none
왜 인증서를 자꾸 물어보나요? RRS feed

  • 질문

  • 저희 회사에서 이번에 최신 Exchange Server 를 도입 했습니다.

    Outlook 프로필을 만들려고 하는데, 이름이랑 암호랑 메일 주소랑 넣었는데 자꾸 인증서 창이 뜨면서 연결이 안 됩니다.

    이거 아웃룩 연결하는데 자꾸 인증서 확인창이 뜨면서 연결이 안 됩니다.

    왜 그런가요? 저는 오피스 2007을 사용하고 있습니다.

    도와주세요~~~~~~~~~~~~~~~~~~~~~~~~~
    2009년 3월 17일 화요일 오후 3:30

답변

  • 안녕하세요.

    우선 내용을 보니 Autodiscover 값을 잘못 입력 하신 것으로 보여집니다.

    외부 도메인명이 Contoso.com 이고, 내부 도메인명이 Contoso.msft 로 보면 되는지요?

    Autodiscover 의 FQDN 을 내부 도메인으로 입력 하셨군요.

    인증서를 아래와 같이 다시 만드시면 됩니다.

    {mail.contoso.com, svr.contoso.msft, autodiscover.contoso.com, svr}

    다행히도 이 부분은 쉽게 문제를 찾은 듯 합니다.

    기존 인증서를 제거하고, New-ExchangeCertificate 명령어를 이용하여 DomainName 의 Autodiscover.contoso.com 으로 수정하여 다시 만들어보세요.

    그리고 문제가 있다면, 다시 문의 부탁드립니다.


    [참고사항] 여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하는 방법

    http://technet.microsoft.com/ko-kr/library/aa995942.aspx

    감사합니다.
    An
    • 답변으로 표시됨 PowerMan81 2009년 3월 18일 수요일 오후 1:04
    2009년 3월 18일 수요일 오전 5:37
  • Exchange Server 2007은 기본적으로 HTTPS를 사용합니다.
    설치 시 이를 위하여 임시 인증서가 같이 설치되는데요.
    이 인증서에는 Exchange Server 2007을 설치한 컴퓨터의 이름만 들어있어서,
    실제 운영 환경에서는 인증서를 새롭게 만들어 사용하여야 합니다.

    인증서 확인창이 뜬다고 하셨으니, Outlook이 서버를 제대로 찾는 것 같아보입니다.
    연결해서 인증서를 받았더니 인증서가 이상하다는 확인창입니다.
    도메인이 hyok.kr이라면
    autodiscover.hyok.kr이나 mail.hyoki.kr같은 호스트가 인증서에 들어있어야 하는데,
    (정확히는 Subject, SAN에 들어있어야합니다.)
    임시 인증서는 서버 이름만 들어있기 때문에 에러가 납니다.
    (인증서 확인 창에서 인증서 보기한 후 '주체' - Subject 또는 '주체 대체 이름' - SAN에 무엇이 들어있는지 보세요)

    혹시 인증서를 발급 받아서 사용하시는 것인데도 그렇다면,
    autodiscover.<도메인>을 넣지 않으신 것 같습니다.
    Subject를 autodiscover.<도메인>으로 하시고 나머지 호스트는 SAN에 넣으세요.



    참고로, 인증서를 발급 받는 방법은 두가지입니다.
    1. 공인된 기관에서 인증서를 발급
    2. 인증서 서비스를 설치하여 사설 인증서 발급

    1번의 단점은 돈이 매년 필요하다는 것(대략 20만원 정도),
    장점은 클라이언트에 인증서 관련 작업이 필요없이 서버만 작업하면 된다는 것입니다.

    2번의 장점은 돈이 들지 않는 다는 것(인증서 서비스는 Windows Server의 기능 추가로 설치 가능합니다.)
    단점은 클라이언트에 인증서 체인(루트 인증서)를 신뢰할 수 있는 인증 기관 목록에 추가해야 한다는 것입니다.


    An Hyok | http://hyok.kr
    • 답변으로 표시됨 PowerMan81 2009년 3월 18일 수요일 오후 1:04
    2009년 3월 17일 화요일 오후 4:47

모든 응답

  • Exchange Server 2007은 기본적으로 HTTPS를 사용합니다.
    설치 시 이를 위하여 임시 인증서가 같이 설치되는데요.
    이 인증서에는 Exchange Server 2007을 설치한 컴퓨터의 이름만 들어있어서,
    실제 운영 환경에서는 인증서를 새롭게 만들어 사용하여야 합니다.

    인증서 확인창이 뜬다고 하셨으니, Outlook이 서버를 제대로 찾는 것 같아보입니다.
    연결해서 인증서를 받았더니 인증서가 이상하다는 확인창입니다.
    도메인이 hyok.kr이라면
    autodiscover.hyok.kr이나 mail.hyoki.kr같은 호스트가 인증서에 들어있어야 하는데,
    (정확히는 Subject, SAN에 들어있어야합니다.)
    임시 인증서는 서버 이름만 들어있기 때문에 에러가 납니다.
    (인증서 확인 창에서 인증서 보기한 후 '주체' - Subject 또는 '주체 대체 이름' - SAN에 무엇이 들어있는지 보세요)

    혹시 인증서를 발급 받아서 사용하시는 것인데도 그렇다면,
    autodiscover.<도메인>을 넣지 않으신 것 같습니다.
    Subject를 autodiscover.<도메인>으로 하시고 나머지 호스트는 SAN에 넣으세요.



    참고로, 인증서를 발급 받는 방법은 두가지입니다.
    1. 공인된 기관에서 인증서를 발급
    2. 인증서 서비스를 설치하여 사설 인증서 발급

    1번의 단점은 돈이 매년 필요하다는 것(대략 20만원 정도),
    장점은 클라이언트에 인증서 관련 작업이 필요없이 서버만 작업하면 된다는 것입니다.

    2번의 장점은 돈이 들지 않는 다는 것(인증서 서비스는 Windows Server의 기능 추가로 설치 가능합니다.)
    단점은 클라이언트에 인증서 체인(루트 인증서)를 신뢰할 수 있는 인증 기관 목록에 추가해야 한다는 것입니다.


    An Hyok | http://hyok.kr
    • 답변으로 표시됨 PowerMan81 2009년 3월 18일 수요일 오후 1:04
    2009년 3월 17일 화요일 오후 4:47
  • 안녕하세요.

    Outlook 의 Profile 을 생성시 인증서 확인 창이 뜬다는 것은 보안 경고 창이 뜬 것으로 생각해도 되는지요?

    이런 이슈는 쉽게 말하면, 인증서 부분이 문제입니다.

    자세히 확인 하기 위해서는 여러가지 경우로 나눠 볼 수 있습니다.

    1. Outlook Anywhere 연결을 시도하는 클라이언트 PC 의 접속하고자 하는 Exchange Server 도메인의 인증서를 허용 하셨나요?
    쉽게 말씀 드리면, 회사의 운영하는 사설 인증기관의 루트 인증서 체인을 설치 하셨나요?

    2. 혹시 문의 하신 PowerMan81님 께서 서버관리자 이신지요? 만약 아니시라면 서버 관리자와 같이 진행하셔야 할 부분이 있습니다.
        a. 외부에서 Exchange Server를 정상적으로 찾을 수 있게 Autodiscover 기능 설정을 하셨는지요?
        b. 외부에서 443포트를 이용하여 Outlook 을 사용 할 수 있게 Outlook Anywhere 기능을 구성하셨는지요?
        c. 만약 a,b 구성이 되었다면, Exchange Server 의 인증서 SAN 값을 확인 해야 할 것 같습니다.
            Exchange Management Shell 을 실행 하고, Get-ExchangeCertificate | FL 이라고 명령어를 입력한 후 설정된 CertificateDomains 값을 알려주세요.
            (도메인 공개가 어려우시면 도메인명을 test.com 으로 바꾸셔서 알려주셔도 됩니다.)
        d. 인증서 관련 보안 경고가 뜨는 창에 보면 autodiscover.test.com 이런식으로 나타날 듯 보입니다. 여기에 나오는 내용도 알려주세요.

    이 문제를 트러블 슈팅 할 때는 참 확인 해 봐야 할 사항이 많아 지원하기가 참 어렵습니다. ^^

    감사합니다.

    An
    2009년 3월 18일 수요일 오전 2:04
  •  오~ 빠른 답변 감사합니다^^

    보안 경고창 뜨는 문제가 맞습니다. 

    내용은 이렇게 됩니다.

    autodiscover.contoso.com
    X 3번째 보안 인증서의 이름이 잘못되었거나 사이트 이름과 일치하지 않습니다.


    문의하신 a과정은 SAN 값 부분을 말씀하시는지요? 이거 라면 설정을 다 했습니다. 그리고 b 과정도 진행 하였습니다.
    {mail.contoso.com, svr.contoso.msft, autodiscover.contoso.msft, svr}

    Technet 자료 보고 따라하기는 했는데 어디가 문제인지요?


    2009년 3월 18일 수요일 오전 5:31
  • 안녕하세요.

    우선 내용을 보니 Autodiscover 값을 잘못 입력 하신 것으로 보여집니다.

    외부 도메인명이 Contoso.com 이고, 내부 도메인명이 Contoso.msft 로 보면 되는지요?

    Autodiscover 의 FQDN 을 내부 도메인으로 입력 하셨군요.

    인증서를 아래와 같이 다시 만드시면 됩니다.

    {mail.contoso.com, svr.contoso.msft, autodiscover.contoso.com, svr}

    다행히도 이 부분은 쉽게 문제를 찾은 듯 합니다.

    기존 인증서를 제거하고, New-ExchangeCertificate 명령어를 이용하여 DomainName 의 Autodiscover.contoso.com 으로 수정하여 다시 만들어보세요.

    그리고 문제가 있다면, 다시 문의 부탁드립니다.


    [참고사항] 여러 개의 클라이언트 액세스 서버 호스트 이름을 사용하도록 SSL 인증서를 구성하는 방법

    http://technet.microsoft.com/ko-kr/library/aa995942.aspx

    감사합니다.
    An
    • 답변으로 표시됨 PowerMan81 2009년 3월 18일 수요일 오후 1:04
    2009년 3월 18일 수요일 오전 5:37
  • (엘도라도님 응답 빠르시네요. 대단하십니다.)

    혹시 SAN 변경해도 안 되시면
    autodiscover.contoso.com 호스트가 주체 이름(Subject)에 들어가도록 인증서를 새로 구성해보세요.
    New-ExchangeCertificate 명령어의 -DomainName 옵션은 첫번째 값을 Subject로 사용합니다.
    명시적으로 Subject를 지정할 수도 있는데요. -SubjectName 옵션을 사용합니다.
    (-SubjectName "cn=autodiscover.contoso.com")

    An Hyok | http://hyok.kr
    2009년 3월 18일 수요일 오전 5:46
  • 엘도라도님, HYOK님 도움 주셔서 감사합니다.

    SAN 값 입력할 때 autodiscover 값을 외부 FQDN 으로 넣어줘야 하는 것이었군요. Technet 문서보고 따라 했을 뿐인데, 이 부분이 잘 이해가 안 가더라구요 ~

    이제 작업을 마치고, 정상적으로 연결이 잘 되는 것을 확인하였습니다.
    2009년 3월 18일 수요일 오후 1:03
  •  잘 되셨다니 다행입니다.
    An Hyok | http://hyok.kr
    2009년 3월 19일 목요일 오전 1:00
  • 해결이 되었다니 다행입니다.

    좋은 하루 되세요~
    엘도라도 | http://www.eldorado29.com
    2009년 3월 19일 목요일 오전 2:22