할 수 없습니다. 모바일 장치는 전체 체인을 통해 디지털 인증서의 유효성을 검사할 수 있어야 합니다. 인증서 체인은 최종 인증서가 식별하는 제목을 확인하는 데 필요한 모든 인증서로 구성됩니다. 여기에는 최종 인증서, 중간 인증 기관 인증서, 루트 인증서가 포함됩니다. 체인의 모든 중간 인증 기관에는 한 수준 위의 인증 기관에서 발행한 인증서가 저장됩니다. 자체 서명 인증서는 전체 체인을 통해 유효성을 검사할 수 없습니다.

Exchange ActiveSync에 Windows PKI 인증서를 사용하려면 장치의 개인 인증서 저장소에 디지털 인증서를 설치할 수 있도록 하는 장치가 필요합니다. Windows Mobile 6.0 장치에서는 이 작업이 가능하지만 대부분의 다른 장치에서는 이 작업을 수행할 수 없습니다. 사용 중인 장치에서 인증서 설치를 지원하는지 확인하려면 장치 설명서를 참조하십시오.

Exchange ActiveSync에는 신뢰할 수 있는 타사 인증서를 사용하는 것이 좋습니다. Windows 모바일 장치의 신뢰할 수 있는 루트 인증서 저장소에는 널리 사용되는 신뢰할 수 있는 여러 타사 인증서가 미리 설치되어 있습니다. 신뢰할 수 있는 타사 인증서가 모바일 장치에 미리 설치되어 있지 않으면 장치에서 인증서 설치를 지원하는지를 확인해야 합니다.

Windows 모바일 장치에 SSL 인증서 복사본을 설치해야 하는 경우에는 다음 절차를 사용합니다.

파일에 인증서를 저장하려면 다음을 수행합니다.

  1. 클라이언트 액세스 서버의 IIS 관리자에서 기본 웹 사이트 또는 Microsoft-Server-ActiveSync 가상 디렉터리를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  2. 디렉터리 보안 탭을 클릭합니다.

  3. 보안 통신에서 인증서 보기를 클릭합니다.

  4. 인증서 대화 상자에서 자세히 탭을 클릭합니다.

  5. 파일에 복사를 클릭합니다.

  6. 인증서 내보내기 마법사에서 다음을 클릭합니다.

  7. 아니요, 개인 키를 내보내지 않습니다를 선택한 후 다음을 클릭합니다.

  8. **DER로 인코딩된 X.509 바이너리(.CER)**를 선택한 후 다음을 클릭합니다.

  9. 파일 이름을 입력하고 다음을 클릭한 다음 마침을 클릭합니다.

인증서를 파일로 저장한 후 장치에 설치할 수 있습니다. 인증서를 장치에 설치하는 절차는 사용 중인 장치의 운영 체제에 따라 다릅니다. 해당 장치의 운영 체제에 맞는 절차를 선택합니다.

Windows Mobile Device Center를 사용하여 Windows Mobile 5.0 또는 Windows Mobile 6.0 장치에 인증서를 설치하려면 다음을 수행합니다.

  1. Windows Mobile Device Center에서 파일 관리를 클릭하고 장치의 콘텐츠 찾아보기를 클릭합니다.

  2. 이전 절차에서 만든 .cer 파일을 장치의 폴더로 끌어 옵니다.

  3. 장치에서 시작을 클릭한 다음 파일 탐색기를 클릭합니다.

  4. 단계 2에서 선택한 폴더를 찾습니다.

  5. .cer 파일을 열고 메시지가 나타나면 를 클릭합니다.

대부분의 Windows Mobile 5.0 장치는 .cer 파일을 사용하여 바로 인증서 파일을 설치하지 못하게 하는 보안 정책을 구현합니다. 앞의 절차가 완료되지 않으면 다음 절차를 사용합니다.

SmartPhoneAddCert 도구를 사용하여 인증서를 Windows Mobile 5.0 장치에 설치합니다.

  1. SmartPhoneAddcert.exe 도구를 다운로드합니다.

    참고

    일부 모바일 운영자는 이 도구의 서명된 버전을 제공합니다. 해당 장치에 서명된 버전을 사용할 수 있는 경우 모바일 운영자로부터 서명된 버전을 다운로드하십시오.

  2. SmartPhoneAddCert.exe를 실행하고 컴퓨터의 폴더에 콘텐츠를 추출합니다.

  3. 데스크톱 ActiveSync 또는 Windows Mobile Device Center를 통해 SmartPhoneAddCert.exe를 장치에 복사합니다.

  4. 장치에서 Storage라는 이름의 폴더를 만듭니다.

  5. .cer 파일을 장치의 Storage 폴더에 복사합니다.

  6. SmartPhoneAddCert.exe를 실행합니다. Storage 폴더에 복사한 .cer 파일을 선택하여 인증서를 설치합니다.

참고

.cer 파일을 포함하는 .cab 파일을 만든 경우 이 .cab 파일을 장치에 복사하고 실행하여 인증서를 설치할 수도 있습니다.

자세한 내용

모바일 장치가 Exchange 2007과 동기화되도록 구성하는 방법에 대한 자세한 내용과 Windows 모바일 장치용으로 SSL을 구성하는 방법에 대한 전체 지침은 Windows Mobile 기반 단말기 개요를 참조하십시오.