Exchange Server 2007 자체서명인증서 구성
안녕하세요. Juki입니다.
지난 시간에 Exchange Server 2007에서 TLS 보안통신을 위해서 필요한 디지털 인증서의 종류가 어떠한 것들이 있는지를 알아보았습니다.(자체서명인증서, Windows PKI, 신뢰되는 타사 공인 인증서)
이 중에서 이번 시간에는 Exchange Sever 2007의 자체서명인증서의 구성에 대해서 알아보도록 하겠습니다.
자! 그러면 자체서명인증서는 어떻게 생성하는 것일 까요?
지난 시간 Blog를 보신 분이라면 이미 답을 알고 계실 것이지만, 못 보신 분들을 위해서 다시 한번 말씀 드리면, 자체서명인증서는 Exchange Server 2007을 설치 시에 해당 응용프로그램에 의해서 자동으로 설치가 되게 됩니다.
따라서 관리자가 별도의 인증서 설치 및 구성을 위한 작업을 하실 필요는 없습니다.
그러나 자체서명인증서는 기본적으로 사용기간이 1년으로 제한이 되어있으므로 1년 단위로 인증서 갱신 작업이 필요합니다.
그럼 현재 서버에 설치되어져 있는 자체서명인증서에 대한 정보를 확인해 보도록 하겠습니다.
EMS(Exchange Management Shell)를 열고 아래와 같은 Cmdlet을 입력합니다.
Get-ExchangeCertifcate -DomainName "E2k701.Bigfirm.biz" | fl |
위 그림에서 보면 현재 이 서버의 FQDN은 E2k701.Bigfirm.biz이고 해당 서버에서 사용중인 자체서명인증서는 2009년 6월 23일 오후 6:10:32부터 2010년 6월 23일 오후 6:10:32까지 사용이 가능합니다.
또한 해당 인증서는 IMAP, POP, IIS, SMTP 서비스에 사용이 되어지고 있음을 확인하실 수가 있습니다.
자! 그러면 이제 이 인증서를 어떻게 갱신을 하는지에 대해서 알아보도록 하겠습니다.
먼저 갱신할 자체서명인증서의 손도장(Thumbprint)를 확인하고 가져와서 아래 그림과 같은 Cmdlet을 EMS에 입력합니다.
위 그림과 같이 해당 Cmdlet을 입력한 후 실행하면 확인 메시지가 표시됩니다.
이것은 기존 인증서가 SMTP 서비스에 사용이 되고 있기 때문입니다.
여기서 기본값이 "Y"이므로 Enter를 누르면 됩니다.
그러면 아래 그림과 같이 기존 인증서가 새로운 인증서로 갱신이 됩니다.
아래 그림에서와 같이 새롭게 갱신된 인증서는 기본적으로 IMAP, POP, SMTP 서비스에 Enabled 되어 있습니다.
그러나 IIS Service는 아래와 같은 Cmdlet을 사용하여 수동으로 Enable 해 주어야 합니다.
Enable-ExchangeCertificat -Thumbprint "A9797B836EC827546007602586496274887B8D91" -Service IIS |
이렇게 IIS까지 새로운 자체서명인증서로 서비스를 Enable 해주면 아래 그림과 같이 모든 서비스가 새로운 자체서명인증서로 대체된 것을 확인하실 수가 있습니다.
이렇게 모든 서비스에 대하여 새로 갱신된 자체서명인증서로 대체가 된 것을 확인 후에는 기존 인증서를 삭제할 수가 있습니다.
기존 인증서를 제거하기 위해서는 아래와 같은 Cmdlet을 사용할 수가 있습니다.
Remove-ExchangeCertificate -Thumbprint "859BD1B592957F5B86BA63DA3B400710247BD66D" |
이것으로 자체서명인증서 갱신에 대해서 모두 알아보았습니다.
다음시간에는 Windows 인증서 서비스를 이용한 인증서 구성에 대해서 알아보도록 하겠습니다.
[참고문서]
Get-ExchangeCertificate
https://technet.microsoft.com/ko-kr/library/bb124950.aspx
Enable-ExchangeCertificate
https://social.technet.microsoft.com/Search/ko-KR/?query=enable-ExchangeCertificate&ac=3
Remove-ExchangeCertificate
https://technet.microsoft.com/ko-kr/library/aa997569.aspx