다음을 통해 공유


AD FS에 대한 TS 및 TD 인증서 가져오기 및 구성

이 문서에서는 AD FS 토큰 서명 및 토큰 암호 해독 인증서가 최신 상태인지 확인하는 작업 및 절차를 설명합니다.

토큰 서명 인증서는 페더레이션 서버에서 발급하는 모든 토큰에 안전하게 서명하는 데 사용되는 표준 X509 인증서입니다. 토큰 암호 해독 인증서는 들어오는 토큰의 암호를 해독하는 데 사용되는 표준 X509 인증서입니다. 페더레이션 메타데이터에도 게시됩니다.

자세한 내용은 인증서 요구 사항을 참조하세요.

AD FS에서 인증서를 자동으로 갱신할지 여부 결정

기본적으로 AD FS는 토큰 서명 및 토큰 암호 해독 인증서를 자동으로 생성하도록 구성됩니다. 생성은 초기 구성과 인증서가 만료 날짜에 가까워지면 발생합니다.

Get-AdfsProperties의 AD FS에서 Windows PowerShell 명령을 실행합니다.

AutoCertificateRollover 및 CertificateGenerationThreshold 값을 강조 표시하는 PowerShell 창의 스크린샷

AutoCertificateRollover 속성은 AD FS가 토큰 서명 및 토큰 암호 해독 인증서를 자동으로 갱신하도록 구성되어 있는지 여부를 설명합니다.

AutoCertificateRollover가 설정된 True경우 AD FS 인증서가 AD FS에서 자동으로 갱신되고 구성됩니다. 새 인증서가 구성되면 중단을 방지하기 위해 각 페더레이션 파트너가 이 새 인증서로 업데이트되었는지 확인해야 합니다. 페더레이션 파트너는 신뢰 당사자 트러스트 또는 클레임 공급자 트러스트를 통해 AD FS 팜에 표시됩니다.

토큰 서명 및 토큰 암호 해독 인증서를 자동으로 갱신하도록 AD FS가 구성되지 않은 경우(예: AutoCertificateRollover가 설정된 False경우) AD FS는 새 토큰 서명 또는 토큰 암호 해독 인증서를 자동으로 생성하거나 사용하지 않습니다. 이러한 작업을 수동으로 수행해야 합니다.

토큰 서명 및 토큰 암호 해독 인증서를 자동으로 갱신하도록 AD FS가 구성된 경우(AutoCertificateRolloverTrue설정됨) 갱신 시기를 확인할 수 있습니다.

  • CertificateGenerationThreshold는 인증서의 Not After 날짜가 생성되기 전의 일 수를 설명합니다.

  • CertificatePromotionThreshold 는 새 인증서가 생성된 후 기본 인증서로 승격되는 일 수를 결정합니다. AD FS는 CertificatePromotionThreshold를 사용하여 발급하는 토큰에 서명하고 ID 공급자의 토큰을 해독합니다.

CertificateGenerationThreshold 및 CertificatePromotionThreshhold 값을 강조 표시하는 PowerShell 창의 스크린샷.

현재 인증서가 만료되는 시기 확인

다음 절차를 사용하여 기본 토큰 서명 및 토큰 암호 해독 인증서를 식별하고 현재 인증서가 만료되는 시기를 확인할 수 있습니다.

다음 Windows PowerShell 명령을 Get-AdfsCertificate –CertificateType token-signing 실행할 수 있습니다. (또는 Get-AdfsCertificate –CertificateType token-decrypting). MMC: Service-Certificates>에서 현재 인증서를 검사할 수도 있습니다.

이후 날짜 및 Is 기본 속성을 강조 표시하는 PowerShell 창의 스크린샷.

AD FS는 값이 설정된 인증서를 IsPrimary True사용합니다.

Not After대해 표시된 날짜는 새 기본 토큰 서명 또는 암호 해독 인증서를 구성해야 하는 날짜입니다.

서비스 연속성을 보장하기 위해 모든 페더레이션 파트너는 이 만료 전에 새 토큰 서명 및 토큰 암호 해독 인증서를 사용해야 합니다. 페더레이션 파트너는 신뢰 당사자 트러스트 또는 클레임 공급자 트러스트를 통해 AD FS 팜에 표시됩니다. 이 프로세스는 최소 60일 전에 계획해야 합니다.

유예 기간이 끝나기 전에 수동으로 새 자체 서명된 인증서 생성

다음 단계를 사용하여 유예 기간이 끝나기 전에 수동으로 새 자체 서명된 인증서를 생성할 수 있습니다.

  1. 기본 AD FS 서버에 로그온했는지 확인합니다.
  2. Windows PowerShell을 열고 다음 명령을 실행합니다. Add-PSSnapin "microsoft.adfs.powershell".
  3. AD FS에서 현재 서명 인증서를 확인할 수 있습니다. 이렇게 하려면 Get-ADFSCertificate –CertificateType token-signing 명령을 실행합니다. 명령 출력을 확인하여 나열된 인증서의 Not After 날짜를 확인합니다.
  4. 새 인증서를 생성하려면 다음 명령을 실행하여 AD FS 서버 Update-ADFSCertificate –CertificateType token-signing에서 인증서를 갱신하고 업데이트합니다.
  5. 다음 명령을 다시 Get-ADFSCertificate –CertificateType token-signing실행하여 업데이트를 확인합니다.
  6. 이제 두 개의 인증서가 나열되어야 합니다. 나중에 약 1년의 Not After 날짜가 있어야 합니다. 다른 하나는 IsPrimaryFalse가 있어야 합니다.

Important

서비스 중단을 방지하려면 Microsoft Entra ID의 인증서 정보를 유효한 토큰 서명 인증서로 업데이트합니다.

자체 서명된 인증서를 사용하지 않는 경우

자동으로 생성된 기본 토큰 서명 및 토큰 암호 해독 인증서를 사용하지 않는 경우 이러한 인증서를 수동으로 갱신하고 구성해야 합니다.

먼저 인증 기관에서 새 인증서를 가져와서 각 페더레이션 서버의 로컬 컴퓨터 개인 인증서 저장소로 가져와야 합니다. 자세한 내용은 인증서 가져오기를 참조하세요.

그런 다음 이 인증서를 보조 AD FS 토큰 서명 또는 암호 해독 인증서로 구성해야 합니다. 기본 인증서로 승격하기 전에 페더레이션 파트너가 이 새 인증서를 사용할 수 있는 충분한 시간을 허용하도록 보조 인증서로 구성합니다.

새 인증서를 보조 인증서로 구성

  1. PowerShell을 열고 실행 Set-ADFSProperties -AutoCertificateRollover $false합니다.
  2. 인증서를 가져온 후 AD FS 관리 콘솔을 엽니다.
  3. 서비스를 확장한 다음 인증서를 선택합니다.
  4. 작업 창에서 토큰 서명 인증서 추가를 선택합니다. 토큰 서명 인증서 추가 옵션을 강조 표시하는 AD FS 대화 상자의 스크린샷.
  5. 표시된 인증서 목록에서 새 인증서를 선택한 다음 확인을 선택합니다.
  6. PowerShell을 열고 실행 Set-ADFSProperties -AutoCertificateRollover $true합니다.

Warning

새 인증서에 연결된 프라이빗 키가 있고 AD FS 서비스 계정에 프라이빗 키에 대한 읽기 권한이 부여되었는지 확인합니다. 각 페더레이션 서버에서 이를 확인합니다. 이렇게 하려면 인증서 스냅인에서 새 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 프라이빗 키 관리를 선택합니다.

페더레이션 파트너는 페더레이션 메타데이터를 끌어 오거나 새 인증서의 공개 키를 수신하여 새 인증서를 사용합니다. 페더레이션 파트너가 새 인증서를 사용할 수 있는 충분한 시간을 허용했으면 보조 인증서를 기본 인증서로 승격해야 합니다.

새 인증서의 수준을 보조 인증서에서 기본 인증서로 올리기

  1. AD FS 관리 콘솔을 엽니다.

  2. 서비스를 확장한 다음 인증서를 선택합니다.

  3. 보조 토큰 서명 인증서를 선택합니다.

  4. 작업 창에서 기본으로 설정을 선택합니다. 확인 프롬프트에서 를 선택합니다.

    기본으로 설정 옵션을 강조 표시하는 AD FS 대화 상자의 스크린샷

페더레이션 파트너 업데이트

페더레이션 파트너가 페더레이션 메타데이터를 사용할 수 있는지 여부에 따라 페더레이션 파트너를 다르게 업데이트해야 합니다.

페더레이션 메타데이터를 사용할 수 있는 파트너

새 토큰 서명 또는 토큰 암호 해독 인증서를 갱신하고 구성할 때 모든 페더레이션 파트너가 새 인증서를 선택했는지 확인해야 합니다. 페더레이션 파트너는 신뢰 당사자 트러스트 및 클레임 공급자 트러스트를 사용하여 AD FS에 표시되는 리소스 조직 또는 계정 조직 파트너입니다.

페더레이션 메타데이터를 사용할 수 없는 파트너

페더레이션 파트너가 페더레이션 메타데이터를 사용할 수 없는 경우 새 토큰 서명 또는 토큰 암호 해독 인증서의 공개 키를 수동으로 보내야 합니다. 새 인증서 공개 키(전체 체인을 포함하려는 경우 .cer 파일 또는 .p7b)를 모든 리소스 조직 또는 계정 조직 파트너에게 보냅니다. 리소스 조직 또는 계정 조직 파트너는 신뢰 당사자 트러스트 및 클레임 공급자 트러스트를 통해 AD FS에 표시됩니다. 파트너는 새 인증서를 신뢰하기 위해 변경 내용을 구현해야 합니다.

AutoCertificateRollover가 False이면 기본으로 승격

AutoCertificateRollover가 설정된 False경우 AD FS는 새 토큰 서명 또는 토큰 암호 해독 인증서를 자동으로 생성하거나 사용하지 않습니다. 이러한 작업을 수동으로 수행해야 합니다. 모든 페더레이션 파트너가 새 보조 인증서를 사용할 수 있는 충분한 기간을 허용한 후 이 보조 인증서를 주 인증서로 승격합니다. MMC 스냅인에서 보조 토큰 서명 인증서를 선택하고 작업 창에서 기본으로 설정을 선택합니다.

Microsoft Entra ID 업데이트

AD FS는 기존 AD DS 자격 증명을 통해 사용자를 인증하여 Office 365와 같은 Microsoft 클라우드 서비스에 대한 Single Sign-On 액세스를 제공합니다. 자세한 내용은 Office 365 및 Microsoft Entra ID에 대한 페더레이션 인증서 갱신을 참조하세요.