Exchange Server 서비스에 인증서 할당Assign certificates to Exchange Server services

Exchange 서버에 인증서를 설치한 후에는 Exchange 서버에서 암호화에 인증서를 사용할 수 있도록 먼저 하나 이상의 Exchange 서비스에 인증서를 할당 해야 합니다.After you install a certificate on an Exchange server, you need to assign the certificate to one or more Exchange services before the Exchange server is able to use the certificate for encryption. EAC (Exchange 관리 센터)의 서비스에 인증서를 할당 하거나 Exchange Management Shell을 사용할 수 있습니다.You can assign certificates to services in the Exchange admin center (EAC) or in the Exchange Management Shell. 서비스에 인증서를 할당 하면 할당을 제거할 수 없습니다.Once you assign a certificate to a service, you can't remove the assignment. 특정 서비스에 대 한 인증서를 더 이상 사용 하지 않으려면 서비스에 다른 인증서를 할당 한 다음 사용 하지 않을 인증서를 제거 해야 합니다.If you no longer want to use a certificate for a specific service, you need to assign another certificate to the service, and then remove the certificate that you don't want to use.

다음 표에는 사용 가능한 Exchange 서비스에 대 한 설명이 나와 있습니다.The available Exchange services are described in the following table.


서비스Service Uses
IISIIS HTTP를 사용 하는 내부 및 외부 클라이언트 연결에 대 한 TLS 암호화TLS encryption for internal and external client connections that use HTTP. 여기에는 다음이 포함됩니다.This includes:
AutodiscoverAutodiscover
Exchange ActiveSyncExchange ActiveSync
Exchange 관리 센터Exchange admin center
Exchange Web ServicesExchange Web Services
OAB (오프 라인 주소록) 배포Offline address book (OAB) distribution
Outlook 외부에서 사용(HTTP를 통한 RPC)Outlook Anywhere (RPC over HTTP)
Outlook HTTP를 통한 MAPIOutlook MAPI over HTTP
웹용 OutlookOutlook on the web
아닌가요IMAP IMAP4 클라이언트 연결에 대 한 TLS 암호화TLS encryption for IMAP4 client connections.
I m a p 4에 대 한 와일드 카드 인증서를 IMAP4 서비스에 할당 하지 않습니다.Don't assign a wildcard certificate to the IMAP4 service. 대신, set-imapsettings cmdlet을 사용 하 여 클라이언트가 IMAP4 서비스에 연결 하는 데 사용 하는 FQDN (정규화 된 도메인 이름)을 구성 합니다.Instead, use the Set-ImapSettings cmdlet to configure the fully qualified domain name (FQDN) that clients use to connect to the IMAP4 service.
창을POP POP3 클라이언트 연결에 대 한 TLS 암호화TLS encryption for POP3 client connections.
POP3 서비스에 와일드 카드 인증서를 할당 하지 마십시오.Don't assign a wildcard certificate to the POP3 service. 대신, set-popsettings cmdlet을 사용 하 여 클라이언트가 POP3 서비스에 연결 하는 데 사용 하는 FQDN을 구성 합니다.Instead, use the Set-PopSettings cmdlet to configure the FQDN that clients use to connect to the POP3 service.
SMTPSMTP 외부 SMTP 클라이언트 및 서버 연결용 TLS 암호화TLS encryption for external SMTP client and server connections.
Exchange와 다른 메시징 서버 간의 상호 TLS 인증Mutual TLS authentication between Exchange and other messaging servers.
인증서를 SMTP에 할당할 때 내부 Exchange 서버 간에 SMTP 통신을 암호화 하는 데 사용 되는 기본 Exchange 자체 서명 된 인증서를 바꿀지 묻는 메시지가 표시 됩니다.When you assign a certificate to SMTP, you're prompted to replace the default Exchange self-signed certificate that's used to encrypt SMTP communication between internal Exchange servers. 일반적으로 기본 SMTP 인증서를 바꿀 필요는 없습니다.Typically, you don't need to replace the default SMTP certificate.
UM(통합 메시징)Unified Messaging (UM) Exchange 2016 사서함 서버의 백 엔드 UM 서비스에 대 한 클라이언트 연결에 대 한 TLS 암호화TLS encryption for client connections to the backend UM service on Exchange 2016 Mailbox servers.
서비스의 UM 시작 모드 속성이 TLS 또는 Dual로 설정 된 경우에만 UM 서비스에 인증서를 할당할 수 있습니다.You can only assign a certificate to the UM service when the UM startup mode property of the service is set to TLS or Dual. UM 시작 모드가 기본값 TCP로 설정 된 경우에는 UM 서비스에 인증서를 할당할 수 없습니다.If the UM startup mode is set to the default value TCP, you can't assign the certificate to the UM service. (참고: Exchange 2019에서는 UM을 사용할 수 없습니다.)(Note: UM is not available in Exchange 2019). 자세한 내용은 사서함 서버에서 시작 모드 구성을참조 하십시오.For more information, see Configure the Startup Mode on a Mailbox Server.
통합 메시징 호출 라우터 (UMCallRouter)Unified Messaging Call Router (UMCallRouter) Exchange 2016 사서함 서버의 클라이언트 액세스 서비스에 있는 UM 통화 라우터 서비스에 대 한 클라이언트 연결에 대 한 TLS 암호화TLS encryption for client connections to the UM Call Router service in the Client Access services on Exchange 2016 Mailbox servers.
서비스의 UM 시작 모드 속성이 TLS 또는 Dual로 설정 된 경우에만 UM 통화 라우터 서비스에 인증서를 할당할 수 있습니다.You can only assign a certificate to the UM Call Router service when the UM startup mode property of the service is set to TLS or Dual. UM 시작 모드가 기본값 TCP로 설정 된 경우에는 UM 통화 라우터 서비스에 인증서를 할당할 수 없습니다.If the UM startup mode is set to the default value TCP, you can't assign the certificate to the UM Call Router service. (참고: Exchange 2019에서는 UM을 사용할 수 없습니다.)(Note: UM is not available in Exchange 2019). 자세한 내용은 클라이언트 액세스 서버에서 시작 모드 구성을참조 하십시오.For more information, see Configure the Startup Mode on a Client Access Server.

시작하기 전에 알아야 할 내용What do you need to know before you begin?

  • 예상 완료 시간: 5분.Estimated time to complete: 5 minutes.

  • 이 항목의 절차를 수행한 후 IIS (인터넷 정보 서비스)를 다시 시작 해야 할 수 있습니다.After you do the procedures in this topic, you might need to restart Internet Information Services (IIS). 일부 시나리오에서는 Exchange에서 이전 인증서를 계속 사용 하 여 웹에서 Outlook (이전의 Outlook Web App) 인증에 사용 되는 쿠키를 암호화 하 고 암호를 해독할 수 있습니다.In some scenarios, Exchange might continue to use the previous certificate for encrypting and decrypting the cookie that's used for Outlook on the web (formerly known as Outlook Web App) authentication. 계층 4 부하 분산을 사용 하는 환경에서 IIS를 다시 시작 하는 것이 좋습니다.We recommend restarting IIS in environments that use Layer 4 load balancing.

  • 구독 된 Edge 전송 서버에서 CA가 발급 한 인증서를 갱신 하거나 대체 하는 경우 이전 인증서를 제거한 다음 Edge 구독을 삭제 하 고 다시 만들어야 합니다.If you renew or replace a certificate that was issued by a CA on a subscribed Edge Transport server, you need to remove the old certificate, and then delete and recreate the Edge Subscription. 자세한 내용은 Edge 구독 프로세스를 참조 하세요.For more information, see Edge Subscription process.

  • 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

  • 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다.You need to be assigned permissions before you can perform this procedure or procedures. 필요한 사용 권한을 확인 하려면 클라이언트 및 모바일 장치 사용 권한 항목의 "클라이언트 액세스 서비스 보안" 항목을 참조 하십시오.To see what permissions you need, see the "Client Access services security" entry in the Clients and mobile devices permissions topic.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

문제가 있나요? Exchange 포럼에서 도움을 요청하세요. Exchange Server, Exchange Online 또는 Exchange Online Protection 포럼을 방문하세요.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

EAC를 사용 하 여 Exchange 서비스에 인증서 할당Use the EAC to assign a certificate to Exchange services

  1. EAC를 열고 서버 > 인증서로 이동 합니다.Open the EAC, and navigate to Servers > Certificates.

  2. 서버 선택 목록에서 인증서가 포함 된 Exchange 서버를 선택 합니다.In the Select server list, select the Exchange server that holds the certificate.

  3. 구성할 인증서를 선택 하 고 편집 아이콘](../../media/ITPro_EAC_EditIcon.png) 편집 ![을 클릭 합니다.Select the certificate that you want to configure, and then click Edit Edit icon. 인증서의 상태 값이 올바른지확인 해야 합니다.The certificate needs to have the Status value Valid.

  4. 서비스 탭의 이 인증서를 할당할 서비스 지정 섹션에서 서비스를 선택 합니다.On the Services tab, in the Specify the services you want to assign this certificate to section, select the services. 서비스를 추가할 수는 있지만이를 제거할 수는 없습니다.Remember, you can add services, but you can't remove them. 작업을 마친 후 저장을 클릭합니다.When you're finished, click Save.

Exchange 관리 셸을 사용 하 여 Exchange 서비스에 인증서를 할당 합니다.Use the Exchange Management Shell to assign a certificate to Exchange services

Exchange 서비스에 인증서를 할당 하려면 다음 구문을 사용 합니다.To assign a certificate to Exchange services, use the following syntax:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

이 예에서는 지문 값 434AC224C8459924B26521298CE8834C514856AB 이 있는 인증서를 POP, IMAP, IIS 및 SMTP 서비스에 할당 합니다.This example assigns the certificate that has the thumbprint value 434AC224C8459924B26521298CE8834C514856AB to the POP, IMAP, IIS, and SMTP services.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

Get-exchangecertificate cmdlet을 사용 하 여 인증서 지문 값을 찾을 수 있습니다.You can find the certificate thumbprint value by using the Get-ExchangeCertificate cmdlet.

작동 여부는 어떻게 확인하나요?How do you know this worked?

하나 이상의 Exchange 서비스에 인증서가 성공적으로 할당 되었는지 확인 하려면 다음 절차 중 하나를 사용 합니다.To verify that you have successfully assigned a certificate to one or more Exchange services, use either of the following procedures:

  • EAC의 서버 > 인증서에서 인증서를 설치한 서버가 선택 되었는지 확인 합니다.In the EAC at Servers > Certificates, verify the server where you installed the certificate is selected. 인증서를 선택 하 고 세부 정보 창에서 서비스에 할당 됨 속성 에 선택한 서비스가 포함 되어 있는지 확인 합니다.Select the certificate, and in the details pane, verify that the Assigned to services property contains the services that you selected.

  • 인증서를 설치한 서버의 Exchange 관리 셸에서 다음 명령을 실행 하 여 인증서에 대 한 Exchange 서비스를 확인 합니다.In the Exchange Management Shell on the server where you installed the certificate, run the following command to verify the Exchange services for the certificate:

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services