와일드카드 인증서 지원
마지막으로 수정된 항목: 2012-10-18
Microsoft Lync Server 2010은 인증서를 사용하여 통신 암호화 및 서버 ID 인증을 제공합니다. 역방향 프록시를 통한 웹 게시와 같은 일부 경우에 서버의 FQDN(정규화된 도메인 이름)에 대해 강력한 SAN(주체 대체 이름) 항목이 일치하는지 비교할 필요는 없습니다. 이러한 경우 와일드카드 SAN 항목(일반적으로 "와일드카드 인증서"라고 함)에 인증서를 사용하여 공용 인증 기관에서 요청되는 인증서 비용을 줄이고 인증서에 대한 계획 프로세스의 복잡성을 줄일 수 있습니다.
.gif "warning") 주의: |
|---|
| UC(통합 통신) 장치(예: 일반 전화기)의 기능을 보존하려면 와일드카드 인증서를 구현한 다음 장치가 올바르게 작동하도록 보장하기 위해 배포된 인증서를 신중하게 테스트해야 합니다. |
와일드카드 항목은 어떠한 역할에 대해서도 주체 이름(및 CN(공용 이름)이라고도 함)으로 지원되지 않습니다. 다음은 SAN에서 와일드카드 항목을 사용할 때 지원되는 서버 역할입니다.
역방향 프록시. 와일드카드 SAN 항목은 단순 URL 게시 인증서에 대해 지원됩니다.
디렉터. 와일드카드 SAN 항목은 디렉터 웹 구성 요소의 단순 URL에 대해 지원됩니다.
프런트 엔드 서버(Standard Edition) 및 프런트 엔드 풀(Enterprise Edition). 와일드카드 SAN 항목은 프런트 엔드 웹 구성 요소의 단순 URL에 대해 지원됩니다.
Exchange Unified Messaging(UM). 독립 실행형 서버로 배포된 서버에서는 SAN 항목이 사용되지 않습니다.
Microsoft Exchange Server 클라이언트 액세스 서버. SAN의 와일드카드 항목은 내부 및 외부 클라이언트에 대해 지원됩니다.
동일한 서버의 Exchange Unified Messaging(UM) 및 Microsoft Exchange Server 클라이언트 액세스 서버. 와일드카드 SAN 항목이 지원됩니다.
이 항목에서 다루지 않는 서버 역할:
내부 서버 역할(중재 서버, 보관 및 모니터링 서버, SBA(Survivable Branch Appliance) 또는 지속 가능 분기 서버 등)
외부 에지 서버 인터페이스
내부 에지 서버
참고
내부 에지 서버 인터페이스의 경우 와일드카드 항목을 지원하며 SAN에 할당할 수 있습니다. 내부 에지 서버의 SAN은 쿼리되지 않으며 와일드카드 SAN 항목은 제한된 값을 가집니다.
아래 표에서는 일관성 유지를 위해 계획 설명서에서 참조 아키텍처에 사용된 인증서 지침을 그대로 가져와 적용 가능한 인증서 사용에 대해 설명하고 있습니다. 자세한 내용은 참조 아키텍처을 참조하십시오. 이전에 설명한 것처럼 UC 장치는 강력한 이름 일치를 사용하며, FQDN 항목 앞에 와일드카드 SAN 항목이 제공된 경우 인증이 실패합니다. 다음 표에 제공된 순서에 따라 발생 가능한 문제를 UC 장치 및 SAN의 와일드카드 항목으로 제한합니다.
Lync Server 2010에 대한 와일드카드 인증서 구성
| 구성 요소 | 주체 이름 | SAN 항목/순서 | CA(인증 기관) | EKU(확장된 키 사용) | 참고 사항 |
|---|---|---|---|---|---|
역방향 프록시 |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
공용 |
서버 |
주소록 서비스, 메일 그룹 확장 및 Lync IP 장치 게시 규칙. 주체 대체 이름에는 다음이 포함됩니다. 외부 웹 서비스 FQDN 와일드카드는 모임 및 전화 접속 단순 URL에 다음 형식이 사용되는 모임 및 전화 접속 SAN을 대체합니다. <FQDN>/meet <FQDN>/dialin 또는 meet.<FQDN> dialin.<FQDN> |
디렉터 |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <hostname>.contoso.net, 예: <hostname>은 풀의 디렉터에 대해 director01입니다. dirpool.contoso.net *.contoso.com |
개인 |
서버 |
디렉터 풀에서 다음 서버 및 역할에 할당: 풀의 각 디렉터 풀 또는 독립 실행형 디렉터(디렉터 풀이 배포되지 않은 경우) 와일드카드는 모임 및 전화 접속 단순 URL에 다음 형식이 사용되는 모임 및 전화 접속 SAN을 대체합니다. <FQDN>/admin <FQDN>/meet <FQDN>/dialin 또는 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Enterprise Edition 프런트 엔드 |
pool01.contoso.net(부하 분산 풀용) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <호스트 이름>.contoso.net(예: <호스트 이름>은 풀의 프런트 엔드 서버에 대해 fe01임) pool01.contoso.net *.contoso.com |
개인 |
서버 |
다음 홉 풀에서 아래 서버 및 역할에 할당됩니다. Pool01의 프런트 엔드 와일드카드는 모임 및 전화 접속 단순 URL에 다음 형식이 사용되는 모임 및 전화 접속 SAN을 대체합니다. <FQDN>/admin <FQDN>/meet <FQDN>/dialin 또는 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Standard Edition 프런트 엔드 |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
개인 |
서버 |
다음 홉 풀에서 아래 서버 및 역할에 할당됩니다. 와일드카드는 모임 및 전화 접속 단순 URL에 다음 형식이 사용되는 모임 및 전화 접속 SAN을 대체합니다. <FQDN>/admin <FQDN>/meet <FQDN>/dialin 또는 admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 및 Exchange Server 2010
Microsoft Exchange Server를 설치 및 구성하면 자체 서명된 인증서가 만들어지고 구현됩니다. CA에서 제공된 인증서를 서버에 추가할 때는 새 인증서를 성공적으로 사용하도록 모든 서비스 및 웹 서비스를 다시 구성할 때까지 자체 서명된 인증서를 삭제하지 않는 것이 좋습니다. 자체 서명된 인증서는 필요한 모든 기능을 사용하는 데 적합하지 않을 수 있지만 특정 오류가 발생할 경우 자체 서명된 인증서를 계속 사용할 수 있으므로 원래 설정을 다시 구성하고 원래 기능을 복원할 수 있습니다. 이렇게 하면 모든 프로덕션 기능에 영향을 주지 않고도 구성을 확인하는 데 필요한 추가 시간을 얻을 수 있습니다.
Exchange에서의 인증서 사용에 대한 자세한 내용은 다음을 참조하십시오.
디지털 인증서 및 SSL 이해: https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x412
클라이언트 액세스 서버 네임스페이스 이해: https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x412
자동 검색 서비스 이해: https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x412
Microsoft Exchange Server를 Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버와 함께 배포하는 경우 다음과 같은 네 가지 배포 시나리오를 고려할 수 있습니다.
**시나리오 1:**Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 서로 다른 서버에 배포되고 클라이언트 액세스 서버는 인터넷에 연결됩니다.
**시나리오 2:**Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 동일한 서버에 배치되고 인터넷에 연결됩니다.
**시나리오 3:**Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 서로 다른 서버에 배포되고 게시를 위해 역방향 프록시가 사용됩니다.
**시나리오 4:**Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 동일한 서버에 배치되고 게시를 위해 역방향 프록시가 사용됩니다.
시나리오 1: Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 서로 다른 서버에 배포됨(클라이언트 액세스 서버는 인터넷에 연결됨)
| Microsoft Exchange 구성 요소 | 주체 이름 | SAN 항목/순서 | CA(인증 기관) | EKU(확장된 키 사용) | 참고 사항 |
|---|---|---|---|---|---|
Exchange Unified Messaging(UM) 서버 이름: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 역할에 SAN 항목이 포함되지 않아야 함 |
개인 |
서버 |
Exchange UM 서버는 내부 클라이언트 및 서버와만 통신합니다. 개인 CA 루트 인증서를 각 Exchange UM 서버로 가져옵니다. 각 Exchange UM 서버에 대해 고유한 인증서를 만들고 할당합니다. 주체 이름은 서버 이름과 일치해야 합니다. 인증서를 Exchange UM 역할에 할당하려면 먼저 Exchange UM 서버에서 TLS(전송 계층 보안)를 설정해야 합니다. Outlook Web Access 및 IM(인스턴트 메시징)과의 통합을 위해 Exchange 클라이언트 액세스 서버에서 사용하도록 이 인증서를 할당합니다. |
Exchange 클라이언트 액세스 서버 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
공용 |
서버 |
외부 UC 장치를 지원하려면 주체 이름 및 SAN 항목이 일치해야 합니다. 주체 이름 및 SAN 항목 mail.contoso.com은 Outlook Web Access, Outlook Anywhere, EWS 및 오프라인 주소록을 참조하기 위해 사용되는 이름의 예입니다. 유일한 요구 사항으로는 항목이 DNS 레코드와 일치해야 한다는 것입니다. ExternalURL 및 기타 서비스 항목은 지정된 이름으로 참조할 수 있습니다. autodiscover SAN 항목은 외부 UC 장치를 지원하기 위해 필요합니다. |
Exchange 클라이언트 액세스 서버 인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
개인 |
서버 |
인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버는 내부 클라이언트 및 서버와만 통신합니다. 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버는 이 Active Directory 사이트에 호스트되는 서비스(예: 사서함)를 쿼리 중인 사용자 또는 서비스로부터 요청이 비롯된 경우 이 클라이언트 액세스 서버로 통신을 프록시합니다. 인터넷에 연결되지 않는 Active Directory 사이트의 EWS 및 오프라인 주소록 서비스는 배포된 인증서를 사용하도록 구성됩니다. 이 인증서는 내부 개인 CA로부터 가져올 수 있습니다. 개인 CA에 대한 루트 인증서는 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버에 있는 신뢰할 수 있는 타사 루트 인증서 저장소로 가져와야 합니다. |
시나리오 2: Exchange Unified Messaging(UM) 및 Exchange 클라이언트 액세스 서버가 동일한 서버에 배치됨(인터넷 연결)
| Microsoft Exchange 구성 요소 | 주체 이름 | SAN 항목/순서 | CA(인증 기관) | EKU(확장된 키 사용) | 참고 사항 |
|---|---|---|---|---|---|
Exchange Unified Messaging(UM) 서버 이름: exchcas01.contoso.com |
exchcas01.contoso.com |
Exchange UM 역할에 SAN 항목이 포함되지 않아야 함 |
개인 |
서버 |
Exchange UM 서버는 내부 클라이언트 및 서버와만 통신합니다. 개인 CA 루트 인증서를 각 Exchange UM 서버로 가져옵니다. 인증서를 Exchange UM 역할에 할당하려면 먼저 Exchange UM 서버에서 TLS를 설정해야 합니다. Outlook Web Access 및 IM과의 통합을 위해 클라이언트 액세스 서버에서 사용하도록 이 인증서를 할당합니다. |
Exchange 클라이언트 액세스 서버 및 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
공용 |
서버 |
외부 UC 장치를 지원하려면 주체 이름 및 SAN 항목이 일치해야 합니다. 주체 이름 및 SAN 항목 mail.contoso.com은 Outlook Web Access, Outlook Anywhere, EWS 및 오프라인 주소록을 참조하기 위해 사용되는 이름의 예입니다. 유일한 요구 사항으로는 항목이 DNS 레코드와 일치해야 한다는 것입니다. ExternalURL 및 기타 서비스 항목은 지정된 이름으로 참조할 수 있습니다. autodiscover.<domain namespace> SAN 항목은 외부 UC 장치를 지원하기 위해 필요합니다. |
Exchange 클라이언트 액세스 서버 인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
개인 |
서버 |
인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버는 내부 클라이언트 및 서버와만 통신합니다. 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버는 이 Active Directory 사이트에 호스트되는 서비스(예: 사서함)를 쿼리 중인 사용자 또는 서비스로부터 요청이 비롯된 경우 이 클라이언트 액세스 서버로 통신을 프록시합니다. 인터넷에 연결되지 않는 Active Directory 사이트의 Exchange 웹 서비스 및 오프라인 주소록 서비스는 배포된 인증서를 사용하도록 구성됩니다. 이 인증서는 내부 개인 CA로부터 가져올 수 있습니다. 개인 CA에 대한 루트 인증서는 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버에 있는 신뢰할 수 있는 타사 루트 인증서 저장소로 가져와야 합니다. |
시나리오 3: Exchange Unified Messaging(UM)/Exchange 클라이언트 액세스 서버가 서로 다른 서버에 배포됨(게시를 위해 역방향 프록시 사용)
| Microsoft Exchange 구성 요소 | 주체 이름 | SAN 항목/순서 | CA(인증 기관) | EKU(확장된 키 사용) | 참고 사항 |
|---|---|---|---|---|---|
Exchange Unified Messaging(UM) 서버 이름: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 역할에 SAN 항목이 포함되지 않아야 함 |
개인 |
서버 |
Exchange UM 서버는 내부 클라이언트 및 서버와만 통신합니다. 개인 CA 루트 인증서를 각 Exchange UM 서버로 가져옵니다. 각 Exchange UM 서버에 대해 고유한 인증서를 만들고 할당합니다. 주체 이름은 서버 이름과 일치해야 합니다. 인증서를 Exchange UM 역할에 할당하려면 먼저 Exchange UM 서버에서 TLS를 설정해야 합니다. Outlook Web Access 및 IM과의 통합을 위해 클라이언트 액세스 서버에서 사용하도록 이 인증서를 할당합니다. |
Exchange 클라이언트 액세스 서버 서버 이름: exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
개인 |
서버 |
외부 UC 장치를 지원하려면 주체 이름 및 SAN 항목이 일치해야 합니다. 개인 CA 루트 인증서를 각 Exchange 클라이언트 액세스 서버로 가져옵니다. 주체 이름 및 SAN 항목 mail.contoso.com은 Outlook Web Access, Outlook Anywhere, EWS 및 오프라인 주소록을 참조하기 위해 사용되는 이름의 예입니다. 유일한 요구 사항으로는 항목이 DNS 레코드와 일치해야 한다는 것입니다. ExternalURL 및 기타 서비스 항목은 지정된 이름으로 참조할 수 있습니다. autodiscover SAN 항목은 외부 UC 장치를 지원하기 위해 필요합니다. Outlook 웹 액세스 및 IM과 통합하려면 컴퓨터 이름 항목(이 예에서는 exchcas01.contoso.com)이 있어야 합니다. |
역방향 프록시 서버 이름: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
공용 |
서버 |
주체 이름에 대한 일치 항목도 인증서의 SAN에 있어야 합니다. 역방향 프록시에서 TLS 또는 SSL을 종료하고 클라이언트 액세스 서버에 대해 TLS 또는 SSL을 다시 설정하면 UC 장치에 오류가 발생합니다. Microsoft ISA(Internet Security and Acceleration) 서버 및 Microsoft Forefront Threat Management Gateway와 같은 일부 제품 및 기타 타사 구현의 기능인 TLS 또는 SSL 종료는 UC 장치를 지원 중인 경우 사용할 수 없습니다. UC 장치가 올바르게 작동할 수 있으려면 autodiscover에 대한 SAN 항목이 존재해야 합니다. |
Exchange 클라이언트 액세스 서버 인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
개인 |
서버 |
인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버는 내부 클라이언트 및 서버와만 통신합니다. 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버는 이 Active Directory 사이트에 호스트되는 서비스(예: 사서함)를 쿼리 중인 사용자 또는 서비스로부터 요청이 비롯된 경우 이 클라이언트 액세스 서버로 통신을 프록시합니다. 인터넷에 연결되지 않는 Active Directory 사이트의 Exchange 웹 서비스 및 오프라인 주소록 서비스는 배포된 인증서를 사용하도록 구성됩니다. 이 인증서는 내부 개인 CA로부터 가져올 수 있습니다. 개인 CA에 대한 루트 인증서는 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버에 있는 신뢰할 수 있는 타사 루트 인증서 저장소로 가져와야 합니다. |
시나리오 4: Exchange Unified Messaging(UM)/Exchange 클라이언트 액세스 서버가 동일한 서버에 배치됨(게시를 위해 역방향 프록시 사용)
| Microsoft Exchange 구성 요소 | 주체 이름 | SAN 항목/순서 | CA(인증 기관) | EKU(확장된 키 사용) | 참고 사항 |
|---|---|---|---|---|---|
Exchange Unified Messaging(UM) 서버 이름: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM 역할에 SAN 항목이 포함되지 않아야 함 |
개인 |
서버 |
Exchange UM 서버는 내부 클라이언트 및 서버와만 통신합니다. 개인 CA 루트 인증서를 각 Exchange UM 서버로 가져옵니다. 각 Exchange UM 서버에 대해 고유한 인증서를 만들고 할당합니다. 주체 이름은 서버 이름과 일치해야 합니다. SAN은 필요하지 않습니다. 인증서를 Exchange UM 역할에 할당하려면 먼저 Exchange UM 서버에서 TLS를 설정해야 합니다. |
Exchange 클라이언트 액세스 서버 Exchange Unified Messaging(UM) 서버 이름: exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
개인 |
서버 |
외부 UC 장치를 지원하려면 주체 이름 및 SAN 항목이 일치해야 합니다. 개인 CA 루트 인증서를 각 Exchange 클라이언트 액세스 서버로 가져옵니다. 주체 이름 및 SAN 항목 mail.contoso.com은 Outlook Web Access, Outlook Anywhere, EWS 및 오프라인 주소록을 참조하기 위해 사용되는 이름의 예입니다. 유일한 요구 사항으로는 항목이 DNS 레코드와 일치해야 한다는 것입니다. ExternalURL 및 기타 서비스 항목은 지정된 이름으로 참조할 수 있습니다. autodiscover SAN 항목은 외부 UC 장치를 지원하기 위해 필요합니다. Outlook 웹 액세스 및 IM과 통합하려면 컴퓨터 이름 항목(이 예에서는 exchcas01.contoso.com)이 있어야 합니다. |
역방향 프록시 서버 이름: rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
공용 |
서버 |
주체 이름에 대한 일치 항목도 인증서의 SAN에 있어야 합니다. 역방향 프록시에서 TLS 또는 SSL을 종료하고 클라이언트 액세스 서버에 대해 TLS 또는 SSL을 다시 설정하면 UC 장치에 오류가 발생합니다. ISA 서버 및 Microsoft Forefront Threat Management Gateway 같은 일부 제품의 기능과 그 밖의 타사 구현인 TLS 또는 SSL 종료는 UC 장치를 지원하게 될 경우 사용할 수 없습니다. UC 장치가 올바르게 작동할 수 있으려면 autodiscover에 대한 SAN 항목이 존재해야 합니다. |
Exchange 클라이언트 액세스 서버 인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버 서버 이름: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
개인 |
서버 |
인터넷에 연결되지 않는 Active Directory 사이트 클라이언트 액세스 서버는 내부 클라이언트 및 서버와만 통신합니다. 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버는 이 Active Directory 사이트에 호스트되는 서비스(예: 사서함)를 쿼리 중인 사용자 또는 서비스로부터 요청이 비롯된 경우 이 클라이언트 액세스 서버로 통신을 프록시합니다. 인터넷에 연결되지 않는 Active Directory 사이트의 Exchange 웹 서비스 및 오프라인 주소록 서비스는 배포된 인증서를 사용하도록 구성됩니다. 이 인증서는 내부 개인 CA로부터 가져올 수 있습니다. 개인 CA에 대한 루트 인증서는 인터넷 연결 Active Directory 사이트 클라이언트 액세스 서버에 있는 신뢰할 수 있는 타사 루트 인증서 저장소로 가져와야 합니다. |