하이브리드 배포에 대한 인증서 요구 사항 이해

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

디지털 인증서는 온-프레미스 Exchange 조직과 Microsoft Office 365 서비스, 다른 온-프레미스 Exchange 서버 및 클라이언트 사이의 통신 보안에서 중요한 부분을 차지합니다. 인증서를 사용하면 한 엔터티가 다른 엔터티의 ID를 신뢰할 수 있습니다. 따라서 클라이언트 또는 서버가 올바른 소스와 통신할 수 있습니다.

하이브리드 배포에서 여러 서비스는 인증서를 사용합니다.

  • AD FS(Active Directory Federation Services)   웹 클라이언트와 페더레이션 서버 프록시 사이의 트러스트를 설정하고, 보안 토큰에 서명하고, 보안 토큰을 해독하는 데에는 신뢰할 수 있는 타사 CA(인증 기관)에서 발급한 인증서가 사용됩니다.

    자세한 내용은 다음을 참조하십시오. 인증서

  • Exchange 페더레이션   하이브리드 배포용으로 구성된 온-프레미스 Exchange Server 2010 SP3(서비스 팩 3) 서버(즉, "하이브리드 서버")와 Microsoft 페더레이션 게이트웨이 간 보안 연결을 만드는 데에는 자체 서명된 인증서가 사용됩니다.

    자세한 내용은 다음을 참조하십시오. 페더레이션 위임 이해

  • Exchange 서비스   Exchange 서버와 클라이언트 사이의 SSL(Secure Sockets Layer) 통신에 대한 보안을 향상시키는 데에는 신뢰할 수 있는 타사 CA에서 발급된 인증서가 사용됩니다. 인증서를 사용하는 서비스에는 Outlook Web App, Exchange ActiveSync, 외부에서 Outlook 사용 및 메시지 전송이 포함됩니다.

  • 기존 Exchange 서버   기존 Exchange 서버에서는 인증서를 사용하여 보안 Outlook Web App 통신, 메시지 전송 등을 지원할 수 있습니다. Exchange 서버에서 인증서를 사용하는 방법에 따라 자체 서명된 인증서를 사용할 수도 있고 신뢰할 수 있는 타사 CA에서 발급된 인증서를 사용할 수도 있습니다.

    자세한 내용은 다음을 참조하십시오. 디지털 인증서 및 SSL 이해

하이브리드 배포에 대한 인증서 요구 사항

하이브리드 배포 구성 시 인증서를 구성해야 합니다. 신뢰할 수 있는 타사 CA로부터 인증서를 구입해야 합니다. AD FS, Exchange 2010 페더레이션, Exchange 2010 서비스 및 Exchange 등의 여러 서비스에 각각 인증서가 필요합니다. 조직에 따라 다음 중 하나를 선택할 수 있습니다.

  • 여러 서버의 모든 서비스에 타사 인증서 사용

  • 서비스를 제공하는 각 서버에 대해 타사 인증서 사용

모든 서비스에 대해 동일한 인증서를 사용할지 또는 각 서비스에 대해 전용 인증서를 사용할지는 조직 및 구현하는 서비스에 따라 결정됩니다. 각 옵션에 대해 고려해야 할 몇 가지 사항은 다음과 같습니다.

  • 여러 서버에서 단일 타사 인증서 사용   여러 서버의 모든 서비스에 대해 단일 타사 인증서를 사용하는 경우 비용은 다소 저렴할지라도 갱신과 교체가 복잡할 수 있습니다. 복잡한 이유는 교체가 필요할 때마다 인증서가 설치된 모든 서버에서 인증서를 교체해야 하기 때문입니다.

  • 각 서버에 대해 단일 타사 인증서 사용   서비스를 호스트하는 각 서버에 대해 전용 인증서를 사용하면 해당 서버의 서비스에 대해서만 특별히 인증서를 구성할 수 있습니다. 인증서를 교체하거나 갱신해야 하는 경우 서비스가 설치된 서버에서만 교체하면 됩니다. 다른 서버에는 영향을 주지 않습니다.

AD FS 서버에는 전용 타사 인증서를 사용하고, 하이브리드 서버의 Exchange 서비스에는 또 다른 인증서를 사용하고, 필요한 경우 Exchange 서버에도 별도의 인증서를 사용하는 것이 좋습니다. 페더레이션된 위임의 일부로 구성된 온-프레미스 페더레이션 트러스트는 기본적으로 자체 서명된 인증서를 사용합니다. 특정 요구 사항이 없는 경우 페더레이션된 위임의 일부로 구성된 페더레이션 트러스트에 타사 인증서를 사용할 필요가 없습니다.

단일 서버에 서비스가 설치된 경우 해당 서버에 대해 여러 개의 FQDN(정규화된 도메인 이름)을 구성해야 할 수도 있습니다. 필요한 수의 FQDN을 사용할 수 있는 인증서를 구입하십시오. 인증서는 주체(사용자) 이름과 하나 이상의 SAN(주체 대체 이름)으로 구성됩니다. 주체 이름은 인증서를 발급받은 FQDN입니다. SAN은 주체 이름 외에 인증서에 추가할 수 있는 추가 FQDN입니다. 5개의 FQDN을 지원하는 인증서가 필요한 경우 5개의 도메인을 추가할 수 있는 인증서를 구입해야 합니다. 이 경우 하나는 주체 이름이고 4개는 SAN입니다.

서비스 서버 FQDN 제안

AD FS(Active Directory Federation Services)(AD FS를 구성하기로 한 경우)

ADFS

sts.contoso.com

자동 검색

하이브리드 서버

autodiscover.contoso.com

전송

하이브리드 서버

Exchange 2010 SP3 하이브리드 서버의 외부 FQDN과 일치하는 레이블(예: hybrid.contoso.com)

외부에서 Outlook 사용

하이브리드 서버

Exchange 2010 SP3 하이브리드 서버의 내부 FQDN과 일치하는 레이블(예: Ex2010.corp.contoso.com).

Exchange 2010 SP3 하이브리드 서버의 내부 호스트 이름과 일치하는 레이블(예: Ex2010)

Outlook Web App (Exchange 2010)

하이브리드 서버

owa.contoso.com

Outlook Web App(기존 Exchange 서버)

기존 Exchange 서버

기존 Exchange 서버의 외부 FQDN과 일치하는 레이블(예: mail.contoso.com)

 © 2010 Microsoft Corporation. 모든 권리 보유.