아웃바운드 익명 TLS 인증서 선택

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2009-12-07

이 항목에서는 Microsoft Exchange Server 2010의 아웃바운드 익명 TLS(전송 계층 보안) 인증서 선택 프로세스에 대해 설명합니다. 아웃바운드 익명 TLS 인증서 선택은 다음과 같은 시나리오에서 일어납니다.

  • 인증을 위한 Edge 전송 서버와 허브 전송 서버 사이의 SMTP 세션

  • 공개 키만을 사용한 암호화용 허브 전송 서버 간의 SMTP 세션

허브 전송 서버 간의 통신을 위해 해당 세션의 암호화에 인증서의 익명 TLS 및 공개 키가 사용됩니다. SMTP 세션을 설정하면 받는 서버가 TLS 협상에 사용할 인증서를 결정하는 인증서 선택 프로세스를 시작합니다. 받는 서버에서도 인증서 선택 프로세스를 수행합니다. 이러한 프로세스에 대한 자세한 내용은 인바운드 익명 TLS 인증서 선택를 참조하십시오.

허브 전송 서버 또는 Edge 전송 서버에서 보내기

아웃바운드 익명 TLS 인증서 선택을 위한 모든 단계는 보내는 서버에서 수행합니다. 다음 그림은 이 프로세스의 단계를 보여 줍니다.

아웃바운드 익명 TLS 인증서 선택

아웃바운드 익명 TLS 인증서 선택

  1. 허브 전송 서버 또는 Edge 전송 서버에서 SMTP 세션을 설정하면 Microsoft Exchange에서 인증서 로드 프로세스를 호출합니다.

    참고

    인증서를 처음 로드할 때는 Edge 전송 서버 역할 및 허브 전송 서버 역할에 대한 아웃바운드 인증서 선택 프로세스가 다릅니다. 그림은 각 서버 역할의 시작 지점을 보여 줍니다.

  2. 인증서 로딩 프로세스는 SMTP 세션이 허브 전송 서버와 Edge 전송 서버 중 어느 서버에서 시작되었는지에 따라 다릅니다.

    허브 전송 서버에서 시작된 경우     다음 사항에 대해 검사합니다.

    1. ExchangeServerSmartHostAuthMechanism 속성이 구성되어 있는지 확인하기 위해 세션이 연결된 송신 커넥터를 검사합니다. 송신 커넥터의 SmartHostAuthMechanism 속성은 Set-SendConnector cmdlet를 사용하여 설정할 수 있습니다. 특정 송신 커넥터의 스마트 호스트 인증 설정 구성 페이지에서 Exchange Server 인증을 선택하여 SmartHostAuthMechanism 속성을 ExchangeServer로 설정할 수도 있습니다. 스마트 호스트 인증 설정 구성 페이지를 열려면 송신 커넥터 속성 페이지의 네트워크 탭에서 변경을 클릭합니다.

    2. 메시지의 DeliveryType 속성을 검사하여 값이 SmtpRelayWithinAdSitetoEdge로 설정되어 있는지 확인합니다. DeliveryType 속성은 형식 목록 인수(| Format-List)와 함께 Get-Queue cmdlet을 실행하여 볼 수 있습니다.

      다음 두 가지 조건을 모두 충족해야 합니다. ExchangeServer를 인증 메커니즘으로 사용하도록 설정하지 않거나 DeliveryType 속성을 SmtpRelayWithinAdSitetoEdge로 설정하지 않으면 보내는 허브 전송 서버에서 익명 TLS를 사용하지 않고 인증서가 로드되지 않습니다. 두 조건을 충족하면 인증서 선택 프로세스의 3단계로 이어집니다.

    Edge 전송 서버에서 시작된 경우     다음 사항에 대해 검사합니다.

    1. ExchangeServerSmartHostAuthMechanism 속성이 구성되어 있는지 확인하기 위해 세션이 연결된 송신 커넥터를 검사합니다. 이 항목의 앞부분에서 설명한 것처럼, 송신 커넥터의 SmartHostAuthMechanism 속성은 Set-SendConnector cmdlet을 사용하여 설정할 수 있습니다. 특정 송신 커넥터의 스마트 호스트 인증 설정 구성 페이지에서 Exchange Server 인증을 선택하여 SmartHostAuthMechanism 속성을 ExchangeServer로 설정할 수도 있습니다. 스마트 호스트 인증 설정 구성 페이지를 열려면 송신 커넥터 속성 페이지의 네트워크 탭에서 변경을 클릭합니다.

    2. 세션이 연결된 송신 커넥터를 검사하여 SmartHost 주소 공간 속성에 "- -"가 포함되어 있는지 확인합니다.

      다음 두 가지 조건을 모두 충족해야 합니다. ExchangeServer를 인증 메커니즘으로 사용하도록 설정하지 않고 주소 공간에 “- -“가 없으면, 보내는 Edge 전송 서버에서 익명 TLS를 사용하지 않고 인증서가 로드되지 않습니다. 두 조건을 충족하면 인증서 선택 프로세스의 3단계로 이어집니다.

  3. Microsoft Exchange는 Active Directory를 쿼리하여 서버에 있는 인증서의 지문을 검색합니다. 서버 개체의 msExchServerInternalTLSCert 특성은 인증서 지문을 저장합니다.

    msExchServerInternalTLSCert 특성을 읽을 수 없거나 값이 null일 경우 Microsoft Exchange는 SMTP 세션에서 X-ANONYMOUSTLS를 보급하지 않고 인증서가 로드되지 않습니다.

    참고

    msExchServerInternalTLSCert 특성을 읽을 수 없거나 SMTP 세션 동안이 아닌 Microsoft Exchange 전송 서비스를 시작하는 동안 값이 null일 경우 이벤트 ID 12012가 응용 프로그램 로그에 기록됩니다.

  4. 지문이 검색되면 인증서 선택 프로세스는 이 지문과 일치하는 인증서의 로컬 컴퓨터 인증서 저장소를 검색합니다. 인증서를 찾지 못하면 서버는 X-ANONYMOUSTLS를 보급하지 못하고, 인증서도 로드되지 않으며, 이벤트 ID 12013이 응용 프로그램 로그에 기록됩니다.

  5. 인증서가 인증서 저장소에서 로드되고 나면 만료 여부가 확인됩니다. 인증서의 Valid to 필드는 현재 날짜 및 시간과 비교됩니다. 인증서가 만료되었을 경우 이벤트 ID 12015가 응용 프로그램 로그에 기록됩니다. 이 경우는 인증서 선택 프로세스가 실패하지 않고 나머지 검사를 계속합니다.

  6. 인증서를 검사하여 로컬 컴퓨터의 인증서 저장소에서 가장 최신 인증서인지 확인합니다. 이 검사의 일부로 도메인 목록이 잠재적인 인증서 도메인을 위해 작성됩니다. 도메인 목록은 다음 컴퓨터 구성을 기반으로 합니다.

    • mail.contoso.com과 같은 FQDN(정규화된 도메인 이름)

    • 호스트 이름(예: EdgeServer01)

    • 실제 FQDN(예: EdgeServer01.contoso.com)

    • 실제 호스트 이름(예: EdgeServer01)

      참고

      서버에서 MicrosoftWindows 부하 분산을 실행하는 경우에는 DnsFullyQualifiedDomainName 설정 대신 다음 레지스트리 키를 확인합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. 도메인 목록이 작성되고 나면 인증서 선택 프로세스에서는 인증서 저장소의 인증서 중 일치하는 FQDN이 있는 모든 인증서를 검색합니다. 인증서 선택 프로세스는 이 목록에서 적합한 인증서 목록을 식별합니다. 적합한 인증서는 다음 조건을 충족해야 합니다.

    • X.509 버전 3 이상의 인증서여야 합니다.

    • 연결된 개인 키가 있는 인증서여야 합니다.

    • 주체 또는 주체 대체 이름 필드에 6단계에서 검색한 FQDN이 포함되어 있어야 합니다.

    • SSL(Secure Sockets Layer)/TLS에 대해 인증서를 사용할 수 있어야 합니다. 특히 Enable-ExchangeCertificate cmdlet을 사용하여, 이 인증서에 대해 SMTP 서비스를 사용하도록 설정되어 있어야 합니다.

  8. 다음 순서에 따라 적합한 인증서 중에서 최적의 인증서가 선택됩니다.

    1. 가장 최근 Valid from 날짜별로 적합한 인증서를 정렬합니다. Valid from은 인증서의 버전 1 필드입니다.

    2. 이 목록에서 찾은 첫 번째 유효한 PKI(공개 키 인프라) 인증서가 사용됩니다.

    3. 유효한 PKI 인증서를 찾지 못하면 첫 번째 자체 서명 인증서가 사용됩니다.

  9. 가장 좋은 인증서를 결정하고 나면 해당 지문이 msExchServerInternalTLSCert 특성에 저장된 인증서와 일치하는지 결정하기 위해 기타 검사가 진행됩니다. 인증서가 일치하면 해당 인증서는 X-ANONYMOUSTLS용으로 사용됩니다. 일치하지 않을 경우 이벤트 ID 1037이 응용 프로그램 로그에 기록됩니다. 그러나 이로 인해 X-ANONYMOUSTLS가 실패하지는 않습니다.

 © 2010 Microsoft Corporation. 모든 권리 보유.