다음을 통해 공유

AD FS(Active Directory Federation Services) 팜에 대한 TLS/SSL 인증서 업데이트

개요

이 문서에서는 Microsoft Entra Connect를 사용하여 AD FS(Active Directory Federation Services) 팜에 대한 TLS/SSL 인증서를 업데이트하는 방법을 설명합니다. 선택한 사용자 로그인 방법이 AD FS가 아닌 경우에도 Microsoft Entra Connect 도구를 사용하여 AD FS 팜에 대한 TLS/SSL 인증서를 쉽게 업데이트할 수 있습니다.

다음 세 가지 간단한 단계로 모든 페더레이션 및 WAP(웹 애플리케이션 프록시) 서버에서 AD FS 팜에 대한 TLS/SSL 인증서를 업데이트하는 전체 작업을 수행할 수 있습니다.

3단계

메모

AD FS에서 사용하는 인증서에 대한 자세한 내용은 AD FS 사용되는이해 인증서를 참조하세요.

필수 구성 요소

  • AD FS 팜 : AD FS 팜이 Windows Server 2012 R2 기반 이상인지 확인합니다.
  • Microsoft Entra Connect: Microsoft Entra Connect 버전이 1.1.553.0 이상인지 확인합니다. 작업 를 사용하여 AD FS SSL 인증서을 업데이트합니다.

TLS 업데이트 태스크Update TLS taskUpdate TLS task

1단계: AD FS 팜 정보 제공

Microsoft Entra Connect는 다음을 통해 AD FS 팜에 대한 정보를 자동으로 가져오려고 시도합니다.

  1. AD FS(Windows Server 2016 이상)에서 팜 정보를 쿼리합니다.
  2. Microsoft Entra Connect를 사용하여 로컬로 저장된 이전 실행의 정보를 참조합니다.

AD FS 팜의 현재 구성을 반영하도록 서버를 추가하거나 제거하여 표시되는 서버 목록을 수정할 수 있습니다. 서버 정보가 제공되자마자 Microsoft Entra Connect는 연결 및 현재 TLS/SSL 인증서 상태를 표시합니다.

AD FS 서버 정보AD FS server infoAD FS server info

목록에 더 이상 AD FS 팜에 속하지 않는 서버가 포함된 경우 제거를 클릭하여 AD FS 팜의 서버 목록에서 서버를 삭제합니다.

목록의 오프라인 서버

메모

Microsoft Entra Connect의 AD FS 팜에 대한 서버 목록에서 서버를 제거하는 것은 로컬 작업이며 Microsoft Entra Connect가 로컬로 유지 관리하는 AD FS 팜에 대한 정보를 업데이트합니다. Microsoft Entra Connect는 변경 사항을 반영하도록 AD FS의 구성을 수정하지 않습니다.

2단계: 새 TLS/SSL 인증서 제공

AD FS 팜 서버에 대한 정보를 확인한 후 Microsoft Entra Connect는 새 TLS/SSL 인증서를 요청합니다. 암호로 보호된 PFX 인증서를 제공하여 설치를 계속합니다.

TLS/SSL 인증서TLS/SSL certificateTLS/SSL certificate

인증서를 제공한 후 Microsoft Entra Connect는 일련의 필수 구성 요소를 통과합니다. 인증서를 확인하여 인증서가 AD FS 팜에 대해 올바른지 확인합니다.

  • 인증서의 주체 이름/대체 주체 이름은 페더레이션 서비스 이름과 동일하거나 와일드카드 인증서입니다.
  • 인증서는 30일 이상 유효합니다.
  • 인증서 신뢰 체인이 유효합니다.
  • 인증서가 암호로 보호됩니다.

3단계: 업데이트할 서버 선택

다음 단계에서 TLS/SSL 인증서를 업데이트해야 하는 서버를 선택합니다. 오프라인인 서버는 업데이트에 대해 선택할 수 없습니다.

업데이트할 서버 선택

구성을 완료한 후 Microsoft Entra Connect는 업데이트 상태를 나타내는 메시지를 표시하고 AD FS 로그인을 확인하는 옵션을 제공합니다.

구성 완료

FAQ

  • 새 AD FS TLS/SSL 인증서에 대한 인증서의 주체 이름은 무엇인가요?

    Microsoft Entra Connect는 인증서의 주체 이름/대체 주체 이름에 페더레이션 서비스 이름이 포함되어 있는지 확인합니다. 예를 들어, 페더레이션 서비스 이름이 fs.contoso.com인 경우, 주체 이름/대체 주체 이름은 반드시 fs.contoso.com이어야 합니다. 와일드카드 인증서도 허용됩니다.

  • WAP 서버 페이지에서 자격 증명을 다시 요청하는 이유는 무엇인가요?

    AD FS 서버에 연결하기 위해 제공하는 자격 증명에 WAP 서버를 관리할 수 있는 권한도 없는 경우 Microsoft Entra Connect는 WAP 서버에 대한 관리 권한이 있는 자격 증명을 요청합니다.

  • 서버가 오프라인으로 표시됩니다. 제가 뭘 해야 하나요?

    서버가 오프라인인 경우 Microsoft Entra Connect는 작업을 수행할 수 없습니다. 서버가 AD FS 팜의 일부인 경우 서버에 대한 연결을 확인합니다. 문제를 해결한 후 새로 고침 아이콘을 눌러 마법사의 상태를 업데이트합니다. 서버가 이전에 팜의 일부였지만 더 이상 존재하지 않는 경우 제거 클릭하여 Microsoft Entra Connect에서 유지 관리하는 서버 목록에서 삭제합니다. Microsoft Entra Connect의 목록에서 서버를 제거해도 AD FS 구성 자체는 변경되지 않습니다. Windows Server 2016 이상에서 AD FS를 사용하는 경우 서버는 구성 설정에 남아 있으며 다음에 작업이 실행될 때 다시 표시됩니다.

  • 새 TLS/SSL 인증서를 사용하여 팜 서버의 하위 집합을 업데이트할 수 있나요?

    예. SSL 인증서 업데이트 작업을 항상 다시 실행하여 나머지 서버를 업데이트할 수 있습니다. SSL 인증서 업데이트 서버 선택 페이지에서 SSL 만료 날짜 서버 목록을 정렬하여 아직 업데이트되지 않은 서버에 쉽게 액세스할 수 있습니다.

  • 이전 실행에서 서버를 제거했지만 여전히 오프라인으로 표시되고 AD FS 서버 페이지에 나열됩니다. 오프라인 서버를 제거한 후에도 여전히 오프라인 서버가 있는 이유는 무엇인가요?

    Microsoft Entra Connect의 목록에서 서버를 제거해도 AD FS 구성에서는 제거되지 않습니다. Microsoft Entra Connect는 팜에 대한 모든 정보에 대해 AD FS(Windows Server 2016 이상)를 참조합니다. 서버가 AD FS 구성에 여전히 있는 경우 목록에 다시 나열됩니다.

다음 단계