Exchange Server OAuth 인증서 유지 관리

  • 아티클

일반 정보

이 설명서에서는 Exchange 서비스를 중단하지 않고 현재 인증서가 만료되기 전에 Exchange Server 인증 인증서를 회전하는 데 필요한 단계를 설명합니다.

MonitorExchangeAuthCertificate 스크립트를 사용할 수도 있습니다. OAuth 인증서를 자동으로 회전하는 데 필요한 단계를 수행합니다. OAuth 인증서가 이미 만료된 경우 OAuth 인증서를 교체하는 데 도움이 될 수도 있습니다.

인증 구성 및 인증 인증서는 Microsoft Exchange 서버에서 OAuth(Open Authorization) 프로토콜 표준을 사용하여 서버 간 인증을 사용하도록 설정하는 데 사용됩니다. 자세한 내용은 SharePoint 및 비즈니스용 Skype와의 Exchange 통합 계획 문서에서 확인할 수 있습니다.

인증 인증서는 여러 Exchange Server 보안 기능에서도 사용됩니다.

첫 번째 Exchange 서버를 설치하는 동안 설정 루틴은 이름이 Microsoft Exchange Server Auth Certificate인 자체 서명된 인증서를 생성한 다음 새 인증 구성에 추가됩니다. 이 인증서는 Exchange 조직의 모든 프런트 엔드 서버에 자동으로 복제됩니다. Exchange 인증서 서비스렛은 프로세스의 일부인 복제를 수행합니다 MSExchangeServiceHost . Exchange 조직에 서버를 더 추가하는 경우 servicelet은 조직에 추가된 모든 Exchange 서버에 인증서를 복제하는 작업을 처리합니다.

현재 인증 인증서로 구성된 인증서는 다음 PowerShell(Exchange Management Shell에서 실행해야 함) 쿼리를 실행하여 쿼리할 수 있습니다.

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

다음 경고와 함께 호출이 실패하면 현재 인증 인증서가 서버에 누락된 것입니다.

A special Rpc error occurs on server <Servername>: The certificate with thumbprint <AuthCertificateThumbprint> was not found.

수정하려면 "현재 인증서가 이미 만료되었거나 누락된 경우 수행할 단계는 무엇인가요" 섹션에 설명된 지침을 따릅니다.

다음 인증 인증서로 구성된 인증서는 다음과 같이 쿼리할 수 있습니다.

(Get-AuthConfig).NextCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

현재 인증 인증서와 동일한 경고와 함께 호출이 실패하면 다음 인증 인증서가 구성되지 않았거나 서버에 누락된 것입니다.

현재 인증 인증서가 만료 될 경우 "Exchange Server 인증 인증서를 회전하는 방법" 에 설명된 지침을 따릅니다.

현재 인증서가 이미 만료되었거나 누락된 경우 수행할 단계는 무엇인가요?

이 경우 이전 인증 인증서를 새 인증서로 즉시 교체해야 합니다. 다음 지원 문서의 해결 방법 섹션에 설명된 지침을 따르세요. Exchange Server OAuth 인증서가 만료된 경우 웹용 Outlook 또는 EAC에 로그인할 수 없습니다.

Exchange Server 인증 인증서를 회전하는 방법

만료되기 전에 활성 인증 인증서를 새 인증서로 바꾸는 것이 중요합니다. 이렇게 하면 Exchange 서비스를 중단하지 않고 새 인증서로 원활하게 전환할 수 있습니다. 아래 단계에 따라 새 인증 인증서를 준비하고 준비할 수 있습니다.

중요

해당 Exchange 기능에 영향을 주는 수정 사항이 포함되어 있으므로 최신 Exchange Server CU(누적 업데이트) 가 설치되어 있는지 확인하세요.

  1. 다음 명령을 실행하여 새 인증 인증서를 생성합니다.

    $newAuthCertificate = New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

  2. 기존 기본 SMTP 인증서를 덮어쓰지 마세요('N'을 입력하고 Enter 키를 누릅니다.)

    Confirm
Overwrite the existing default SMTP certificate?

Current certificate: '<DefaultSMTPCertificateThumbprint>' (expires 12/30/2027 2:39:08 PM)
Replace it with certificate: '<NewCertificateThumbprint>' (expires 1/5/2028 9:04:48 AM)
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): N

  3. 인증 인증서를 가장 이른 시간에 49시간 안에 새 활성 인증서가 되도록 구성합니다.

    Set-AuthConfig -NewCertificateThumbprint $newAuthCertificate.Thumbprint -NewCertificateEffectiveDate (Get-Date).AddHours(49)

Exchange 조직의 크기에 따라 새 인증 인증서를 모든 Exchange 서버에 배포하는 데 다소 시간이 걸릴 수 있습니다. 새로 생성된 인증 인증서가 활성화되기 최소 48시간 전에 계획하는 것이 좋습니다. 대규모 Exchange 환경에서는 더 오래 걸릴 수 있습니다.

인증 인증서에 대한 참조는 및 MSExchangeECPAppPool 애플리케이션 풀에 MSExchangeOWAAppPool 의해 캐시됩니다. 이러한 애플리케이션 풀을 재활용하여 이 참조를 새로 고칠 수 있습니다. 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 수행할 수 있습니다.

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

프로세스의 MSExchangeServiceHost 일부이기도 한 Exchange AuthAdmin servicelet은 최종 인증 인증서 게시 프로세스를 담당합니다. 서비스가 다시 시작되면 servicelet이 MSExchangeServiceHost 즉시 실행됩니다. 그 후 12시간마다 실행되고 에 도달했음을 NewCertificateEffectiveDate 감지하면 새 인증 인증서를 게시하여 새 활성 인증서로 만듭니다.

AuthAdmin servicelet을 시작할 수 있도록 하려면 Exchange Server가 자식 도메인에 설치되고 시스템 사서함이 루트 도메인에 있을 때 를 사용하도록 설정 AuthAdminReadSession 해야 합니다. 그렇지 않으면 AuthAdmin servicelet을 시작할 수 없습니다. Exchange 서버가 설명된 별자리에 설치된 경우 다음 PowerShell cmdlet을 실행합니다.

Set-OrganizationConfig -EnableAuthAdminReadSession:$true

다음 PowerShell cmdlet을 실행하여 AuthAdmin servicelet의 마지막 런타임을 쿼리할 수 있습니다.

[xml]$xml = Get-ExchangeDiagnosticInfo -Process "Microsoft.Exchange.ServiceHost"
$xml.Diagnostics.Components.AnchorApplication.AnchorServiceComponents.CacheScheduler.lastRunTime

AuthAdmin servicelet의 각 실행은 다음 디렉터리에 기록됩니다. <ExchangeInstallPath>\Logging\AuthAdminLogs

인증 인증서의 회전이 성공적으로 완료되면 servicelet은 새 이벤트 로그 항목을 생성합니다.

Log Name:      Application
Source:        MSExchange AuthAdmin
Date:          12/29/2022 5:56:13 AM
Event ID:      2014
Task Category: General
Level:         Information
Keywords:      Classic
User:          N/A
Description:   The current signing certificate for Exchange has been updated to certificate with thumbprint <NewExchangeCertificateThumbprint>.

질문과 대답

질문: 인증 인증서를 교체한 후 HCW(하이브리드 구성 마법사)를 다시 실행해야 합니까?

대답: 예, 활성 인증 인증서를 교체한 후 HCW(하이브리드 구성 마법사)를 실행하는 것이 좋습니다.

질문: 다른 AD(Active Directory) 사이트의 Exchange 서버에 새 인증 인증서가 없는 경우 어떻게 해야 하나요?

대답:Export-ExchangeCertificate cmdlet을 사용하여 인증서를 내보내고 다른 AD 사이트의 서버에서 Import-ExchangeCertificate 를 통해 가져올 수 있습니다. 인증서 서비스렛은 AD 사이트 내에 있는 나머지 Exchange 서버에 대한 복제를 처리합니다.