다음을 통해 공유

AD FS 인증서의 긴급 회전

  • 아티클

AD FS(Active Directory Federation Services) 인증서를 즉시 회전해야 하는 경우 이 문서의 단계를 수행할 수 있습니다.

Important

AD FS 환경에서 인증서를 회전하면 이전 인증서가 즉시 해지되고 페더레이션 파트너가 새 인증서를 사용하는 데 일반적으로 걸리는 시간이 무시됩니다. 새 인증서를 사용하도록 신뢰가 업데이트되면 해당 작업으로 인해 서비스가 중단될 수도 있습니다. 모든 페더레이션 파트너가 새 인증서를 갖게 되면 중단이 해결되어야 합니다.

참고 항목

인증서를 보호하고 보호하려면 HSM(하드웨어 보안 모듈)을 사용하는 것이 좋습니다. 자세한 내용은 AD FS 보안 모범 사례의 하드웨어 보안 모듈 섹션을 참조하세요.

토큰 서명 인증서 지문 확인

AD FS가 현재 사용하고 있는 이전 토큰 서명 인증서를 해지하려면 토큰 서명 인증서의 지문을 확인해야 합니다. 다음을 수행하십시오:

  1. PowerShell Connect-MsolService에서 실행하여 Microsoft 온라인 서비스에 연결합니다.

  2. Get-MsolFederationProperty -DomainName <domain>을 실행하여 온-프레미스 및 클라우드 토큰 서명 인증서 지문과 만료 날짜를 모두 문서화합니다.

  3. 지문을 복사합니다. 나중에 이를 사용하여 기존 인증서를 제거합니다.

AD FS 관리를 사용하여 지문을 가져올 수도 있습니다. 서비스>인증서로 이동하여 인증서를 마우스 오른쪽 단추로 클릭하고 인증서 보기를 선택한 다음 세부 정보를 선택합니다.

AD FS에서 인증서를 자동으로 갱신할지 여부 결정

기본적으로 AD FS는 토큰 서명 및 토큰 암호 해독 인증서를 자동으로 생성하도록 구성됩니다. 이는 초기 구성 중에 그리고 인증서 만료 날짜가 가까워지는 경우에 모두 수행됩니다.

PowerShell 명령 Get-AdfsProperties | FL AutoCert*, Certificate*를 실행할 수 있습니다.

AutoCertificateRollover 속성은 AD FS가 토큰 서명 및 토큰 암호 해독 인증서를 자동으로 갱신하도록 구성되었는지 여부를 설명합니다. 다음 중 하나를 수행합니다.

AutoCertificateRollover가 TRUE로 설정된 경우 새 자체 서명된 인증서를 생성합니다.

이 섹션에서는 토큰 서명 인증서 2개를 만듭니다. 첫 번째는 현재 기본 인증서를 즉시 바꾸는 -urgent 플래그를 사용합니다. 두 번째는 보조 인증서에 사용됩니다.

Important

Microsoft Entra ID는 이전 인증서에 대한 정보를 보유하므로 두 개의 인증서를 만들게 됩니다. 두 번째 인증서를 만들면 Microsoft Entra ID가 이전 인증서에 대한 정보를 공개하고 두 번째 인증서에 대한 정보로 바꾸도록 강제됩니다.

두 번째 인증서를 만들지 않고 이를 사용하여 Microsoft Entra ID를 업데이트하는 경우 이전 토큰 서명 인증서를 사용하여 사용자를 인증할 수 있습니다.

새 토큰 서명 인증서를 생성하려면 다음을 수행합니다.

  1. 기본 AD FS 서버에 로그인했는지 확인합니다.

  2. 관리자 권한으로 Windows PowerShell을 엽니다.

  3. PowerShell에서 실행하여 AutoCertificateRolloverTrue로 설정되어 있는지 확인합니다.

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. 새 토큰 서명 인증서를 생성하려면 다음을 실행합니다.

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. 다음을 실행하여 업데이트를 확인합니다.

    Get-ADFSCertificate -CertificateType Token-Signing

  6. 이제 다음을 실행하여 두 번째 토큰 서명 인증서를 생성합니다.

    Update-ADFSCertificate -CertificateType Token-Signing

  7. 명령을 다시 실행하여 업데이트를 확인할 수 있습니다.

    Get-ADFSCertificate -CertificateType Token-Signing

AutoCertificateRollover가 FALSE로 설정된 경우 새 인증서를 수동으로 생성합니다.

자동으로 생성되었으며 기본 자체 서명된 토큰 서명 및 토큰 암호 해독 인증서를 사용하지 않는 경우 이러한 인증서를 수동으로 갱신하고 구성해야 합니다. 이를 위해서는 두 개의 새로운 토큰 서명 인증서를 만들고 가져오는 작업이 포함됩니다. 그런 다음, 하나를 주로 승격하고 이전 인증서를 철회한 후 두 번째 인증서를 보조 인증서로 구성합니다.

먼저, 인증 기관에서 두 개의 새 인증서를 가져와 각 페더레이션 서버의 로컬 컴퓨터 개인 인증서 저장소로 가져와야 합니다. 자세한 내용은 인증서 가져오기를 참조하세요.

Important

Microsoft Entra ID는 이전 인증서에 대한 정보를 보유하므로 두 개의 인증서를 만들게 됩니다. 두 번째 인증서를 만들면 Microsoft Entra ID가 이전 인증서에 대한 정보를 공개하고 두 번째 인증서에 대한 정보로 바꾸도록 강제됩니다.

두 번째 인증서를 만들지 않고 이를 사용하여 Microsoft Entra ID를 업데이트하는 경우 이전 토큰 서명 인증서를 사용하여 사용자를 인증할 수 있습니다.

새 인증서를 보조 인증서로 구성

그런 다음 인증서 하나를 보조 AD FS 토큰 서명 또는 암호 해독 인증서로 구성한 후 기본 인증서로 승격합니다.

  1. 인증서를 가져온 후 AD FS 관리 콘솔을 엽니다.

  2. 서비스를 확장한 다음 인증서를 선택합니다.

  3. 작업 창에서 토큰 서명 인증서 추가를 선택합니다.

  4. 표시된 인증서 목록에서 새 인증서를 선택한 다음 확인을 선택합니다.

새 인증서의 수준을 보조 인증서에서 기본 인증서로 올리기

이제 새 인증서를 가져와 AD FS에서 구성했으므로 이를 기본 인증서로 설정해야 합니다.

  1. AD FS 관리 콘솔을 엽니다.

  2. 서비스를 확장한 다음 인증서를 선택합니다.

  3. 보조 토큰 서명 인증서를 선택합니다.

  4. 작업 창에서 기본으로 설정을 선택합니다. 프롬프트에서 를 선택합니다.

  5. 새 인증서를 기본 인증서로 승격한 후에는 계속 사용될 수 있는 이전 인증서를 제거해야 합니다. 자세한 내용은 이전 인증서 제거 섹션을 참조하세요.

새 인증서를 보조 인증서로 구성하려면

이제 첫 번째 인증서를 추가하고 기본 인증서로 만든 다음 이전 인증서를 제거했으므로 두 번째 인증서를 가져올 수 있습니다. 다음을 수행하여 인증서를 보조 AD FS 토큰 서명 인증서로 구성합니다.

  1. 인증서를 가져온 후 AD FS 관리 콘솔을 엽니다.

  2. 서비스를 확장한 다음 인증서를 선택합니다.

  3. 작업 창에서 토큰 서명 인증서 추가를 선택합니다.

  4. 표시된 인증서 목록에서 새 인증서를 선택한 다음 확인을 선택합니다.

새 토큰 서명 인증서로 Microsoft Entra ID 업데이트

  1. Azure AD PowerShell 모듈을 엽니다. 또는 Windows PowerShell을 열고 Import-Module msonline 명령을 실행합니다.

  2. 다음 명령을 실행하여 Microsoft Entra ID에 연결합니다.

    Connect-MsolService

  3. 하이브리드 ID 관리자 자격 증명을 입력합니다.

    참고 항목

    기본 페더레이션 서버가 아닌 컴퓨터에서 이러한 명령을 실행하는 경우 먼저 다음 명령을 입력합니다.

    Set-MsolADFSContext -Computer <servername>

    <servername>을 AD FS 서버의 이름으로 바꾼 다음 프롬프트에서 AD FS 서버에 대한 관리자 자격 증명을 입력합니다.

  4. 원하는 경우 Microsoft Entra ID에서 현재 인증서 정보를 확인하여 업데이트가 필요한지를 확인합니다. 이렇게 하려면 Get-MsolFederationProperty 명령을 실행합니다. 메시지가 표시되면 페더레이션 도메인의 이름을 입력합니다.

  5. Microsoft Entra ID에서 인증서 정보를 업데이트하려면 Update-MsolFederatedDomain 명령을 실행하고 메시지가 표시되면 도메인 이름을 입력합니다.

    참고 항목

    이 명령을 실행할 때 오류가 발생하면 Update-MsolFederatedDomain -SupportMultipleDomain을 실행한 다음 프롬프트에 도메인 이름을 입력합니다.

SSL 인증서 유효성을 바꿉니다.

손상으로 인해 토큰 서명 인증서를 바꿔야 하는 경우 AD FS 및 WAP(웹 애플리케이션 프록시) 서버에 대한 SSL(Secure Sockets Layer) 인증서도 철회하고 바꿔야 합니다.

SSL 인증서 해지는 인증서를 발급한 CA(인증 기관)에서 수행해야 합니다. 이러한 인증서는 GoDaddy와 같은 타사 공급자가 발급하는 경우가 많습니다. 예를 보려면 인증서 철회 | SSL 인증서 - GoDaddy 도움말 US를 참조하세요. 자세한 내용은 인증서를 해지하는 방법을 참조하세요.

이전 SSL 인증서가 해지되고 새 인증서가 발급된 후에 SSL 인증서를 바꿀 수 있습니다. 자세한 내용은 AD FS용 SSL 인증서 바꾸기를 참조하세요.

이전 인증서 제거

이전 인증서를 바꾼 후에도 이전 인증서를 계속 사용할 수 있으므로 제거해야 합니다. 수행할 작업:

  1. 기본 AD FS 서버에 로그인했는지 확인합니다.

  2. 관리자 권한으로 Windows PowerShell을 엽니다.

  3. 이전 토큰 서명 인증서를 제거하려면 다음을 실행합니다.

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

페더레이션 메타데이터를 사용할 수 있는 페더레이션 파트너 업데이트

새 토큰 서명 또는 토큰 암호 해독 인증서를 갱신하고 구성한 경우 모든 페더레이션 파트너가 새 인증서를 선택했는지 확인해야 합니다. 이 목록에는 신뢰 당사자 신뢰 및 클레임 공급자 신뢰로 AD FS에 표시되는 리소스 조직 또는 계정 조직 파트너가 포함됩니다.

페더레이션 메타데이터를 사용할 수 없는 페더레이션 파트너 업데이트

페더레이션 파트너가 페더레이션 메타데이터를 사용할 수 없는 경우 새 토큰 서명/토큰 암호 해독 인증서의 공개 키를 수동으로 전송해야 합니다. 모든 리소스 조직 또는 계정 조직 파트너(신뢰 Microsoft자 신뢰와 클레임 공급자 신뢰를 통해 AD FS에 표시)에 새 인증서 공개 키(전체 체인을 포함하려는 경우에는 .p7b 또는 .cer 파일)를 보냅니다. 파트너가 변경 내용을 구현하고 새 인증서를 신뢰하도록 합니다.

PowerShell을 통해 새로 고침 토큰 철회

이제 새로 고침 토큰을 갖고 있는 사용자에 대해 새로 고침 토큰을 철회하고 강제로 다시 로그인하여 새 토큰을 가져오도록 하려고 합니다. 이렇게 하면 전화기, 현재 웹 메일 세션 및 토큰과 새로 고침 토큰을 사용하는 기타 장소에서 사용자가 로그아웃됩니다. 자세한 내용은 Revoke-AzureADUserAllRefreshToken을 참조하세요. 또한 Microsoft Entra ID에서 사용자 액세스 철회를 참조하세요.

참고 항목

Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.

다음 단계