다음을 통해 공유

Windows Server의 ADFS에서 인증서 인증을 위한 대체 호스트 이름 바인딩

많은 네트워크에서 로컬 방화벽 정책은 49443과 같은 비표준 포트를 통한 트래픽을 허용하지 않을 수 있습니다. 비표준 포트는 이전 버전의 Windows에서 Windows Server의 ADFS를 사용하여 인증서를 인증하는 동안 문제를 일으킬 수 있습니다. 동일한 호스트에서 장치 인증과 사용자 인증서 인증에 대해 서로 다른 바인딩을 사용할 수 없습니다.

Windows Server 2016 이전 버전의 경우, 기본 포트 443은 장치 인증서를 수신하도록 바인딩됩니다. 이 포트는 동일한 채널에서 여러 바인딩을 지원하도록 변경할 수 없습니다. 스마트 카드 인증이 작동하지 않고 사용자에게 원인을 설명하는 알림이 표시되지 않습니다.

Windows Server의 ADFS는 대체 호스트 이름 바인딩을 지원합니다.

Windows Server의 AD FS는 두 가지 모드를 사용하여 대체 호스트 이름 바인딩을 지원합니다.

  • 첫 번째 모드는 포트(443, 49443)가 다른 동일한 호스트(adfs.contoso.com)를 사용합니다.

  • 두 번째 모드는 동일한 포트(443)로 서로 다른 호스트(adfs.contoso.comcertauth.adfs.contoso.com)를 사용합니다. 이 모드에서는 대체 주제 이름으로 certauth.\<adfs-service-name>을 지원하는 TLS/SSL 인증서가 필요합니다. 대체 호스트 이름 바인딩은 팜을 만들 때 또는 나중에 PowerShell을 사용하여 구성할 수 있습니다.

인증서 인증에 대 한 대체 호스트 이름 바인딩을 구성 하는 방법

인증서 인증을 위한 대체 호스트 이름 바인딩을 추가하는 방법에는 두 가지가 있습니다.

  • 첫 번째 방법은 Windows Server 2016용 ADFS를 사용하여 새 ADFS 팜을 설정하는 경우입니다. 인증서에 SAN(주체 대체 이름)이 포함된 경우, 인증서는 앞서 설명한 두 번째 모드를 사용하도록 자동으로 설정됩니다. 두 개의 서로 다른 호스트(sts.contoso.comcertauth.sts.contoso.com)가 동일한 포트로 자동 설정됩니다.

    인증서에 SAN이 포함되어 있지 않은 경우, 인증서 주체 대체 이름이 certauth.*을 지원하지 않는다는 경고 메시지가 표시됩니다:

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.

The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

    인증서에 SAN이 포함된 설치의 경우, 메시지의 두 번째 부분만 표시됩니다.

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

  • 두 번째 접근 방식은 Windows Server에 ADFS를 배포한 후에 사용할 수 있습니다. PowerShell cmdlet Set-AdfsAlternateTlsClientBinding을 사용하여 인증서 인증에 대한 대체 호스트 이름 바인딩을 추가할 수 있습니다. 자세한 내용은 Set-AdfsAlternateTlsClientBinding를 참조하세요.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

인증서 구성을 확인하는 메시지에서 또는 모두에 예를 선택합니다.