Exchange Hybrid 환경 인증서 갱신하기
Exchange Hybrid 환경에서 인증서를 갱신해보려고 합니다.
인증서를 갱신하는 방법은 크게 2가지가 있는데요.
첫번째로는 Exchange Hybrid 구성 마법사로 진행하는 것이고
두번째로는 Exchange Management Shell과 관리센터에서 진행하는 거에요.
둘다 진행해보려고 해요
우선은 인증서 만료일을 확인해봐야겠죠?
인증서 만료일 확인
Exchange 관리센터 - 서버 - 인증서
서비스에 할당 중 IIS에 할당 된 인증서의 만료일을 확인해주면 돼요
제 테스트 환경에선 한달도 남지 않아 미리 갱신해주려고 해요
그리고 EventLog - Application 에도 위 처럼 인증서 만료 관련 이벤트가 출력 되니
서버 점검 시에도 확인이 가능해요.
신규 인증서 Exchange 서버에 Import
이 과정은 방법이 여러가지 있으며 엔지니어마다 다를 수 있어요
하지만 개념은 동일하므로 편하신 방법으로 진행해주시면 됩니다
Exchange는 와일드 카드 인증서를 지원하며, Hybrid 환경의 경우 개인키가 있는 공인인증서를 사용해야해요
갱신할 인증서를 더블클릭 Local Machine 체크 후 NEXT
Next
인증서 패스워드 입력 후 아래 체크박스 체크 후 NEXT
Personal(개인용) 체크 후 NEXT - FINISH
Exchange Hybrid 환경 인증서 갱신 진행 (Exchange Management Shell, 관리센터 이용)
Exchange 관리센터 - 서버 - 인증서
윗 단계에서 진행 한 인증서가 설치 된 것을 확인 할 수 있어요
이제 실제로 인증서 갱신을 위해 서비스에 할당을 해줘야 겠죠? 더블클릭
더블 클릭 후 "SMTP", "IIS" 체크 후 저장
기본적으로 해당 2개를 주로 할당하는데, 혹시라도 고객사에서 다른 서비스도 할당해서 사용 중인지 확인 해주세요
항상 이렇게 무서운 메시지가 뜨더라고요
기존 인증서에 할당 된 SMTP 서비스를 이번에 신규로 갱신할 인증서에 할당하겠다는 얘기입니다
"예" 클릭!
그이후에 IIS 재시작을 진행하면 인증서 갱신이 완료돼요
IIS 재시작을 안해도 갱신이 되긴 하는데, 몇번 장애를 겪었었습니다.
예를 들면, Exchange Powershell이 작동을 안하던지 등등이요
주요 서비스의 IIS APP Pool만 재시작을 해도 되긴 하지만 주로 인증서 작업은 야간에 진행하다보니
저는 IIS Reset을 해줍니다
하지만 다음 스텝을 진행 후 IIS Reset을 진행할 예정이니 아직 진행하지 않아도 돼요
여기까지가 기본적인 Exchange 인증서 변경 시나리오 입니다
아래부턴 하이브리드 환경일 때 추가적으로 변경해야 할 내용 이에요.
Exchange Hybrid와 관련된 커넥터의 인증서 설정을 변경해줘야 해요
Send Connector 중 "Outbound to Office 365 - 5013b94b-5e8c-483c-a3ec-c146f6178469"
Send Connector에서 Exchange On-Prem <> Exchange Online 내부 메일 Flow와 관련된 커넥터 이름
Get-SendConnector
Identity AddressSpaces Enabled
-------- ------------- -------
Outbound to Office 365 - 5013b94b-5e8c-483c-a3ec-c146f6178469 {smtp:o959o365.mail.onmicrosoft.com;1} True
Outbound to Internet via Office 365 {smtp:*;1} True
Receive Connector 중 "EX16-01\Default Frontend EX16-01"
Receive Connector에서 Exchange On-Prem <> Exchange Online 내부 메일 Flow와 관련된 커넥터 이름
Get-ReceiveConnector
Identity Bindings Enabled
-------- -------- -------
EX16-01\Default EX16-01 {0.0.0.0:2525, [::]:2525} True
EX16-01\Client Proxy EX16-01 {[::]:465, 0.0.0.0:465} True
EX16-01\Default Frontend EX16-01 {[::]:25, 0.0.0.0:25} True
EX16-01\Outbound Proxy Frontend EX16-01 {[::]:717, 0.0.0.0:717} True
EX16-01\Client Frontend EX16-01 {[::]:587, 0.0.0.0:587} True
이 두가지 커넥터에 대하여 인증서를 갱신해줘야 해요
우선 갱신한 인증서 중 최신 인증서의 Thumbprint를 확인해주세요 "28F87280E6A6EB1500025281FAE4570A423095C1"
같은 이름으로 두개가 있지만, WebService가 할당 된 인증서 겠죠?
Get-ExchangeCertificate
Thumbprint Services Subject
---------- -------- -------
28F87280E6A6EB1500025281FAE4570A423095C1 ...WS.. CN=mail.o959.net
E247C0D9371309E07D158AF4C1C9DCB05F3542FB ....S.. CN=mail.o959.net
22C9D610E764975A053405AC3B007A7B84DEA36C ....S.. CN=Microsoft Exchange Server Auth Certificate
4871BB4AD6219FF082915F27B347C67F6472A883 IP.WS.. CN=EX16-01
218E1D1D44E4671C8272DC55B8C8137991B66B2E ....... CN=WMSvc-SHA2-EX16-01
위에서 확인이 불안하신 분은 인증서 속성 값에서 확인해주세요
$TLSCert = Get-ExchangeCertificate -Thumbprint "28F87280E6A6EB1500025281FAE4570A423095C1"
$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
$TLSCertName
<I>CN=R3, O=Let's Encrypt, C=US<S>CN=mail.o959.net위 명령어로 TLSCertName의 변수 값을 만들어주세요.
Set-SendConnector "Outbound to Office 365 - 5013b94b-5e8c-483c-a3ec-c146f6178469" -TlsCertificateName $TLSCertName
WARNING: The command completed successfully but no settings of 'Outbound to Office 365 - 5013b94b-5e8c-483c-a3ec-c146f6178469' have been modified.
Set-ReceiveConnector "EX16-01\Default Frontend EX16-01" -TlsCertificateName $TLSCertName
WARNING: The command completed successfully but no settings of 'EX16-01\Default Frontend EX16-01' have been modified.위 처럼 각 커넥터의 인증서를 업데이트 해주세요
경고 값이 출력되는 이유는 기존 인증서와 동일하기 때문이고 정상적으로 변경 되었다고 보시면 돼요
여기까지가 인증서 갱신은 완료 되었고
기존 인증서 삭제는 Exchange 관리 센터에서는 삭제되지 않아요
(몇번 해보니까 삭제되는 경우도 있네요)
유효기간은 잘 확인 하셔서 certlm.msc에서 삭제를 해주세요!
그리고 IIS Reset을 하면 완료 됩니다!
Exchange Hybrid 환경 인증서 갱신 진행 (Exchange Hybrid 마법사 이용)
Exchange Hybrid 마법사를 이용해서 인증서를 갱신하려고 해요
아마 대부분 예상하셨겠지만 위에서 진행한 Step을 자동으로 Hybrid 마법사에서 진행해줘요
하이브리드 마법사가 실행 안되는 경우 아래 URL 참조해주세요
Hybrid 마법사 실행 후 기존과 동일하게 Next를 쭉 클릭해줍니다
위 인증서 선택 화면에서 신규 인증서를 선택해주세요
해당 인증서는 certlm.msc 에서 Import가 되어 있어야 합니다
완료 되었어요
Exchange 관리센터에서 신규 인증서에 대해 IIS랑 SMTP 서비스를 할당해줘야 해요
그리고 IIS Reset
직접 해보니까 하이브리드 마법사에서 진행하는 방법이 훨씬 쉽네요
'Microsoft 제품' 카테고리의 다른 글
| SPF/DKIM/DMARC 레코드가 정상적인지 확인하기 (0) | 2024.01.04 |
|---|---|
| Exchange 기본 Mailbox Database 삭제 방법 (0) | 2024.01.03 |
| [MSCS] (4) SQL Cluster Failover 확인 (0) | 2023.12.28 |
| [MSCS] (3) SQL Cluster 구성 (0) | 2023.12.21 |
| [MSCS] (2) Cluster Service 구성 (0) | 2023.12.21 |