다음을 통해 공유


SharePoint Server에서 팜 간에 신뢰 인증서 교환

적용 대상:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint Server에서 팜은 다른 SharePoint Server 팜에 게시된 서비스 애플리케이션에 연결하고 사용할 수 있습니다. 이렇게 하려면 팜에서 신뢰 인증서를 교환해야 합니다.

두 팜이 모두 이 교환에 참가해야 서비스 응용 프로그램 공유가 작동합니다.

팜 간에 서비스 응용 프로그램을 공유하는 방법에 대한 자세한 내용은 SharePoint Server에서 팜 간에 서비스 응용 프로그램 공유를 참조하십시오.

Microsoft PowerShell 명령을 사용하여 팜 간에 인증서를 내보내고 복사해야 합니다. 인증서를 내보내고 복사한 후에는 PowerShell 명령 또는 중앙 관리를 사용하여 팜 내의 트러스트를 관리할 수 있습니다.

이 문서의 지침에서는 다음 조건을 가정합니다.

  • 이러한 절차에 사용되는 서버에서 PowerShell을 실행합니다.
  • 관리자가 프로세스의 모든 단계에 대해 각 팜에서 동일한 서버를 선택하고 사용합니다.
  • UAC(사용자 계정 제어)가 설정된 경우에는 상승된 권한으로 PowerShell 명령을 실행해야 합니다.

이 작업을 시작하기 전에 SharePoint Server의 팜 간에 서비스 응용 프로그램 공유에서 필수 구성 요소에 대한 정보를 검토하세요.

인증서 내보내기 및 복사

소비 팜의 관리자는 게시 팜에 두 신뢰 인증서, 즉 루트 인증서와 STS(보안 토큰 서비스) 인증서를 제공해야 합니다. 게시 팜의 관리자는 소비 팜에 루트 인증서를 제공해야 합니다.

Windows PowerShell 3.0 이상을 통해서만 인증서를 내보내고 복사할 수 있습니다.

소비 팜에서 루트 인증서를 내보내려면

  1. 소비 팜의 SharePoint Server을 실행하는 서버에서 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $CFrootCert = (Get-SPCertificateAuthority).RootCertificate
    
    [System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))
    

    여기서 C:\ConsumingFarmRoot.cer 는 루트 인증서의 경로입니다.

소비 팜에서 STS 인증서를 내보내려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
    
    [System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))
    

    여기서 C:\ConsumingFarmSTS.cer 는 STS 인증서의 경로입니다.

게시 팜에서 루트 인증서를 내보내려면

  1. 게시 팜의 SharePoint Server을 실행하는 서버에서 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $PFrootCert = (Get-SPCertificateAuthority).RootCertificate
    
    [System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))
    

    여기서 C:\PublishingFarmRoot.cer 는 루트 인증서의 경로입니다.

인증서를 복사하려면

  1. 소비 팜의 서버에서 게시 팜의 서버로 루트 인증서 및 STS 인증서를 복사합니다.
  2. 게시 팜의 서버에서 소비 팜의 서버로 루트 인증서를 복사합니다.

PowerShell을 사용하여 신뢰 인증서 관리

팜에서 신뢰 인증서를 관리하려면 트러스트를 설정해야 합니다. 이 섹션에서는 PowerShell 명령을 사용하여 소비 팜과 게시 팜 모두에 대한 신뢰를 설정하는 방법을 설명합니다.

소비 팜에서 트러스트 설정

소비 팜에서 트러스트를 설정하려면 게시자 팜에서 복사한 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들어야 합니다.

소비 팜에서 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"
    
    New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
    

    여기서 각 부분이 나타내는 의미는 다음과 같습니다.

    • <C:\PublishingFarmRoot.cer>은 게시 팜에서 소비 팜으로 복사한 루트 인증서의 경로입니다.
    • <PublishingFarm> 은 게시 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 루트 기관의 이름은 고유해야 합니다.

게시 팜에서 트러스트 설정

게시 팜에서 트러스트를 설정하려면 소비 팜에서 복사한 루트 인증서를 가져와 신뢰할 수 있는 루트 기관을 만들어야 합니다. 그런 후에 소비 팜에서 복사한 STS 인증서를 가져와서 신뢰할 수 있는 서비스 토큰 발급자를 만들어야 합니다.

게시 팜에서 루트 인증서를 가져와서 신뢰할 수 있는 루트 기관을 만들려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"
    
    New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
    

    여기서 각 부분이 나타내는 의미는 다음과 같습니다.

    • <C:\ConsumingFarmRoot.cer>은 소비 팜에서 게시 팜으로 복사한 루트 인증서의 이름 및 위치입니다.
    • <ConsumingFarm> 은 소비 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 루트 기관의 이름은 고유해야 합니다.

게시 팜에서 STS 인증서를 가져와서 신뢰할 수 있는 서비스 토큰 발급자를 만들려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할
    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할
    • PowerShell cmdlet을 실행 중인 서버의 Administrators 그룹
    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하십시오.

  2. SharePoint 관리 셸에서 다음 명령을 실행합니다.

    $stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"
    
    New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
    

    여기서 각 부분이 나타내는 의미는 다음과 같습니다.

    • <C:\ConsumingFarmSTS.cer>은 소비 팜에서 게시 팜으로 복사한 STS 인증서의 경로입니다.
    • <ConsumingFarm> 은 소비 팜을 식별하는 고유한 이름입니다. 신뢰할 수 있는 각 서비스 토큰 발급자의 이름은 고유해야 합니다.

이러한 PowerShell cmdlet에 대한 자세한 내용은 다음 문서를 참조하세요.

스크립트를 사용하여 이 프로세스 부분을 자동화하는 방법에 대한 자세한 내용은 팜 간에 신뢰 인증서 교환을 참조하세요.

중앙 관리를 사용하여 신뢰 인증서 관리

관련 인증서를 이미 내보냈으며 팜으로 복사한 후에만 팜에서 트러스트를 관리할 수 있습니다.

중앙 관리를 사용하여 트러스트를 설정하려면

  1. 이 절차를 수행하는 사용자 계정이 Farm Administrators SharePoint 그룹의 구성원인지 확인합니다.

  2. SharePoint 중앙 관리 웹 사이트에서 보안을 클릭합니다.

  3. 보안 페이지의 일반 보안 섹션에서 트러스트 관리를 클릭합니다.

  4. 트러스트 관계 페이지의 리본 메뉴에서 새로 만들기를 클릭합니다.

  5. 트러스트 관계 설정 페이지에서 다음 단계를 수행합니다.

    • 트러스트 관계의 용도를 설명하는 이름을 지정합니다.

    • 트러스트 관계에 대한 루트 기관 인증서를 찾아 선택합니다. 인증서 내보내기 및 복사에 설명된 대로 Microsoft PowerShell을 사용하여 다른 팜에서 내보낸 루트 기관 인증서여야 합니다.

    • 게시 팜에서 이 작업을 수행하는 경우 트러스트 관계 제공의 확인란을 선택합니다. 토큰 발급자를 설명하는 이름을 입력하고, 인증서 내보내기 및 복사에 설명된 대로 소비 팜에서 복사한 STS 인증서를 찾아 선택합니다.

    • 확인을 클릭합니다.

    트러스트 관계를 설정한 후에는 트러스트를 클릭하고 편집을 클릭하여 토큰 발급자 설명이나 인증서를 수정할 수 있습니다. 트러스트를 삭제하려면 해당 트러스트를 클릭한 다음 삭제를 클릭합니다.

참고 항목

개념

SharePoint Server에서 사용자 인증 방법 계획

기타 리소스

SharePoint Server에서 웹 응용 프로그램 만들기

SharePoint Server에서 AD FS를 사용하여 SAML 기반 클레임 인증 구성