다음을 통해 공유

Office Online Server 및 SharePoint Server 2016 간에 서버 간 인증 구성

  • 아티클

요약: Office Online Server 및 SharePoint 2016에 서버 간 인증을 구성합니다.

Office Online Server 및 SharePoint Server 2016 간의 서버 간 인증은 두 서버 간에 트러스트를 설정합니다. 이 트러스트는 SQL Server Power Pivot for SharePoint에 속하는 일부 Excel Online 기능(예: ODC(Office 데이터 연결) 파일 지원 및 IT 관리 대시보드)에 대한 필수 구성 요소입니다. 이 문서에서는 이 트러스트를 설정하는 단계를 안내합니다.

서버 간 인증을 구성하려면 Office Online Server 팜 및 SharePoint Server 팜이 같은 Active Directory 포리스트에 있어야 합니다. 또한 SharePoint Server 팜에는 User Profile Service 응용 프로그램이 구성되어 있어야 합니다.

서버 간 인증을 구성하는 데 필요한 기본 동작은 다음과 같습니다.

  1. Office Online Server로 인증서 가져오기
  2. SharePoint Server에서 사용하기 위해 인증서 내보내기
  3. 서버 간 인증에 인증서를 사용하도록 Office Online Server 구성
  4. 서버 간 인증에 인증서를 사용하도록 SharePoint Server 구성

먼저 Office Online Server로 인증서를 가져옵니다.

Office Online Server로 인증서 가져오기

첫 번째 단계는 Office Online Server에서 사용할 수 있도록 인증서를 가져오는 것입니다. 인증서 가져오기네트워크 서비스 권한 부여에 따라 Office Online Server 팜의 각 서버에서 주요 절차를 사용합니다.

인증서 가져오기

개인 키 SSL 인증서 또는 자체 서명된 인증서를 사용할 수 있습니다. 개인 키 SSL 인증서를 사용하는 것이 좋습니다. 다음 섹션에서는 두 인증서에 대한 절차를 모두 제공합니다. 사용 중인 인증서를 선택합니다.

개인 키 SSL 인증서 사용

Office Online Server를 실행 중인 각 서버에 인증서를 설치합니다.

Office Online 서버에서 인증서를 설치하려면

  1. Office Online Server를 실행 중인 서버에서 IIS 관리자를 엽니다.
  2. 왼쪽 창에서 서버 이름을 클릭합니다.
  3. 서버 인증서를 두 번 클릭합니다.
  4. 작업 창에서 가져오기를 클릭합니다.
  5. 사용하려는 SSL 인증서의 경로파일 이름을 입력합니다.
  6. 암호 상자에 인증서의 암호를 입력합니다.
  7. 인증서 저장소 선택 드롭다운 목록에서 개인을 선택했는지 확인합니다.
  8. 확인을 클릭합니다.

Office Online을 실행 중인 각 서버에서 이 절차를 반복합니다.

자체 서명된 인증서 사용

자체 서명된 인증서를 사용하는 경우 신뢰할 수 있는 루트 인증 기관에 추가해야 합니다.

신뢰할 수 있는 루트 인증 기관으로 인증서를 가져오려면

  1. Microsoft Management Console을 엽니다.
  2. 파일 메뉴에서 스냅인 추가/제거를 선택합니다.
  3. 인증서를 선택한 다음 추가를 클릭합니다.
  4. 컴퓨터 계정 옵션을 선택하고 다음을 클릭한 후 마침을 클릭합니다.
  5. 확인을 클릭합니다.
  6. 인증서(로컬 컴퓨터)를 확장하고 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭하고 가져오기를 클릭합니다.
  7. 다음을 클릭합니다.
  8. 인증서의 위치를 찾아 선택하고 다음을 클릭합니다.
  9. 인증서 암호를 입력하고 다음을 클릭한 후 마침을 클릭합니다.

다음 절차를 위해 Microsoft Management Console을 열어둡니다.

키를 사용하기 위한 네트워크 서비스 권한 부여

다음으로 MMC(Microsoft Management Console)를 사용하여 개인 키를 사용하기 위한 네트워크 서비스 권한을 부여합니다.

개인 키를 사용하기 위한 네트워크 서비스 사용 권한을 부여하려면

  1. Microsoft Management Console을 엽니다.
  2. 파일 메뉴에서 스냅인 추가/제거를 선택합니다.
  3. 인증서를 선택한 다음 추가를 클릭합니다.
  4. 컴퓨터 계정 옵션을 선택하고 다음을 클릭한 후 마침을 클릭합니다.
  5. 확인을 클릭합니다.
  6. 인증서(로컬 컴퓨터), 개인을 차례로 확장한 후 인증서를 클릭합니다.
  7. 방금 가져온 인증서를 마우스 오른쪽 단추로 클릭한 다음 모든 작업을 클릭하고 개인 키 관리를 클릭합니다.
  8. 사용 권한 대화 상자에서 추가를 클릭합니다.
  9. 네트워크 서비스를 입력하고 확인을 클릭합니다.
  10. 확인을 클릭합니다.

인증서 가져오기네트워크 서비스 권한 부여에 따라 Office Online Server 팜의 각 서버에서 주요 절차를 사용해야 합니다.

다음 절차를 위해 Microsoft Management Console을 열어둡니다.

SharePoint Server에서 사용하기 위해 인증서 내보내기

다음 단계는 Office Online Server를 신뢰할 수 있는 토큰 발급자로 등록하는 데 사용할 수 있도록 인증서를 내보내는 것입니다.

SharePoint Server 2016에서 사용하기 위해 인증서를 내보내려면

  1. 방금 가져온 인증서를 마우스 오른쪽 단추로 클릭한 다음 모든 작업을 클릭하고 내보내기를 클릭합니다.
  2. 시작 페이지에서 다음을 클릭합니다.
  3. 아니요, 개인 키를 내보내지 않습니다. 옵션을 선택한 후 다음을 클릭합니다.
  4. DER로 인코딩된 X.509 바이너리(.CER) 옵션을 선택한 후 다음을 클릭합니다.
  5. 내보낼 파일의 경로이름을 입력하고 다음을 클릭합니다.
  6. 마침, 확인을 차례로 클릭합니다.

만든 인증서 파일을 SharePoint Server에서 액세스할 수 있는 위치에 복사합니다.

다음으로 이 인증서를 Office Online Server에 대한 S2S 인증서로 지정해야 합니다.

서버 간 인증에 인증서를 사용하도록 Office Online Server 구성

Office Online Server에 대한 S2S 인증서를 지정하려면

  1. 관리자 권한으로 Microsoft PowerShell 창을 엽니다.
  2. 다음을 입력합니다. 여기서 <friendlyName> 은 사용 중인 인증서의 식별 이름입니다.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Office Online Server에서 HTTP 사용

Office Online Server 팜에 대해 HTTPS 대신 HTTP를 사용하는 경우 Office Online Server에서의 아웃바운드 HTTP 연결을 허용해야 합니다. (SSL을 사용하는 경우 이 절차를 건너뛰어도 됩니다.)

Office Online Server에서의 아웃바운드 HTTP 연결을 사용하도록 설정하려면 다음 PowerShell 명령을 실행합니다.

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

중요

Office Online Server는 OAuth 토큰을 사용하여 SharePoint 또는 Exchange Server와 같은 외부 서비스와 통신하므로 환경에 관계없이 HTTPS(TLS)를 사용하는 것이 좋습니다. OAuth 토큰에는 공격자가 가로챌 수 있고 재생할 수 있는 정보가 포함되어 있으며, 공격자에게 사용자가 Office Online Server에 요청하는 것과 동일한 권한을 부여합니다.

ODC 파일에 HTTP 경로 사용

ODC 파일을 HTTP 경로에 저장하려는 경우 HTTP를 통한 보안 저장소 연결을 허용하도록 Office Online Server를 구성해야 합니다.

중요

HTTP를 통한 보안 저장소 연결을 사용할 경우 ODC 파일의 내용은 일반 텍스트로 전달됩니다. ODC 파일에는 데이터베이스 연결 정보가 포함되며 암호가 포함될 수 있습니다. MICROSOFT는 HTTPS를 사용하여 주석 처리를 처리합니다.

보안 저장소에서 HTTP 경로를 사용하도록 Office Online Server를 설정하려면 다음 PowerShell 명령을 실행합니다.

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

서버 간 인증에 인증서를 사용하도록 SharePoint Server 구성

SharePoint Server 및 SQL Server를 신뢰할 수 있는 토큰 발급자로 등록해야 합니다. 이 작업은 PowerShell을 통해 수행합니다. 다음은 사용할 매개 변수입니다.

  • <SPSiteURL> - 최상위 사이트 모음의 URL입니다.
  • <CertificateIssuer> - 인증서 발급자의 이름입니다. IIS 관리자에서 인증서의 세부 정보 탭을 확인하여 이 항목을 찾을 수 있습니다.
  • <X509Certificate> - 내보낸 인증서 파일의 경로 및 파일 이름입니다.
  • <RegisteredIssuer> - 신뢰할 수 있는 토큰 발급자의 GUID입니다. SharePoint Server는 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195이고 SQL Server는 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a입니다.

각 <RegisteredIssuer> GUID에 대해 한 번씩 다음 절차를 두 번 수행합니다.

신뢰할 수 있는 토큰 발급자를 등록하려면

  1. 관리자 권한으로 SharePoint 2016 관리 셸을 엽니다.
  2. 위에서 언급한 매개 변수를 사용하여 다음 스크립트를 실행합니다.
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. 자체 서명된 인증서를 사용하는 경우 다음 명령을 실행합니다.
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

참고 항목

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission