다음을 통해 공유

Microsoft 365 및 Microsoft Entra ID에 대한 페더레이션 인증서 갱신

  • 아티클

개요

Microsoft Entra ID와 AD FS(Active Directory Federation Services) 간의 성공적인 페더레이션을 위해 AD FS에서 Microsoft Entra ID에 보안 토큰에 서명하는 데 사용하는 인증서는 Microsoft Entra ID에 구성된 인증서와 일치해야 합니다. 일치하지 않을 경우 신뢰가 깨질 수 있습니다. Microsoft Entra ID는 AD FS 및 웹 애플리케이션 프록시(엑스트라넷 액세스용)를 배포할 때 이 정보가 동기화된 상태로 유지되도록 합니다.

메모

이 문서에서는 페더레이션 인증서 관리에 대한 정보를 제공합니다. 긴급 회전에 대한 자세한 내용은 AD FS 인증서 긴급 회전을 참조하세요.

이 문서에서는 토큰 서명 인증서를 관리하고 Microsoft Entra ID와 동기화된 상태로 유지하기 위한 추가 정보를 다음과 같은 경우에 제공합니다.

  • 웹 애플리케이션 프록시를 배포하지 않으므로 엑스트라넷에서 페더레이션 메타데이터를 사용할 수 없습니다.
  • 토큰 서명 인증서에 AD FS의 기본 구성을 사용하지 않습니다.
  • 타사 ID 공급자를 사용하고 있습니다.

중요하다

Microsoft는 HSM(하드웨어 보안 모듈)을 사용하여 인증서를 보호하고 보호하는 것이 좋습니다. 자세한 내용은 AD FS 보안 모범 사례에서 하드웨어 보안 모듈 참조하세요.

토큰 서명 인증서에 대한 AD FS의 기본 구성

토큰 서명 및 토큰 암호 해독 인증서는 일반적으로 자체 서명된 인증서이며 1년 동안 적합합니다. 기본적으로 AD FS에는 AutoCertificateRollover라는 자동 갱신 프로세스가 포함되어 있습니다. AD FS 2.0 이상을 사용하는 경우 Microsoft 365 및 Microsoft Entra ID는 만료되기 전에 인증서를 자동으로 업데이트합니다.

Microsoft 365 관리 센터 또는 전자 메일의 갱신 알림

메모

Office용 인증서를 갱신하라는 전자 메일을 받은 경우 토큰 서명 인증서 변경 내용 관리를 참조하여 조치를 취해야 하는지 확인합니다. Microsoft는 아무런 조치도 필요하지 않은 경우에도 인증서 갱신 알림이 전송될 수 있는 가능한 문제를 알고 있습니다.

Microsoft Entra ID는 페더레이션 메타데이터를 모니터링하고 이 메타데이터에 표시된 대로 토큰 서명 인증서를 업데이트하려고 시도합니다. 토큰 서명 인증서가 만료되기 35일 전에 Microsoft Entra ID는 페더레이션 메타데이터를 폴링하여 새 인증서를 사용할 수 있는지 확인합니다.

  • 페더레이션 메타데이터를 성공적으로 폴링하고 새 인증서를 검색할 수 있는 경우 사용자에게 이메일 알림이 발급되지 않습니다.
  • 페더레이션 메타데이터에 연결할 수 없거나 자동 인증서 롤오버를 사용하도록 설정하지 않아 새 토큰 서명 인증서를 검색할 수 없는 경우 Microsoft Entra ID에서 전자 메일을 발급합니다.

중요하다

AD FS를 사용하는 경우 비즈니스 연속성을 보장하기 위해 알려진 문제에 대한 인증 오류가 발생하지 않도록 서버에 다음 업데이트가 있는지 확인하세요. 이렇게 하면 이 갱신 및 향후 갱신 기간에 대해 알려진 AD FS 프록시 서버 문제가 완화됩니다.

Server 2012 R2 - Windows Server 2014년 5월 업데이트 롤업

Server 2008 R2 및 2012 - Windows Server 2012 또는 Windows 2008 R2 SP1에서 프록시를 통한 인증 실패

인증서를 업데이트해야 하는지

1단계: AutoCertificateRollover 상태 확인

AD FS 서버에서 PowerShell을 엽니다. AutoCertificateRollover 값이 True로 설정되어 있는지 확인합니다.

Get-Adfsproperties

AutoCertificateRollover

메모

AD FS 2.0을 사용하는 경우 먼저 Microsoft.Adfs.Powershell을 Add-Pssnapin 실행합니다.

2단계: AD FS 및 Microsoft Entra ID가 동기화되어 있는지 확인

AD FS 서버에서 PowerShell 프롬프트를 열고 Microsoft Entra ID에 연결합니다.

메모

Microsoft Entra는 Microsoft Entra PowerShell의 일부입니다. PowerShell 갤러리에서 직접 Microsoft Entra PowerShell 모듈을 다운로드할 수 있습니다.

Install-Module -Name Microsoft.Entra

Microsoft Entra ID에 연결합니다.

Connect-Entra -Scopes 'Domain.Read.All'

지정된 도메인에 대한 AD FS 및 Microsoft Entra ID 트러스트 속성에 구성된 인증서를 확인합니다.

Get-EntraFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

두 출력의 지문이 일치하면 인증서가 Microsoft Entra ID와 동기화됩니다.

3단계: 인증서가 만료되는지 확인

Get-EntraFederationProperty 또는 Get-AdfsCertificate의 출력에서 "Not After"에서 날짜를 확인합니다. 날짜가 35일 미만인 경우 조치를 취해야 합니다.

AutoCertificateRollover Microsoft Entra ID와 동기화된 인증서 페더레이션 메타데이터는 공개적으로 액세스할 수 있습니다. 유효성 행동
- 아무 작업도 필요하지 않습니다. 토큰 서명 인증서 자동 갱신을 참조하십시오.
아니요 - 15일 미만 즉시 갱신합니다. 토큰 서명 인증서를 수동으로갱신을 참조하세요.
아니요 - - 35일 미만 즉시 갱신합니다. 토큰 서명 인증서를 수동으로갱신을 참조하세요.

[-] 상관없다

토큰 서명 인증서를 자동으로 갱신(권장)

다음 두 가지 모두 true인 경우 수동 단계를 수행할 필요가 없습니다.

  • 엑스트라넷에서 페더레이션 메타데이터에 액세스할 수 있는 웹 애플리케이션 프록시를 배포했습니다.
  • AD FS 기본 구성을 사용하고 있습니다(AutoCertificateRollover를 사용하도록 설정됨).

인증서를 자동으로 업데이트할 수 있는지 확인하려면 다음을 확인합니다.

1. AD FS 속성 AutoCertificateRollover를 True로 설정해야 합니다. 이는 AD FS가 이전 토큰 서명 및 토큰 암호 해독 인증서가 만료되기 전에 자동으로 생성됨을 나타냅니다.

2. AD FS 페더레이션 메타데이터는 공개적으로 액세스할 수 있습니다. 공용 인터넷(회사 네트워크 외부)의 컴퓨터에서 다음 URL로 이동하여 페더레이션 메타데이터에 공개적으로 액세스할 수 있는지 확인합니다.

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

여기서 (your_FS_name) fs.contoso.com 같은 조직에서 사용하는 페더레이션 서비스 호스트 이름으로 대체됩니다. 이 두 설정을 모두 성공적으로 확인할 수 있는 경우 다른 작업을 수행할 필요가 없습니다.

예: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

수동으로 토큰 서명 인증서 갱신

토큰 서명 인증서를 수동으로 갱신하도록 선택할 수 있습니다. 예를 들어 다음 시나리오는 수동 갱신에 더 적합할 수 있습니다.

  • 토큰 서명 인증서는 자체 서명된 인증서가 아닙니다. 가장 일반적인 이유는 조직에서 조직 인증 기관에서 등록된 AD FS 인증서를 관리하기 때문입니다.
  • 네트워크 보안에서는 페더레이션 메타데이터를 공개적으로 사용할 수 없습니다.
  • 페더레이션된 도메인을 기존 페더레이션 서비스에서 새 페더레이션 서비스로 마이그레이션하고 있습니다.

중요하다

기존 페더레이션된 도메인을 새 페더레이션 서비스로 마이그레이션하는 경우 AD FS 인증서 긴급 순환을 따르는 것이 좋습니다.

이러한 시나리오에서는 토큰 서명 인증서를 업데이트할 때마다 PowerShell 명령인 Update-MgDomainFederationConfiguration을 사용하여 Microsoft 365 도메인도 업데이트해야 합니다.

1단계: AD FS에 새 토큰 서명 인증서가 있는지 확인

기본이 아닌 구성

AD FS의 기본이 아닌 구성(AutoCertificateRolloverFalse설정)을 사용하는 경우 사용자 지정 인증서(자체 서명되지 않음)를 사용할 수 있습니다. AD FS 토큰 서명 인증서를 갱신하는 방법에 대한 자세한 내용은 페더레이션된 서버 대한인증서 요구 사항을 참조하세요.

페더레이션 메타데이터는 공개적으로 사용할 수 없다

반면에 AutoCertificateRolloverTrue로 설정되어 있지만 페더레이션 메타데이터에 공개적으로 액세스할 수 없는 경우, AD FS에서 새 토큰 서명 인증서가 생성되었는지 먼저 확인하십시오. 다음 단계를 수행하여 새 토큰 서명 인증서가 있는지 확인합니다.

  1. 기본 AD FS 서버에 로그온했는지 확인합니다.

  2. PowerShell 명령 창을 열고 다음 명령을 실행하여 AD FS에서 현재 서명 인증서를 확인합니다.

    Get-ADFSCertificate -CertificateType Token-Signing

    메모

    AD FS 2.0을 사용하는 경우 먼저 Add-Pssnapin Microsoft.Adfs.Powershell 실행해야 합니다.

  3. 나열된 인증서에서 명령 출력을 확인합니다. AD FS에서 새 인증서를 생성한 경우 출력에 두 개의 인증서가 표시됩니다. 하나는 IsPrimary 값이 True이고, NotAfter 날짜가 5일 이내인 것이며, 다른 하나는 IsPrimaryFalse이고, NotAfter 날짜가 약 1년 후인 것입니다.

  4. 인증서가 하나만 표시되고 NotAfter 날짜가 5일 이내인 경우 새 인증서를 생성해야 합니다.

  5. 새 인증서를 생성하려면 PowerShell 명령 프롬프트에서 다음 명령을 실행합니다. Update-ADFSCertificate -CertificateType Token-Signing.

  6. 다음 명령을 다시 실행하여 업데이트를 확인합니다. Get-ADFSCertificate -CertificateType Token-Signing

두 개의 인증서가 나열되어야 하며, 그 중 하나는 약 1년 뒤로 설정된 NotAfter 날짜를 가지고 있고, IsPrimary 값이 거짓입니다.

2단계: Microsoft 365 트러스트에 대한 새 토큰 서명 인증서 업데이트

다음과 같이 신뢰에 사용할 새 토큰 서명 인증서로 Microsoft 365를 업데이트합니다.

  1. Azure PowerShell을 엽니다.
  2. Connect-Entra -Scopes 'Domain.Read.All'실행합니다. 이 cmdlet은 클라우드 서비스에 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 클라우드 서비스에 연결하는 컨텍스트를 만들어야 합니다.
  3. Update-MgDomainFederationConfiguration -DomainId <domain> -InternalDomainFederationId <AD FS primary server>실행합니다. 이 cmdlet은 AD FS의 설정을 클라우드 서비스로 업데이트하고 둘 사이의 트러스트 관계를 구성합니다.

메모

contoso.com 및 fabrikam.com 같은 여러 최상위 도메인을 지원해야 하는 경우 cmdlet과 함께 SupportMultipleDomain 스위치를 사용해야 합니다. 자세한 내용은 여러 최상위 도메인 대한지원을 참조하세요.

테넌트가 둘 이상의 도메인과 페더레이션된 경우 Update-MgDomainFederationConfiguration출력에 나열된 모든 도메인에 대해 Get-EntraDomain | Select-Object -Property AuthenticationType:Federated 실행해야 합니다. 이렇게 하면 모든 페더레이션된 도메인이 Token-Signing 인증서로 업데이트됩니다. 다음을 실행하여 이 작업을 수행할 수 Get-EntraDomain | Select-Object -Property AuthenticationType:Federated | % { Update-MgDomainFederationConfiguration -DomainName $_.Name -SupportMultipleDomain }

Microsoft Entra Connect 사용하여 Microsoft Entra ID 트러스트 복구

Microsoft Entra Connect를 사용하여 AD FS 팜 및 Microsoft Entra ID 트러스트를 구성한 경우 Microsoft Entra Connect를 사용하여 토큰 서명 인증서에 대한 작업을 수행해야 하는지 감지할 수 있습니다. 인증서를 갱신해야 하는 경우 Microsoft Entra Connect를 사용하여 인증서를 갱신할 수 있습니다.

자세한 내용은 신뢰 복원을 참조하세요.

AD FS 및 Microsoft Entra 인증서 업데이트 단계

토큰 서명 인증서는 페더레이션 서버에서 발급하는 모든 토큰에 안전하게 서명하는 데 사용되는 표준 X509 인증서입니다. 토큰 암호 해독 인증서는 들어오는 토큰의 암호를 해독하는 데 사용되는 표준 X509 인증서입니다.

기본적으로 AD FS는 토큰 서명 및 토큰 암호 해독 인증서를 초기 구성 시간과 인증서가 만료 날짜에 근접할 때 자동으로 생성하도록 구성됩니다.

Microsoft Entra ID는 현재 인증서가 만료되기 35일 전에 페더레이션 서비스 메타데이터에서 새 인증서를 검색하려고 시도합니다. 이때 새 인증서를 사용할 수 없는 경우 Microsoft Entra ID는 정기적으로 메타데이터를 계속 모니터링합니다. 메타데이터에서 새 인증서를 사용할 수 있게 되면 도메인에 대한 페더레이션 설정이 새 인증서 정보로 업데이트됩니다. Get-MgDomainFederationConfiguration 사용하여 NextSigningCertificate/SigningCertificate에 새 인증서가 표시되는지 확인할 수 있습니다.

AD FS의 토큰 서명 인증서에 대한 자세한 내용은 AD FS 대한 토큰 서명 및 토큰 암호 해독 인증서 가져오기 및 구성을 참조하세요.