SharePoint Server에서 팜 간에 신뢰 인증서 교환

아티클
03/08/2023

적용 대상: yes-img-13 2013 yes-img-16 2016 yes-img-19 2019 yes-img-se Subscription Edition no-img-sop SharePoint in Microsoft 365

SharePoint Server에서 팜은 다른 SharePoint Server 팜에 게시된 서비스 애플리케이션에 연결하고 사용할 수 있습니다. 이렇게 하려면 팜에서 신뢰 인증서를 교환해야 합니다.

두 팜이 모두 이 교환에 참가해야 서비스 응용 프로그램 공유가 작동합니다.

팜 간에 서비스 응용 프로그램을 공유하는 방법에 대한 자세한 내용은 SharePoint Server에서 팜 간에 서비스 응용 프로그램 공유를 참조하십시오.

Microsoft PowerShell 명령을 사용하여 팜 간에 인증서를 내보내고 복사해야 합니다. 인증서를 내보내고 복사한 후에는 PowerShell 명령 또는 중앙 관리를 사용하여 팜 내의 트러스트를 관리할 수 있습니다.

이 문서의 지침에서는 다음 조건을 가정합니다.

이러한 절차에 사용되는 서버에서 PowerShell을 실행합니다.
관리자가 프로세스의 모든 단계에 대해 각 팜에서 동일한 서버를 선택하고 사용합니다.
UAC(사용자 계정 제어)가 설정된 경우에는 상승된 권한으로 PowerShell 명령을 실행해야 합니다.

이 작업을 시작하기 전에 SharePoint Server의 팜 간에 서비스 응용 프로그램 공유에서 필수 구성 요소에 대한 정보를 검토하세요.

인증서 내보내기 및 복사

소비 팜의 관리자는 게시 팜에 두 신뢰 인증서, 즉 루트 인증서와 STS(보안 토큰 서비스) 인증서를 제공해야 합니다. 게시 팜의 관리자는 소비 팜에 루트 인증서를 제공해야 합니다.

Windows PowerShell 3.0 이상을 통해서만 인증서를 내보내고 복사할 수 있습니다.

소비 팜에서 루트 인증서를 내보내려면

소비 팜의 SharePoint Server을 실행하는 서버에서 다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

SharePoint 관리 셸에서 다음 명령을 실행합니다.

$CFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))

여기서 C:\ConsumingFarmRoot.cer 는 루트 인증서의 경로입니다.

소비 팜에서 STS 인증서를 내보내려면

다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

SharePoint 관리 셸에서 다음 명령을 실행합니다.

$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))

여기서 C:\ConsumingFarmSTS.cer 는 STS 인증서의 경로입니다.

게시 팜에서 루트 인증서를 내보내려면

게시 팜의 SharePoint Server을 실행하는 서버에서 다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

SharePoint 관리 셸에서 다음 명령을 실행합니다.

$PFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))

여기서 C:\PublishingFarmRoot.cer 는 루트 인증서의 경로입니다.

인증서를 복사하려면

소비 팜의 서버에서 게시 팜의 서버로 루트 인증서 및 STS 인증서를 복사합니다.
게시 팜의 서버에서 소비 팜의 서버로 루트 인증서를 복사합니다.

PowerShell을 사용하여 신뢰 인증서 관리

팜에서 신뢰 인증서를 관리하려면 트러스트를 설정해야 합니다. 이 섹션에서는 PowerShell 명령을 사용하여 소비 팜과 게시 팜 모두에 대한 신뢰를 설정하는 방법을 설명합니다.

소비 팜에서 트러스트 설정

소비 팜에서 트러스트를 설정하려면 게시자 팜에서 복사한 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들어야 합니다.

소비 팜에서 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들려면

다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.
SharePoint 관리 셸에서 다음 명령을 실행합니다.
```
$trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"

New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
```
여기서 각 부분이 나타내는 의미는 다음과 같습니다.
- <C:\PublishingFarmRoot.cer>은 게시 팜에서 소비 팜으로 복사한 루트 인증서의 경로입니다.
- <PublishingFarm> 은 게시 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 루트 기관의 이름은 고유해야 합니다.

게시 팜에서 트러스트 설정

게시 팜에서 트러스트를 설정하려면 소비 팜에서 복사한 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들어야 합니다. 그런 후에 소비 팜에서 복사한 STS 인증서를 가져와서 신뢰할 수 있는 서비스 토큰 발급자를 만들어야 합니다.

게시 팜에서 루트 인증서를 가져와서 신뢰할 수 있는 루트 기관을 만들려면

다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.
SharePoint 관리 셸에서 다음 명령을 실행합니다.
```
$trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"

New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
```
여기서 각 부분이 나타내는 의미는 다음과 같습니다.
- <C:\ConsumingFarmRoot.cer>은 소비 팜에서 게시 팜으로 복사한 루트 인증서의 이름 및 위치입니다.
- <ConsumingFarm> 은 소비 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 루트 기관의 이름은 고유해야 합니다.

게시 팜에서 STS 인증서를 가져와서 신뢰할 수 있는 서비스 토큰 발급자를 만들려면

다음 멤버 자격이 있는지 확인합니다.
- SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
- 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
- PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
- 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.
관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

참고

권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.
SharePoint 관리 셸에서 다음 명령을 실행합니다.
```
$stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"

New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
```
여기서 각 부분이 나타내는 의미는 다음과 같습니다.
- <C:\ConsumingFarmSTS.cer>은 소비 팜에서 게시 팜으로 복사한 STS 인증서의 경로입니다.
- <ConsumingFarm> 은 소비 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 서비스 토큰 발급자의 이름은 고유해야 합니다.

이러한 PowerShell cmdlet에 대한 자세한 내용은 다음 문서를 참조하세요.

스크립트를 사용하여 이 프로세스 부분을 자동화하는 방법에 대한 자세한 내용은 팜 간에 신뢰 인증서 교환을 참조하세요.

중앙 관리를 사용하여 신뢰 인증서 관리

관련 인증서를 이미 내보냈으며 팜으로 복사한 후에만 팜에서 트러스트를 관리할 수 있습니다.

중앙 관리를 사용하여 트러스트를 설정하려면

이 절차를 수행하는 사용자 계정이 Farm Administrators SharePoint 그룹의 구성원인지 확인합니다.
SharePoint 중앙 관리 웹 사이트에서 보안을 클릭합니다.
보안 페이지의 일반 보안 섹션에서 트러스트 관리를 클릭합니다.
트러스트 관계 페이지의 리본 메뉴에서 새로 만들기를 클릭합니다.
트러스트 관계 설정 페이지에서 다음 단계를 수행합니다.
- 트러스트 관계의 용도를 설명하는 이름을 지정합니다.
- 트러스트 관계에 대한 루트 기관 인증서를 찾아 선택합니다. 인증서 내보내기 및 복사에 설명된 대로 Microsoft PowerShell을 사용하여 다른 팜에서 내보낸 루트 기관 인증서여야 합니다.
- 게시 팜에서 이 작업을 수행하는 경우 트러스트 관계 제공의 확인란을 선택합니다. 토큰 발급자를 설명하는 이름을 입력하고, 인증서 내보내기 및 복사에 설명된 대로 소비 팜에서 복사한 STS 인증서를 찾아 선택합니다.
- 확인을 클릭합니다.
트러스트 관계를 설정한 후에는 트러스트를 클릭하고 편집을 클릭하여 토큰 발급자 설명이나 인증서를 수정할 수 있습니다. 트러스트를 삭제하려면 해당 트러스트를 클릭한 다음 삭제를 클릭합니다.

참고 항목

개념

SharePoint Server에서 사용자 인증 방법 계획

기타 리소스

SharePoint Server에서 웹 응용 프로그램 만들기

SharePoint Server에서 AD FS를 사용하여 SAML 기반 클레임 인증 구성

다음을 통해 공유

SharePoint Server에서 팜 간에 신뢰 인증서 교환

인증서 내보내기 및 복사

소비 팜에서 루트 인증서를 내보내려면

소비 팜에서 STS 인증서를 내보내려면

게시 팜에서 루트 인증서를 내보내려면

인증서를 복사하려면

PowerShell을 사용하여 신뢰 인증서 관리

소비 팜에서 트러스트 설정

소비 팜에서 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들려면

게시 팜에서 트러스트 설정

게시 팜에서 루트 인증서를 가져와서 신뢰할 수 있는 루트 기관을 만들려면

게시 팜에서 STS 인증서를 가져와서 신뢰할 수 있는 서비스 토큰 발급자를 만들려면

중앙 관리를 사용하여 신뢰 인증서 관리

중앙 관리를 사용하여 트러스트를 설정하려면

참고 항목

개념

기타 리소스

추가 리소스