Windows Server 2016의 ADFS 및 WAP에서 TLS/SSL 인증서 관리
이 문서에서는 ADFS(Active Directory Federation Services) 및 WAP(웹 애플리케이션 프록시) 서버에 새 TLS/SSL 인증서를 배포하는 방법에 대해 설명합니다.
참고 항목
앞으로 ADFS 팜에 대해 TLS/SSL 인증서를 교체하는 권장 방법은 Microsoft Entra Connect를 사용하는 것입니다. 자세한 내용은 ADFS(Active Directory Federation Services) 팜에 대한 TLS/SSL 인증서 업데이트를 참조하세요.
TLS/SSL 인증서 받기
프로덕션 AD FS 팜의 경우, 공개적으로 신뢰할 수 있는 TLS/SSL 인증서를 사용하는 것이 좋습니다. ADFS는 타사 공인 인증서 공급자에게 CSR(인증서 서명 요청)을 제출하여 이 인증서를 얻습니다. CSR을 생성하는 방법은 Windows 7 이상의 PC를 포함하여 여러 가지가 있습니다. 공급업체에 이 프로세스에 대한 문서가 있어야 합니다.
- 인증서가 ADFS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 충족하는지 확인합니다.
필요한 인증서
모든 AD FS 및 WAP 서버에서 공통 TLS/SSL 인증서를 사용해야 합니다. 자세한 요구 사항은 ADFS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 참조하세요.
TLS/SSL 인증서 요구 사항
신뢰 지점 이름 지정 및 확장을 포함한 요구 사항은 AD FS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 참조하세요.
ADFS용 TLS/SSL 인증서 교체
참고 항목
ADFS TLS/SSL 인증서는 ADFS 관리 스냅인에 있는 ADFS 서비스 통신 인증서와 동일하지 않습니다. AD FS TLS/SSL 인증서를 변경하려면 PowerShell을 사용해야 합니다.
먼저 ADFS 서버가 기본 인증서 인증 바인딩 모드를 실행할지, 아니면 대체 클라이언트 TLS 바인딩 모드를 실행할지 결정합니다.
기본 인증서 인증 바인딩 모드에서 실행 중인 ADFS의 TLS/SSL 인증서를 교체합니다.
기본적으로 ADFS는 포트 443에서 장치 인증서 인증을 수행하고 포트 49443(또는 443이 아닌 구성 가능한 포트)에서 사용자 인증서 인증을 수행합니다.
이 모드에서는 다음 단계와 같이 PowerShell cmdlet Set-AdfsSslCertificate을 사용하여 TLS/SSL 인증서를 관리합니다:
먼저 새 인증서를 발급받아야 합니다. 타사 공인 인증서 공급업체에 CSR(인증서 서명 요청)을 제출하여 인증서를 받을 수 있습니다. CSR을 생성하는 방법은 Windows 7 이상의 컴퓨터를 포함하여 여러 가지가 있습니다. 공급업체에 이 프로세스에 대한 문서가 있어야 합니다.
- 인증서가 ADFS 및 웹 애플리케이션 프록시 SSL 인증서 요구 사항을 충족하는지 확인합니다.
인증서 공급자로부터 응답을 받은 후 각 ADFS 및 WAP의 로컬 컴퓨터 저장소로 가져옵니다.
primary ADFS 서버에서 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
다음 명령을 실행하여 인증서 지문을 찾을 수 있습니다.
dir Cert:\LocalMachine\My\
대체 TLS 바인딩 모드에서 실행 중인 ADFS의 TLS/SSL 인증서 교체
대체 클라이언트 TLS 바인딩 모드로 구성된 경우 ADFS는 포트 443에서 장치 인증서 인증을 수행합니다. 또한 포트 443의 다른 호스트 이름에서 사용자 인증서 인증을 수행합니다. 사용자 인증서 호스트 이름은 certauth이 앞에 붙은 ADFS 호스트 이름입니다(예: certauth.fs.contoso.com).
이 모드에서는 PowerShell cmdlet Set-AdfsAlternateTlsClientBinding을 사용하여 TLS/SSL 인증서를 관리합니다. 이 cmdlet은 대체 클라이언트 TLS 바인딩뿐만 아니라 ADFS가 TLS/SSL 인증서를 설정하는 다른 모든 바인딩도 관리합니다.
다음 단계에 따라 대체 TLS 바인딩 모드에서 실행 중인 ADFS에 대한 TLS/SSL 인증서를 교체합니다.
먼저 새 인증서를 발급받아야 합니다. 타사 공인 인증서 공급업체에 CSR(인증서 서명 요청)을 제출하여 인증서를 받을 수 있습니다. CSR을 생성하는 방법은 Windows 7 이상의 컴퓨터를 포함하여 여러 가지가 있습니다. 공급업체에 이 프로세스에 대한 문서가 있어야 합니다.
- 인증서가 ADFS 및 웹 애플리케이션 프록시 TLS/SSL 인증서 요구 사항을 충족하는지 확인합니다.
인증서 공급자로부터 응답을 받은 후 각 ADFS 및 WAP의 로컬 컴퓨터 저장소로 가져옵니다.
primary ADFS 서버에서 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
다음 명령을 실행하여 인증서 지문을 찾을 수 있습니다.
dir Cert:\LocalMachine\My\
기본 인증서 인증 바인딩 및 대체 TLS 바인딩 모드에서 TLS/SSL 인증서에 대한 기타 고려 사항
Set-AdfsSslCertificate및Set-AdfsAlternateTlsClientBindingcmdlet은 다중 노드 cmdlet이므로 기본 노드에서만 실행하면 됩니다. 이 cmdlet은 팜의 모든 노드도 업데이트합니다. 이 변경 사항은 Server 2016의 새로운 기능입니다. Server 2012 R2에서는 각 서버에서 cmdlet을 실행해야 했습니다.Set-AdfsSslCertificate및Set-AdfsAlternateTlsClientBindingcmdlet은 기본 서버에서만 실행해야 합니다. 기본 서버는 Server 2016을 실행해야 하며, 팜 동작 수준을 2016으로 올려야 합니다.Set-AdfsSslCertificate및Set-AdfsAlternateTlsClientBindingcmdlet은 PowerShell Remoting을 사용하여 다른 ADFS 서버를 구성하고, 다른 노드에서 포트 5985(TCP)가 열려 있는지 확인합니다.Set-AdfsSslCertificate및Set-AdfsAlternateTlsClientBindingcmdlet은 adfssrv 주체 읽기 권한을 TLS/SSL 인증서의 개인 키에 부여합니다. 이 보안 주체는 AD FS 서비스를 나타냅니다. ADFS 서비스 계정에 TLS/SSL 인증서의 개인 키에 대한 읽기 액세스 권한을 부여할 필요는 없습니다.
웹 애플리케이션 프록시에 대한 TLS/SSL 인증서 교체하기
WAP에서 기본 인증서 인증 바인딩 또는 대체 클라이언트 TLS 바인딩 모드를 모두 구성하려는 경우 Set-WebApplicationProxySslCertificate cmdlet을 사용할 수 있습니다.
각 WAP 서버에서 WAP TLS/SSL 인증서를 교체하려면 다음 cmdlet을 사용하여 새 TLS/SSL 인증서를 설치합니다.
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
이전 인증서가 이미 만료되어 위 cmdlet이 실패하는 경우 다음 cmdlet을 사용하여 프록시를 다시 구성합니다.
$cred = Get-Credential
ADFS 서버에서 로컬 관리자 권한이 있는 도메인 사용자의 자격 증명을 입력합니다.
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'