Active Directory Federation Services 팜에 대한 TLS/SSL 인증서 업데이트

  • 아티클

개요

이 문서에서는 Microsoft Entra Connect를 사용하여 AD FS(Active Directory Federation Services) 팜에 대한 TLS/SSL 인증서를 업데이트하는 방법에 대해 설명합니다. 선택한 사용자 로그인 방법이 AD FS가 아닌 경우에도 Microsoft Entra Connect 도구를 사용하여 AD FS 팜에 대한 TLS/SSL 인증서를 쉽게 업데이트할 수 있습니다.

간단한 세 단계로 모든 페더레이션 및 WAP(Web Application Proxy) 서버에서 AD FS 팜에 대한 TLS/SSL 인증서를 업데이트하는 전체 작업을 수행할 수 있습니다.

Three steps

참고 항목

AD FS에서 사용하는 인증서에 대한 자세한 내용은 AD FS에서 사용하는 인증서 이해를 참조하세요.

필수 조건

  • AD FS 팜: AD FS 팜이 Windows Server 2012 R2 이상을 기반으로 하는지 확인합니다.
  • Microsoft Entra Connect: Microsoft Entra Connect 버전이 1.1.553.0 이상인지 확인합니다. AD FS SSL 인증서 업데이트 작업을 사용할 것입니다.

Update TLS task

1단계: AD FS 팜 정보 제공

Microsoft Entra Connect는 다음과 같은 방법으로 AD FS 팜에 대한 정보를 자동으로 가져오려고 시도합니다.

  1. AD FS(Windows Server 2016 이상)에서 팜 정보 쿼리.
  2. Microsoft Entra Connect를 통해 로컬에 저장된 이전 실행의 정보 참조.

표시된 서버 목록은 서버를 추가하거나 제거하여 AD FS 팜의 현재 구성을 반영하도록 수정할 수 있습니다. 서버 정보가 제공되면 Microsoft Entra Connect가 연결 및 현재 TLS/SSL 인증서 상태를 표시합니다.

AD FS server info

더 이상 AD FS 팜에 포함되지 않는 서버가 목록에 들어 있으면 제거를 클릭하여 AD FS 팜의 서버 목록에서 서버를 삭제합니다.

Offline server in list

참고 항목

Microsoft Entra Connect에서 AD FS 팜에 대한 서버 목록에서 서버를 제거하는 것은 로컬 작업이며 이 작업을 수행하면 Microsoft Entra Connect가 로컬에서 유지 관리하는 AD FS 팜에 대한 정보가 업데이트됩니다. Microsoft Entra Connect는 변경 내용을 반영하기 위해 AD FS의 구성을 수정하지 않습니다.

2단계: 새 TLS/SSL 인증서 제공

AD FS 팜 서버에 대한 정보가 확인된 후 Microsoft Entra Connect에서 새 TLS/SSL 인증서를 요청합니다. 설치를 계속하려면 암호로 보호된 PFX 인증서를 제공합니다.

TLS/SSL certificate

인증서를 제공하면 Microsoft Entra Connect가 일련의 필수 조건을 진행합니다. 인증서에서 다음 사항을 확인하여 AD FS 팜의 인증서가 올바른지 확인합니다.

  • 인증서의 주체 이름/주체 대체 이름은 페더레이션 서비스 이름과 같거나 와일드카드 인증서입니다.
  • 인증서가 30일 이상 유효합니다.
  • 인증서 신뢰 체인이 유효합니다.
  • 인증서가 암호로 보호됩니다.

3단계: 업데이트할 서버 선택

다음 단계에서 TLS/SSL 인증서를 업데이트해야 하는 서버를 선택합니다. 오프라인 상태인 서버는 업데이트 대상으로 선택할 수 없습니다.

Select servers to update

구성이 완료되면 Microsoft Entra Connect는 업데이트 상태를 나타내는 메시지를 표시하고 AD FS 로그인을 확인하는 옵션을 제공합니다.

Configuration complete

FAQ

  • 새 AD FS TLS/SSL 인증서의 주체 이름은 무엇인가요?

    Microsoft Entra Connect는 인증서의 주체 이름/대체 주체 이름에 페더레이션 서비스 이름이 포함되어 있는지 확인합니다. 예를 들어 페더레이션 서비스 이름이 fs.contoso.com이면 주체 이름/대체 주체 이름은 fs.contoso.com이어야 합니다. 와일드 카드 인증서도 허용됩니다.

  • WAP 서버 페이지에서 자격 증명이 다시 요청되는 이유는 무엇인가요?

    AD FS 서버에 연결하기 위해 제공한 자격 증명에 WAP 서버를 관리할 권한이 없으면 Microsoft Entra Connect는 WAP 서버에 대한 관리자 권한이 포함된 자격 증명을 요청합니다.

  • 서버가 오프라인으로 표시됩니다. 어떻게 해야 합니까?

    서버가 오프라인 상태이면 Microsoft Entra Connect가 작업을 수행할 수 없습니다. 서버가 AD FS 팜의 일부이면 서버 연결을 확인하세요. 이 문제를 해결한 후 마법사에서 새로 고침 아이콘을 눌러 상태를 업데이트하세요. 서버가 이전에 팜에 포함되었지만 더 이상 존재하지 않으면 제거를 클릭하여 Microsoft Entra Connect가 유지 관리하는 서버 목록에서 서버를 삭제합니다. Microsoft Entra Connect의 목록에서 서버를 제거해도 AD FS 구성 자체는 변경되지 않습니다. Windows Server 2016 이상에서 AD FS를 사용하는 경우 서버는 구성 설정에 남아 있게 되며 다음에 작업이 실행될 때 표시됩니다.

  • 새 TLS/SSL 인증서를 사용하여 팜 서버의 하위 집합을 업데이트할 수 있나요?

    예. 언제든지 SSL 인증서 업데이트 작업을 다시 실행하여 나머지 서버를 업데이트할 수 있습니다. SSL 인증서 업데이트용 서버 선택 페이지에서 SSL 만료 날짜를 기준으로 서버 목록을 정렬하면 아직 업데이트되지 않은 서버에 쉽게 액세스할 수 있습니다.

  • 이전 실행에서 서버를 제거했지만 계속 오프라인 상태로 표시되고 AD FS 서버 페이지에 나열됩니다. 제거한 후에도 오프라인 서버가 표시되는 이유는 무엇인가요?

    Microsoft Entra Connect의 목록에서 서버를 제거해도 AD FS 구성에서는 제거되지 않습니다. Microsoft Entra Connect는 팜에 대한 정보를 얻기 위해 AD FS(Windows Server 2016 이상)를 참조합니다. 서버가 AD FS 구성에 남아 있으면 해당 서버는 목록에 다시 표시됩니다.

다음 단계