Exchange 2007의 자체 서명 인증서 이해
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2009-12-23
디지털 인증서는 사용자나 컴퓨터의 ID를 확인하기 위한 온라인 암호 역할을 하는 전자 파일로서, Microsoft Exchange를 실행하고 있는 서버와 클라이언트 컴퓨터 또는 장치 간의 통신에 사용되는 SSL 암호화된 채널을 만드는 데도 사용됩니다. 그리고 디지털 인증서는 CA(인증 기관)에서 인증서 소유자의 신원을 보증하기 위해 발급한 내역서이며 이 인증서를 통해 암호화된 방식으로 통신할 수 있습니다.
디지털 인증서를 사용하여 다음을 수행할 수 있습니다.
인증서 소유자, 즉 사용자, 웹 사이트, 심지어는 라우터 같은 네트워크 리소스가 실제로 해당 본인 또는 대상이 맞는지 인증합니다.
온라인으로 교환되는 데이터의 절도 또는 훼손으로부터 보호합니다.
디지털 인증서는 신뢰할 수 있는 타사 CA 또는 Microsoft Windows PKI(공개 키 인프라)에서 인증서 서비스를 사용하여 발급하거나 자체 서명될 수 있습니다. Microsoft Exchange Server 2007에 클라이언트 액세스 서버 역할 또는 통합 메시징 서버 역할을 설치할 경우, 기존 디지털 인증서가 없으면 자체 서명 인증서가 설치됩니다. 이 문서에서는 Exchange 2007의 자체 서명 인증서에 대한 개요와 함께 인증서를 사용하거나 사용할 수 없는 경우에 대해 설명합니다.
Exchange 2007 클라이언트 액세스 서버 보안에 대한 자세한 내용은 클라이언트 액세스 서버용 SSL 이해를 참조하십시오.
자체 서명 인증서 개요
Exchange 2007에 클라이언트 액세스 서버 역할을 설치할 경우 자체 서명 인증서가 생성됩니다. 자체 서명 인증서는 조직 내 여러 Exchange 2007 서버 간의 보안 통신을 지원하고, 대체 인증서를 가져와 설치하기 전까지 클라이언트 통신을 암호화할 수는 임시적인 방법입니다. 자체 서명 인증서에는 주체 대체 이름 항목이 두 개 있는데, 하나는 클라이언트 액세스 서버의 NetBIOS 이름용이고 다른 하나는 클라이언트 액세스 서버의 FQDN(정규화된 도메인 이름)용입니다. 클라이언트 액세스 서버와 다른 Exchange Server 2007 서버 역할 간의 통신 암호화에는 자체 서명 인증서를 사용할 수 있지만 클라이언트 응용 프로그램과 장치에는 사용하지 않는 것이 좋습니다. 자체 서명 인증서를 사용하는 데에는 제한이 있으므로 타사의 신뢰할 수 있는 인증서나 Windows PKI에서 서명한 인증서로 대체하는 것이 좋습니다.
참고
자체 서명 인증서는 사서함 서버 역할을 제외한 모든 Exchange 2007 서버 역할에 대해 설치됩니다.
자체 서명 인증서 제한 사항
다음 목록에서는 자체 서명 인증서의 몇 가지 제한 사항을 설명합니다.
만료 날짜: Exchange 2007 SP2(서비스 팩 2) 이전의 Exchange 2007 버전에서 만든 자체 서명 인증서는 만든 날짜부터 1년 동안 유효하며 Exchange 2007 SP2 이상 버전에서 만든 자체 서명 인증서는 만든 날짜부터 5년 동안 유효합니다. 인증서가 만료되면 New-ExchangeCertificate cmdlet를 사용하여 새 자체 서명 인증서를 수동으로 생성해야 합니다.
외부에서 Outlook 사용: 외부에서 Outlook 사용 기능에서는 자체 서명 인증서를 사용할 수 없습니다. 외부에서 Outlook 사용 기능을 사용하려면 Windows PKI 또는 상업 분야의 신뢰할 수 있는 타사로부터 인증서를 받는 것이 좋습니다.
Exchange ActiveSync: 자체 서명 인증서는 Microsoft Exchange ActiveSync 장치와 Exchange 서버 간의 통신을 암호화하는 데 사용할 수 없습니다. Exchange ActiveSync에 사용하려면 Windows PKI 또는 상업 분야의 신뢰할 수 있는 타사로부터 인증서를 받는 것이 좋습니다.
Outlook Web Access: Microsoft Outlook Web Access 사용자의 경우, Outlook Web Access 보안 유지를 위해 사용하고 있는 인증서를 신뢰할 수 없다는 메시지가 나타납니다. 클라이언트가 신뢰하는 기관에서 서명한 인증서가 아니므로 이러한 오류가 발생합니다. 사용자는 이 메시지를 무시하고 자체 서명 인증서를 Outlook Web Access에 사용할 수 있습니다. 하지만 Windows PKI 또는 상업 분야의 신뢰할 수 있는 타사로부터 인증서를 받는 것이 좋습니다.
인증서 만료
자체 서명 인증서는 클라이언트 액세스 서버 역할을 설치한 후 1년 또는 Exchange 2007 SP2 이전의 Exchange 2007 버전에서 해당 인증서를 만든 후 1년 동안 유효합니다. Exchange 2007 SP2 이상 버전에서 만든 자체 서명 인증서는 만든 날짜부터 5년 동안 유효합니다. 기본 자체 서명 인증서를 사용하는 내부 구성 요소는 자체 서명 인증서가 만료되어도 계속 작동합니다. 그러나 자체 서명 인증서가 만료되면 이벤트 뷰어에 다음 이벤트가 기록됩니다.
이벤트 유형: 오류 |
이벤트 원본: MSExchangeTransport |
이벤트 범주: TransportService |
이벤트 ID: 12014 |
날짜: 날짜 |
시간: 시간 |
사용자: 해당 없음 |
컴퓨터: Server_Name |
설명: Microsoft Exchange가 로컬 컴퓨터의 개인 저장소에서 도메인 이름 Domain_Name이(가) 포함된 인증서를 찾을 수 없습니다. 그러므로 FQDN 매개 변수 FQDN이(가) 있는 커넥터 기본 서버에 대해 STARTTLS SMTP 동사를 지원할 수 없습니다. 커넥터의 FQDN을 지정하지 않은 경우 컴퓨터의 FQDN이 사용됩니다. 커넥터 구성 및 설치된 인증서를 확인하여 해당 FQDN에 대한 도메인 이름이 포함된 인증서가 있는지 확인하십시오. 이 인증서가 있는 경우 Enable-ExchangeCertificate -Services SMTP를 실행하여 Microsoft Exchange Transport Service에 인증서 키에 대한 액세스 권한이 있는지 확인하십시오. 자세한 내용은 https://go.microsoft.com/fwlink/?LinkID=34258의 이벤트 및 오류 메시지 센터를 참조하십시오. |
이벤트 유형: 경고 |
이벤트 원본: MSExchangeTransport |
이벤트 범주: TransportService |
이벤트 ID: 12015 |
날짜: 날짜 |
시간: 시간 |
사용자: 해당 없음 |
컴퓨터: Server_Name |
설명: 내부 전송 인증서가 만료되었습니다. 손도장:Thumb_Print_Value 자세한 내용은 https://go.microsoft.com/fwlink/?LinkID=34258의 이벤트 및 오류 메시지 센터를 참조하십시오. |
따라서 만료되기 전에 자체 서명 인증서를 갱신하는 것이 가장 좋습니다. Exchange 관리 셸을 사용하여 자체 서명 인증서를 복제하면 갱신이 가능합니다. 인증서를 복제하려면 우선 Get-ExchangeCertificate cmdlet를 사용하여 도메인에 대한 현재 기본 인증서의 손도장을 가져옵니다.
참고
다음 cmdlet는 로컬 Exchange 2007 클라이언트 액세스 서버에서 실행해야 하며 원격으로는 실행할 수 없습니다.
Get-ExchangeCertificate -DomainName CAS01.contoso.com
서비스 아래의 인증서 목록에서 "W**"**가 포함된 인증서(예: IP.WS)를 선택합니다. "W"는 IIS에 인증서가 할당되었음을 나타냅니다.
그런 다음 아래의 cmdlet를 실행하여 인증서를 복제합니다.
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate
새로 복제된 인증서는 cmdlet를 실행한 날짜로부터 1년 후의 날짜가 새로운 만료 날짜로 스탬프 처리됩니다.
자체 서명 인증서 사용 가능
다양한 프로토콜 및 상황에서 자체 서명 인증서를 사용하여 통신을 암호화할 수 있습니다. 그리고 도메인에 가입한 Outlook 클라이언트의 경우 자체 서명 인증서를 사용하여 전자 메일 메시지는 물론 클라이언트와 Exchange 서버 간의 통신 채널을 암호화할 수 있습니다. 앞에서 말했듯이 Outlook Web Access 사용자도 자체 서명 인증서를 사용하여 통신 채널을 암호화할 수 있습니다. 또한 서로 다른 Active Directory 디렉터리 서비스 사이트에 있는 여러 클라이언트 액세스 서버 간의 통신을 암호화하는 데에도 자체 서명 인증서를 사용할 수 있습니다. CAS-CAS 프록싱이라고도 하는 이 시나리오에서는 레지스트리를 수정해야 인증서가 올바로 작동합니다.
도메인에 가입한 Outlook 2007 클라이언트에서 자체 서명 인증서 사용
도메인에 가입한 Microsoft Office Outlook 2007 클라이언트를 추가로 구성하지 않아도 자체 서명 인증서는 작동합니다. 이러한 클라이언트에서 자동 검색 서비스 연결에 사용하는 URL은 모두 클라이언트 액세스 서버의 내부 FQDN을 참조하므로 보안 경고를 받지 않고도 클라이언트가 연결될 수 있습니다. 자체 서명 인증서에는 서버의 NetBIOS 이름에 매핑되는 일반 이름이 있고, 자체 서명 인증서의 주체 대체 이름 필드에는 서버의 FQDN이 추가 DNS 이름으로 저장되어 있습니다. 따라서 인증서가 만료되지 않았으며 연결 중인 서버의 FQDN이 인증서의 주체 대체 이름 필드에 저장되어 있으므로, 도메인에 가입한 클라이언트는 인증서 경고를 받지 않고 자동 검색 서비스에 연결될 수 있습니다. 클라이언트가 신뢰할 수 있는 루트까지 자체 서명 인증서의 유효성을 검사할 수 없더라도, 도메인에 가입한 클라이언트가 자체 서명 인증서를 사용하여 자동 검색 서비스에 연결될 경우 이 유효성 검사 오류는 허용됩니다. 단, 자체 서명 인증서의 주요 목적은 Outlook 2007 클라이언트에서 즉시 Exchange 2007 기능을 사용할 수 있도록 올바른 인증서를 긴급하게 얻어야 하는 경우 이를 간편하게 하기 위함이므로 장기간 사용하는 것은 좋지 않습니다.
프록싱에서 자체 서명 인증서 사용
프록싱 시나리오에서 자체 서명 인증서를 사용하여 클라이언트와 서버 간의 통신을 암호화하려면 여러 단계를 거쳐야 합니다. 프록싱에 대한 자세한 내용은 프록시 및 리디렉션 이해를 참조하십시오.
프록싱에서 자체 서명 인증서를 사용할 수 있도록 하려면 레지스트리를 수정해야 합니다. Exchange ActiveSync 및 Microsoft Office Outlook 2007과 같은 대부분의 클라이언트 응용 프로그램에서는 자체 서명 인증서를 잘못된 것으로 간주하므로 클라이언트가 Exchange 2007 클라이언트 액세스 서버에 연결될 때 클라이언트에 메시지가 나타납니다. Exchange ActiveSync와 Outlook Web Access 모두 한 클라이언트 액세스 서버에서 다른 클라이언트 액세스 서버로의 프록싱을 지원합니다. 자체 서명 인증서를 사용할 때 프록시를 연결하려면 인터넷 연결 클라이언트 액세스 서버에서 다음과 같은 레지스트리 키를 구성해야 합니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1
이러한 레지스트리 키를 통해 인터넷 연결 클라이언트 액세스 서버가 아닌 서버에 설치된 자체 서명 인증서를 사용하여 인터넷 연결 클라이언트 액세스 서버를 인터넷 연결 클라이언트 액세스 서버가 아닌 서버에 연결할 수 있습니다. 인터넷 연결 클라이언트 액세스 서버에서 클라이언트 통신을 위해 자체 서명 인증서를 사용할 경우 앞에서 언급한 모든 제한 사항이 적용됩니다.
UNRESOLVED_TOKEN_VAL(exRegistry)
자체 서명 인증서 사용 불가
도메인에 가입한 Microsoft Office Outlook 2007 클라이언트 및 Outlook Web Access에 자체 서명 인증서를 사용할 수는 있지만, 조직 내 여러 Exchange 2007 서버 간의 통신을 암호화하기 위한 목적 이외에는 이 인증서를 장기간 사용하지 않는 것이 좋습니다. 모든 기능은 아니더라도 Exchange ActiveSync, Outlook Web Access 및 외부에서 Outlook 사용 등 여러 클라이언트 액세스 서버 기능을 지원하려면 Windows PKI 또는 신뢰할 수 있는 타사 CA로부터 인증서를 얻은 후 이 인증서를 각 컴퓨터나 장치의 신뢰할 수 있는 루트 저장소로 가져오는 것이 좋습니다.
중요
외부에서 Outlook 사용 기능이나 Exchange ActiveSync에서는 자체 서명 인증서를 사용할 수 없습니다.
자세한 내용
SSL, 인증서 및 Exchange 2007에 대한 자세한 내용은 다음 항목을 참조하십시오.