페더레이션 인증서 갱신
이 항목에서는 페더레이션 트러스트에 사용되는 자체 서명된 페더레이션 인증서를 업데이트하는 방법을 설명합니다.
페더레이션 인증서가 만료되지 않은 경우 작업 페더레이션 인증서 업데이트 섹션의 단계를 수행합니다.
페더레이션 인증서가 이미 만료된 경우 만료된 페더레이션 인증서 바꾸기 섹션의 단계를 수행합니다.
참고
기본적으로 인증서를 갱신한 후 페더레이션 트러스트와 연결된 만료된 인증서를 페더레이션 트러스트 개체에서 제거할 수 없습니다.
페더레이션 트러스트 및 페더레이션에 대한 자세한 내용은 페더레이션을 참조하세요.
시작하기 전에 알아야 할 사항은 무엇인가요?
예상 완료 시간: 10분.
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "페더레이션 및 인증서" 항목을 참조하세요.
이 항목의 절차에서는 Exchange 관리 셸을 사용합니다. 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 organization, see Open the Shell 을 참조하세요.
기존 페더레이션 인증서가 만료되었는지 확인하려면 Exchange 관리 셸에서 다음 명령을 실행합니다.
Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | Format-Table -Auto Thumbprint,NotAfter이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.
경고
문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server 포럼을 방문하세요.
작업 페더레이션 인증서 업데이트
페더레이션 인증서가 만료되지 않은 경우 기존 페더레이션 트러스트를 새 페더레이션 인증서로 업데이트할 수 있습니다.
1단계: 새 페더레이션 인증서 만들기
Exchange 관리 셸에서 다음 명령을 실행하여 새 페더레이션 인증서를 만듭니다.
$SKI = [System.Guid]::NewGuid().ToString("N"); New-ExchangeCertificate -DomainName 'Federation' -FriendlyName "Exchange Delegation Federation" -Services Federation -SubjectKeyIdentifier $SKI -PrivateKeyExportable $true
구문과 매개 변수에 대한 자세한 내용은 New-ExchangeCertificate를 참조하십시오.
명령 출력에는 새 인증서의 지문 값이 포함됩니다. 나머지 단계에서는 이 값이 필요하며 Exchange 관리 셸 창에서 직접 값을 복사할 수 있습니다.
Exchange 관리 셸 창의 아무 곳이나 마우스 오른쪽 단추로 클릭하고 표시되는 대화 상자에서 표시 를 선택합니다.
지문 값을 선택한 다음 Enter 키를 누릅니다.
이 항목의 다른 절차에서는 페더레이션 인증서 지문 값을 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73사용합니다. 인증서 지문 값이 다릅니다.
2단계: 새 인증서를 페더레이션 인증서로 구성
Exchange Management Shell을 사용하여 새 인증서를 페더레이션 인증서로 구성하려면 다음 구문을 사용합니다.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint <Thumbprint> -RefreshMetaData
이 예제에서는 1단계의 인증서 지문 값을 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 사용합니다.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 -RefreshMetaData
자세한 구문 및 매개 변수 정보는 Set-FederationTrust를 참조하세요.
참고: 명령 출력에는 DNS에서 도메인 소유권 증명 TXT 레코드를 업데이트해야 한다는 경고가 포함되어 있습니다. 이 작업은 다음 단계에서 수행합니다.
3단계: 외부 DNS에서 도메인 소유권 TXT 레코드의 페더레이션 증명 업데이트
도메인 소유권 증명 TXT 레코드는 활성화 중에만 확인되므로 지금 이 단계를 안전하게 수행할 수 있습니다(5단계). 그러나 TXT 레코드를 업데이트한 후 다음 단계로 계속 진행하기 전에 업데이트된 TXT 레코드가 전파되는 시간을 허용해야 합니다(TXT 레코드의 TTL 값 또는 TTL 값에 따라).
Exchange 관리 셸에서 다음 명령을 실행하여 필요한 TXT 레코드에 필요한 값을 찾습니다.
Get-FederatedDomainProof -DomainName <Domain> | Format-List Thumbprint,Proof예를 들어 페더레이션된 도메인이 contoso.com 경우 다음 명령을 실행합니다.
Get-FederatedDomainProof -DomainName contoso.com | Format-List Thumbprint,Proof명령 출력은 다음과 같습니다.
Thumbprint : <new certificate thumbprint> (for example, 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73) Proof : <new hash text> (for example, znMfbkgSbOQSsWFdsW+gm3to0nZSdE3zbcPPHGVAqdgsLFGsCPuLHiyVbKoPmgyZKX90NH2g1PbCZH0YTQF6oA==) Thumbprint : <old certificate thumbprint> (for example, CC9BC204BB4DC60D06FC1F10F3C373DC785DA2A5) Proof : <old hash text> (for example, m4gZX7OLr9iOWYJMVjEklQpoSkPb5hSbcFjD7Q3/vsqmdJ2Z+HcSt7j5pzBKFmEW2s27JYr3xsK2POzAI/8Ffw==)명령 출력은 두 개의 도메인 소유권 증명 레코드에 대한 정보를 반환합니다. 하나는 새 인증서에 대한 레코드이고, 다른 하나는 대체하려는 현재 인증서에 대한 정보입니다. 지문 값 및 외부(공용) DNS의 현재 도메인 소유권 증명 TXT 레코드에 구성된 해시 텍스트 값으로 어느 것을 알 수 있습니다.
외부 DNS에서 도메인 소유권 TXT 레코드의 페더레이션 증명을 업데이트합니다. 지침은 DNS 공급자에 따라 다르지만 현재 TXT 레코드를 편집하여 현재 해시 텍스트 값을 새 해시 텍스트 값으로 바꿀 수 있습니다. 자세한 내용은 Office 365 대한 외부 도메인 이름 시스템 레코드의 Exchange Online 섹션을 참조하세요.
4단계: 모든 Exchange 서버에 새 페더레이션 인증서 배포 확인
Exchange는 새 페더레이션 인증서를 모든 서버에 자동으로 배포하지만, 계속하려면 배포를 확인해야 합니다.
Exchange Management Shell을 사용하여 새 페더레이션 인증서의 배포를 확인하려면 다음 명령을 실행합니다.
$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match 'Federation'}} | Format-List Identity,Thumbprint,Services,Subject
참고: Exchange 2010에서 Test-FederationCertificate cmdlet의 출력에는 서버 이름이 포함됩니다. Exchange 2013 이상에서 cmdlet의 출력에는 서버 이름이 포함되지 않습니다.
5단계: 새 페더레이션 인증서 활성화
Exchange Management Shell을 사용하여 새 페더레이션 인증서를 활성화하려면 다음 명령을 실행합니다.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
자세한 구문 및 매개 변수 정보는 Set-FederationTrust를 참조하세요.
참고: 명령 출력에는 DNS에서 도메인 소유권 증명 TXT 레코드(이미 3단계에서 수행한)를 업데이트해야 한다는 경고가 포함되어 있습니다.
작동 여부는 어떻게 확인하나요?
새 페더레이션 인증서를 사용하여 기존 페더레이션 트러스트를 성공적으로 업데이트했는지 확인하려면 다음 단계를 사용합니다.
Exchange 관리 셸에서 다음 명령을 실행하여 새 인증서가 사용되고 있는지 확인합니다.
Get-FederationTrust | Format-List *priv*OrgPrivCertificate 속성에는 새 페더레이션 인증서의 지문이 포함되어야 합니다.
OrgPrevPrivCertificate 속성에는 이전(대체된) 페더레이션 인증서의 지문이 포함되어야 합니다.
Exchange 관리 셸에서 사용자의 전자 메일 주소를> 조직의 사용자의 전자 메일 주소로 바꾸고< 다음 명령을 실행하여 페더레이션 트러스트가 작동하는지 확인합니다.
Test-FederationTrust -UserIdentity <user's email address>
만료된 페더레이션 인증서 바꾸기
페더레이션 인증서가 이미 만료된 경우 페더레이션 트러스트에서 페더레이션된 도메인을 모두 제거한 다음 페더레이션 트러스트를 제거하고 다시 만들어야 합니다.
페더레이션된 도메인이 여러 개 있는 경우 마지막으로 제거할 수 있도록 주 도메인 공유 도메인을 식별해야 합니다. Exchange Management Shell을 사용하여 기본 공유 도메인 및 모든 페더레이션된 도메인을 식별하려면 다음 명령을 실행합니다.
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,DomainsAccountNamespace 속성의 값에는 형식
FYDIBOHF25SPDLT<primary shared domain>의 기본 공유 도메인이 포함됩니다. 예를 들어 값FYDIBOHF25SPDLT.contoso.com에서 contoso.com 기본 공유 도메인입니다.Exchange 관리 셸에서 다음 명령을 실행하여 기본 공유 도메인이 아닌 각 페더레이션된 도메인을 제거합니다.
Remove-FederatedDomain -DomainName <domain> -Force다른 모든 페더레이션된 도메인을 제거한 후 Exchange 관리 셸에서 다음 명령을 실행하여 기본 공유 도메인을 제거합니다.
Remove-FederatedDomain -DomainName <domain> -ForceExchange 관리 셸에서 다음 명령을 실행하여 페더레이션 트러스트를 제거합니다.
Remove-FederationTrust "Microsoft Federation Gateway"페더레이션 트러스트를 다시 만듭니다. 자세한 내용은 페더레이션 트러스트 구성을 참조하세요.