Windows Server 2016에서 AD FS 및 WAP에서 TLS/SSL 인증서 관리
이 문서에서는 AD FS(Active Directory Federation Services) 및 WAP(웹 애플리케이션 프록시) 서버에 새 TLS/SSL 인증서를 배포하는 방법을 설명합니다.
참고 항목
AD FS 팜에 대한 TLS/SSL 인증서를 교체하는 권장 방법은 Microsoft Entra 커넥트 사용하는 것입니다. 자세한 내용은 AD FS(Active Directory Federation Services) 팜에 대한 TLS/SSL 인증서 업데이트를 참조 하세요.
TLS/SSL 인증서 가져오기
프로덕션 AD FS 팜의 경우 공개적으로 신뢰할 수 있는 TLS/SSL 인증서를 사용하는 것이 좋습니다. AD FS는 타사 공용 인증서 공급자에게 CSR(인증서 서명 요청)을 제출하여 이 인증서를 가져옵니다. Windows 7 이상의 PC를 포함하여 CSR을 생성하는 다양한 방법이 있습니다. 공급업체에는 이 프로세스에 대한 설명서가 있어야 합니다.
- 인증서가 AD FS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 충족하는지 확인합니다.
필요한 인증서
모든 AD FS 및 WAP 서버에서 공통 TLS/SSL 인증서를 사용해야 합니다. 자세한 요구 사항은 AD FS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 참조하세요.
TLS/SSL 인증서 요구 사항
신뢰 루트 및 확장의 명명을 비롯한 요구 사항은 AD FS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 참조하세요.
AD FS에 대한 TLS/SSL 인증서 바꾸기
참고 항목
AD FS TLS/SSL 인증서는 AD FS 관리 스냅인에 있는 AD FS 서비스 통신 인증서와 동일하지 않습니다. AD FS TLS/SSL 인증서를 변경하려면 PowerShell을 사용해야 합니다.
먼저 AD FS 서버가 기본 인증서 인증 바인딩 모드 또는 대체 클라이언트 TLS 바인딩 모드를 실행하는지 확인합니다.
기본 인증서 인증 바인딩 모드에서 실행되는 AD FS에 대한 TLS/SSL 인증서 바꾸기
기본적으로 AD FS는 포트 443에서 디바이스 인증서 인증을 수행하고 포트 49443(또는 443이 아닌 구성 가능한 포트)에서 사용자 인증서 인증을 수행합니다.
이 모드에서는 다음 단계에 표시된 대로 PowerShell cmdlet Set-AdfsSslCertificate 을 사용하여 TLS/SSL 인증서를 관리합니다.
먼저 새 인증서를 가져와야 합니다. CSR(인증서 서명 요청)을 타사 공용 인증서 공급자에 제출하여 가져올 수 있습니다. Windows 7 이상 컴퓨터를 포함하여 CSR을 생성하는 다양한 방법이 있습니다. 공급업체에는 이 프로세스에 대한 설명서가 있어야 합니다.
- 인증서가 AD FS 및 웹 애플리케이션 프록시 SSL 인증서 요구 사항을 충족하는지 확인합니다.
인증서 공급자로부터 응답을 받은 후 각 AD FS 및 WAP의 로컬 컴퓨터 저장소로 가져옵니다.
기본 AD FS 서버에서 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다.
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
다음 명령을 실행하여 인증서 지문을 찾을 수 있습니다.
dir Cert:\LocalMachine\My\
대체 TLS 바인딩 모드에서 실행되는 AD FS에 대한 TLS/SSL 인증서 바꾸기
대체 클라이언트 TLS 바인딩 모드로 구성된 경우 AD FS는 포트 443에서 디바이스 인증서 인증을 수행합니다. 또한 다른 호스트 이름에 있는 포트 443에서 사용자 인증서 인증을 수행합니다. 사용자 인증서 호스트 이름은 앞에 추가된 certauthAD FS 호스트 이름입니다(예: certauth.fs.contoso.com).
이 모드에서는 PowerShell cmdlet Set-AdfsAlternateTlsClientBinding 을 사용하여 TLS/SSL 인증서를 관리합니다. 이 cmdlet은 대체 클라이언트 TLS 바인딩뿐만 아니라 AD FS가 TLS/SSL 인증서를 설정하는 다른 모든 바인딩도 관리합니다.
대체 TLS 바인딩 모드에서 실행되는 AD FS에 대한 TLS/SSL 인증서를 바꾸려면 다음 단계를 사용합니다.
먼저 새 인증서를 가져와야 합니다. CSR(인증서 서명 요청)을 타사 공용 인증서 공급자에 제출하여 가져올 수 있습니다. Windows 7 이상 컴퓨터를 포함하여 CSR을 생성하는 다양한 방법이 있습니다. 공급업체에는 이 프로세스에 대한 설명서가 있어야 합니다.
- 인증서가 AD FS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 충족하는지 확인합니다.
인증서 공급자로부터 응답을 받은 후 각 AD FS 및 WAP의 로컬 컴퓨터 저장소로 가져옵니다.
기본 AD FS 서버에서 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다.
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
다음 명령을 실행하여 인증서 지문을 찾을 수 있습니다.
dir Cert:\LocalMachine\My\
기본 인증서 인증 바인딩 및 대체 TLS 바인딩 모드의 TLS/SSL 인증서에 대한 기타 고려 사항
- 및
Set-AdfsAlternateTlsClientBindingcmdlet은Set-AdfsSslCertificate다중 노드 cmdlet이므로 주 cmdlet에서만 실행하면 됩니다. 또한 cmdlet은 팜의 모든 노드를 업데이트합니다. 이 변경 내용은 Server 2016의 새로운 기능입니다. Server 2012 R2에서는 각 서버에서 cmdlet을 실행해야 했습니다. - 및
Set-AdfsAlternateTlsClientBindingcmdlet은Set-AdfsSslCertificate주 서버에서만 실행해야 합니다. 주 서버는 Server 2016을 실행해야 하며 팜 동작 수준을 2016으로 높여야 합니다. - 및
Set-AdfsAlternateTlsClientBindingcmdlet은Set-AdfsSslCertificatePowerShell Remoting을 사용하여 다른 AD FS 서버를 구성하고 포트 5985(TCP)가 다른 노드에서 열려 있는지 확인합니다. - 및
Set-AdfsAlternateTlsClientBindingcmdlet은Set-AdfsSslCertificateTLS/SSL 인증서의 프라이빗 키에 adfssrv 보안 주체 읽기 권한을 부여합니다. 이 보안 주체는 AD FS 서비스를 나타냅니다. AD FS 서비스 계정에 TLS/SSL 인증서의 프라이빗 키에 대한 읽기 권한을 부여할 필요는 없습니다.
웹 애플리케이션 프록시 대한 TLS/SSL 인증서 바꾸기
WAP에서 기본 인증서 인증 바인딩 또는 대체 클라이언트 TLS 바인딩 모드를 모두 구성하려면 cmdlet을 Set-WebApplicationProxySslCertificate 사용할 수 있습니다.
각 WAP 서버에서 WAP TLS/SSL 인증서를 바꾸려면 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다.
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
이전 인증서가 이미 만료되어 위의 cmdlet이 실패하는 경우 다음 cmdlet을 사용하여 프록시를 다시 구성합니다.
$cred = Get-Credential
AD FS 서버의 로컬 관리자인 do기본 사용자의 자격 증명을 입력합니다.
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'