Exchange Server OAuth 인증서 유지 관리

  • 아티클

일반 정보

이 설명서에서는 Exchange 서비스를 중단하지 않고 현재 인증서가 만료되기 전에 Exchange Server 인증 인증서를 회전하는 데 필요한 단계를 설명합니다.

MonitorExchangeAuthCertificate 스크립트를 사용할 수도 있습니다. OAuth 인증서를 자동으로 회전하는 데 필요한 단계를 수행합니다. OAuth 인증서가 이미 만료된 경우 OAuth 인증서를 교체하는 데 도움이 될 수도 있습니다.

인증 구성 및 인증 인증서는 Microsoft Exchange 서버에서 OAuth(Open Authorization) 프로토콜 표준을 사용하여 서버 간 인증을 사용하도록 설정하는 데 사용됩니다. 자세한 내용은 SharePoint 및 비즈니스용 Skype Exchange 통합 계획 문서에서 확인할 수 있습니다.

인증 인증서는 여러 Exchange Server 보안 기능에서도 사용됩니다.

첫 번째 Exchange 서버를 설치하는 동안 설정 루틴은 이름이 Microsoft Exchange Server Auth Certificate인 자체 서명된 인증서를 생성한 다음 새 인증 구성에 추가됩니다. 이 인증서는 Exchange organization 모든 프런트 엔드 서버에 자동으로 복제됩니다. Exchange 인증서 서비스렛은 프로세스의 일부인 복제를 수행합니다 MSExchangeServiceHost . Exchange organization 서버를 더 추가하는 경우 servicelet은 organization 추가된 모든 Exchange 서버에 인증서를 복제하는 작업을 처리합니다.

현재 인증 인증서로 구성된 인증서는 다음 PowerShell(Exchange Management Shell에서 실행해야 함) 쿼리를 실행하여 쿼리할 수 있습니다.

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

다음 경고와 함께 호출이 실패하면 현재 인증 인증서가 서버에 누락된 것입니다.

A special Rpc error occurs on server <Servername>: The certificate with thumbprint <AuthCertificateThumbprint> was not found.

수정하려면 "현재 인증서가 이미 만료되었거나 누락된 경우 수행할 단계는 무엇인가요" 섹션에 설명된 지침을 따릅니다.

다음 인증 인증서로 구성된 인증서는 다음과 같이 쿼리할 수 있습니다.

(Get-AuthConfig).NextCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

현재 인증 인증서와 동일한 경고와 함께 호출이 실패하면 다음 인증 인증서가 구성되지 않았거나 서버에 누락된 것입니다.

현재 인증 인증서가 만료될 경우 "Exchange Server 인증 인증서를 회전하는 방법"에 설명된 지침을 따릅니다.

현재 인증서가 이미 만료되었거나 누락된 경우 수행할 단계는 무엇인가요?

이 경우 이전 인증 인증서를 새 인증서로 즉시 교체해야 합니다. 다음 지원 문서의 해결 방법 섹션에 설명된 지침을 따릅니다. Exchange Server OAuth 인증서가 만료된 경우 웹용 Outlook 또는 EAC에 로그인할 수 없습니다.

Exchange Server 인증 인증서를 회전하는 방법

만료되기 전에 활성 인증 인증서를 새 인증서로 바꾸는 것이 중요합니다. 이렇게 하면 Exchange 서비스를 중단하지 않고 새 인증서로 원활하게 전환할 수 있습니다. 아래 단계에 따라 새 인증 인증서를 준비하고 준비할 수 있습니다.

중요

해당 Exchange 기능에 영향을 주는 수정 사항이 포함되어 있으므로 최신 Exchange Server CU(누적 업데이트)가 설치되어 있는지 확인하세요.

  1. 다음 명령을 실행하여 새 인증 인증서를 생성합니다.

    $newAuthCertificate = New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

  2. 기존 기본 SMTP 인증서를 덮어쓰지 마세요('N'을 입력하고 Enter 키를 누릅니다.)

    Confirm
Overwrite the existing default SMTP certificate?

Current certificate: '<DefaultSMTPCertificateThumbprint>' (expires 12/30/2027 2:39:08 PM)
Replace it with certificate: '<NewCertificateThumbprint>' (expires 1/5/2028 9:04:48 AM)
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): N

  3. 인증 인증서를 가장 이른 시간에 49시간 안에 새 활성 인증서가 되도록 구성합니다.

    Set-AuthConfig -NewCertificateThumbprint $newAuthCertificate.Thumbprint -NewCertificateEffectiveDate (Get-Date).AddHours(49)

참고

Exchange organization 크기에 따라 새 인증 인증서를 모든 Exchange 서버에 배포하는 데 다소 시간이 걸릴 수 있습니다. 새로 생성된 인증 인증서가 활성화되기 최소 48시간 전에 계획하는 것이 좋습니다.

프로세스의 MSExchangeServiceHost 일부이기도 한 Exchange AuthAdmin servicelet은 최종 인증 인증서 게시 프로세스를 담당합니다. 서비스가 다시 시작되면 servicelet이 MSExchangeServiceHost 즉시 실행됩니다. 그 후 12시간마다 실행되고 에 도달했음을 NewCertificateEffectiveDate 감지하면 새 인증 인증서를 게시하여 새 활성 인증서로 만듭니다.

다음 PowerShell cmdlet을 실행하여 AuthAdmin servicelet의 마지막 런타임을 쿼리할 수 있습니다.

[xml]$xml = Get-ExchangeDiagnosticInfo -Process "Microsoft.Exchange.ServiceHost"
$xml.Diagnostics.Components.AnchorApplication.AnchorServiceComponents.CacheScheduler.lastRunTime

AuthAdmin servicelet의 각 실행은 다음 디렉터리에 기록됩니다. <ExchangeInstallPath>\Logging\AuthAdminLogs

인증 인증서의 회전이 성공적으로 완료되면 servicelet은 새 이벤트 로그 항목을 생성합니다.

Log Name:      Application
Source:        MSExchange AuthAdmin
Date:          12/29/2022 5:56:13 AM
Event ID:      2014
Task Category: General
Level:         Information
Keywords:      Classic
User:          N/A
Description:   The current signing certificate for Exchange has been updated to certificate with thumbprint <NewExchangeCertificateThumbprint>.

참고

AuthAdmin servicelet을 시작할 수 있도록 하려면 Exchange Server가 자식 도메인에 설치되고 시스템 사서함이 루트 도메인에 있을 때 AuthAdminReadSession을 사용하도록 설정해야 합니다. 그렇지 않으면 AuthAdmin servicelet을 시작할 수 없습니다.

Set-OrganizationConfig -EnableAuthAdminReadSession:$true

질문과 대답

질문: 인증 인증서를 교체한 후 HCW(하이브리드 구성 마법사)를 다시 실행해야 합니까?

대답: 예, 활성 인증 인증서를 교체한 후 HCW(하이브리드 구성 마법사)를 실행하는 것이 좋습니다.

질문: 다른 AD(Active Directory) 사이트의 Exchange 서버에 새 인증 인증서가 없는 경우 어떻게 해야 하나요?

대답:Export-ExchangeCertificate cmdlet을 사용하여 인증서를 내보내고 다른 AD 사이트의 서버에서 Import-ExchangeCertificate 를 통해 가져올 수 있습니다. 인증서 서비스렛은 AD 사이트 내에 있는 나머지 Exchange 서버에 대한 복제를 처리합니다.