안녕하세요 향기입니다~*
어려워 하시는 인증서 부분에 대하여 이야기 해보겠습니다.
MSDN 내용을 천천히 읽어 보면 이해가 가실 부분이지만,
많은 분들이 놓치고 있는 것 같아서 이해하기 쉽게 풀어서 적어 봅니다.
꼭, 읽어 보세요..
* 인증서를 사용하여 세션을 암호화하거나 인증하는 Exchange 2007 구성 요소
Exchange 2007에서는 X.509 인증서를 사용하여 HTTPS, SMTP, POP, IMAP와 같은 프로토콜을 위한 통신 보안 TLS(전송 계층 보안) 및 SSL(Secure Sockets Layer) 전송 채널을 협상합니다.
TLS는 네트워크 상에서 통신하는 두 응용 프로그램 간에 통신 개인 정보 및 보안을 제공하도록 지원하는 IETF(Internet Engineering Task Force) 표준 프로토콜입니다. TLS는 통신을 암호화하며, 클라이언트가 서버를 인증하거나 선택적으로 서버가 클라이언트를 인증하도록 할 수 있습니다. TLS는 TLS가 기반으로 하고 있는 SSL 프로토콜을 보다 안전하게 바꾼 것이라 할 수 있습니다. SSL은 더 이른 시기에 Netscape에서 개발되었습니다. 두 프로토콜의 기능은 동일하며 대부분의 구현에서는 이전 버전의 SSL만 사용하는 클라이언트에게 이전 버전과의 호환성을 제공하기 위해 두 프로토콜을 모두 지원합니다.
TLS 보안 통신은 기밀(암호화) 목적만을 위해 사용하거나 기밀과 인증 목적을 위해 사용할 수 있습니다. 자체 발급되거나 X.509 CA에서 발급되는 것으로 알려진 X.509 인증서는 자체 서명이 가능합니다. X.509 CA는 조직 내에 배포되는 PKI(공개 키 인프라) 또는 인증서를 발급하는 타사 공용 인증 기관입니다. 구체적으로 언급하지 않는 경우 이 항목에서는 두 솔루션을 모두 CA(인증 기관)라고 부르고, 타사 공용 CA는 공용 CA라고 부릅니다.
-> Exchange Server 와 Client 간의 암호화 통신을 위하여 TLS 및 SSL를 사용한 보안통신이 필요합니다. TLS 및 SSL 통신을 하려면 인증서를 기반으로 합니다.
* 공용 CA에서 발급한 인증서를 사용하는 경우와 자체 서명 인증서를 사용하는 경우를 결정하는 방법
이 섹션에서는 Exchange 2007의 인증서 사용 방법에 대해 간단히 설명하고자 합니다. 이 섹션을 읽은 후에는 사용하도록 설정한 Exchange 구성 요소 및 지원할 클라이언트에 따라 공용 CA로부터 어떠한 종류의 인증서를 구매해야 하는지 파악할 수 있을 것입니다. 또한 이 섹션에서는 인증서 결정에 따른 보다 기술적인 내용에 대해 일반적으로 설명합니다.
이 섹션은 공용 CA에 관한 전반적인 인증서 요구 사항을 신속히 결정할 수 있도록 하기 위한 것이므로 불가피하게 섹션을 간단하게 작성했음을 이해해 주시기 바랍니다. 이를 위해 Exchange 2007에서의 인증서 사용을 설명하는 데 인증서 및 관련 기술에 대한 내용을 일반화였습니다. 이 섹션에 설명된 개념을 이해할 수 없을 경우 이 항목의 나머지 부분 및 참조된 설명서를 읽어 보십시오.
일반적으로 Kerberos, Direct Trust 또는 NTLM 인증을 사용하는 Exchange 2007 구성 요소의 경우 암호화에 자체 서명 인증서를 사용할 수 있습니다. 이 항목에서는 이러한 구성 요소를 내부 Exchange 2007 구성 요소라고 부릅니다. 내부란 데이터 경로가 Exchange 2007 서버 사이와 Active Directory에서 정의한 회사 네트워크 내에 존재한다는 의미입니다.
사용자가 회사 방화벽 밖에서 인증 및 암호화를 필요로 하는 Exchange 구성 요소에 액세스할 때마다 공용 CA에서 발급한 인증서를 배포하는 것이 좋습니다. 예를 들어, Exchange ActiveSync, POP3, IMAP4, 외부에서 Outlook 사용 등 클라이언트 액세스 서버 역할에서 지원하는 다양한 클라이언트는 모두 공용 CA에서 발급하는 인증서를 통해 보호해야 합니다. 이 항목에서는 이러한 구성 요소를 외부 Exchange 2007 구성 요소라고 부릅니다. 외부란 클라이언트와 Exchange 2007 서버 간의 데이터 경로가 회사 방화벽을 통과하여 인터넷까지 확장된다는 의미입니다
-> 공용 CA 인증서 & 자체 서명 인증서
두 가지 모두 인증서지만 용도에 따라 발급해야 될 사항이 결정 됩니다.
일반적인 Exchange Server 2007 과 AD 간 회사 네트워크 안에서는 자체 서명 인증서를 사용해도 무방합니다.
But, 회사 외부에서 암호화를 필요로 하는 Exchange 접근 요소가 있을 경우 공용 CA 인증서를 배포하는 것이 좋습니다.
* 자체 서명 인증서를 사용하는 내부 시나리오
- 허브 전송 서버 간 SMTP 세션: SMTP 세션 암호화에만 인증서가 사용됩니다. 인증은 Kerberos 프로토콜에서 제공됩니다.
- 허브 전송 서버와 Edge 전송 서버 간 SMTP 세션: SMTP 세션 암호화 및 직접 신뢰 인증에 인증서가 사용됩니다.
- Edge 전송 서버와 Active Directory 간 EdgeSync 동기화: Microsoft Exchange EdgeSync 서비스가 Active Directory의 데이터를 Edge 전송 서버의 ADAM 인스턴스로 복제한 후, Edge 전송 서버의 ADAM 인스턴스와 내부 Active Directory 서버 간의 LDAP 통신 세션을 암호화하는 데 인증서가 사용됩니다.
- 통합 메시징 통신: UM 서버와 UM IP 게이트웨이, IP PBX(Private Branch eXchange) 및 Office Communications Server 2007을 실행하고 있는 컴퓨터 간의 SIP(Session Initiation Protocol)와 RTP(Realtime Transport Protocol) 트래픽을 암호화하는 데 인증서가 사용됩니다. 또한 음성 메일이나 팩스 메시지를 UM 서버에서 허브 전송 서버로 전송하는 경우 SMTP 트래픽을 암호화하는 데에도 인증서가 사용됩니다.
- 내부 클라이언트만 액세스하는 클라이언트 액세스 서버
* 외부 클라이언트가 Exchange에 액세스하려면 공용 CA에서 발급한 인증서 필요
자체 서명 인증서는 인증에 사용되지 않으므로 내부 Exchange 구성 요소에서는 이 인증서를 사용할 수 있습니다. 하지만 대부분의 Exchange 구성 요소에 대한 인증은 Kerberos나 NTLM에서 제공됩니다. Edge 전송 서버와 허브 전송 서버 간의 통신에는 직접 신뢰 인증이 사용되고, 이 직접 신뢰 인증은 인증서를 통해 제공되며 Edge 전송 서버의 공개 키가 신뢰할 수 있는 저장소인 Active Directory에 저장된다는 사실을 바탕으로 합니다. 그렇지 않을 경우, 자체 서명 인증서를 통해 사용 후 삭제되는 키를 제공함으로써 Exchange 구성 요소 간의 데이터 경로를 암호화합니다.
단, 외부 클라이언트가 인터넷을 통해 Exchange가 호스팅되어 있는 네트워크에 액세스하려면 기존 인증서 신뢰에 대한 확인이 필요합니다. 신뢰 확인을 위해서는 공용 CA에서 발급하는 인증서를 사용하는 것이 가장 좋습니다. 사실 인증서 인증이 필요한 경우에 자체 서명 인증서를 사용하는 것은 바람직하지 않으며, 가능한 한 사용하지 않는 것이 좋습니다. 다음의 경우 공용 CA의 인증서를 사용하는 것이 좋습니다.
- POP3 및 IMAP4 클라이언트의 Exchange 액세스
- Outlook Web Access
- 외부에서 Outlook 사용
- Exchange ActiveSync
- 자동 검색
- 도메인 보안
-> 외부에서 Exchange에 접근하려면 공용 CA에서 발급한 인증서가 필요합니다.
공용 CA를 써야 되는 경우는 MS 권장사항입니다.
종합적으로,
-> Exchange Server 와 Client 간의 암호화 통신을 위하여 TLS 및 SSL를 사용한 보안통신이
필요합니다. TLS 및 SSL 통신을 하려면 인증서를 기반으로 합니다.
-> 공용 CA 인증서 & 자체 서명 인증서 나누어 집니다. (용도 별로 사용할 때가 다릅니다)
-> 외부에서 Exchange에 접근하려면 공용 CA에서 발급한 인증서가 필요합니다.
공용 CA를 써야 되는 경우는 MS 권장사항입니다..
Exchange Server을 설치하시면 기본적으로 자체 인증서가 있습니다. 기본적으로 인증서 사용기간이 1년 이므로, 인증서를 갱신해 주어야 하는 관리상의 불편함이 있습니다.
MAPI 및 OWA는 자체 인증서로 사용 가능하지만 Excahnge ActiveSync 와 Outlook Anywhere에는 사용할 수 없습니다
그래서 Windows CA 인증기관을 통해서 PKI를 사용합니다. (기본 인증서를 CA에서 발급받은 PKI로 변경해 주는 작업을 추가로 합니다.)
VeriSign에서 인증 해주는 타사 공인인증서를 사용하는 방법도 있습니다.
참고, MSDN Site