Microsoft IIS / Exchange SSL 인증서 설치/적용 가이드

사전 구성 환경

  • 마이크로소프트에서 제공되는 Windows Server 의 패치중 인증서/암호화/IIS 관련 최신 패치 적용
  • TLS / SHA-2(sha256) 암호화 지원 모듈 구성/활성 확인 필수

진행 과정

  1. CSR(Certificate Signing Request) 생성
  2. 인증서 발급 신청 제출
  3. 인증서 발급 신청
  4. 인증서 설치 적용
  5. 정상 적용 완료 테스트

CSR(Certificate Signing Request) 생성

본 과정은, 인증서 신청시 자동생성 이용을 권장합니다. 자동생성시 domain_xxxxx.pfx 파일 포맷으로 제공됩니다.

Wildcard

CN : *.example.com 과 같은 패턴 이어야 합니다.

MultiDomain

CN : example.com 대표성을 가진 도메인 1개만 입력 합니다. 포함될 나머지 도메인 목록은 신청서에 별도 입력합니다.

IIS 7/8 인증서 설치 - PFX 포맷 파일 예제

메뉴 IIS 관리자 구성 요소중 서버인증서 오른쪽 작업 메뉴에서 가져오기

발급 받은 domain_xxxxx.pfx 파일을 선택하고, 암호에는 .pfx 암호를 넣습니다. 인증서 저장소는 웹 호스팅을 선택하셔야 합니다.
인증서 가져오기 완료후에 다음 단계는 인증서를 적용할 사이트 속성으로 이동합니다. (단일 인증서 기준)


메뉴 IIS 관리자 사이트 선택 후 오른쪽 메뉴의 바인딩 추가 클릭 https/포트 설정후, 앞서 가져오기 했던 인증서를 선택 확인

IIS 6 인증서 설치 - PFX 포맷 파일 예제

메뉴 IIS 관리자


인증서 설치 - .crt 서버 응답 파일 예제

IIS 6 발급 받은 domain_xxxxx.crt.pem 파일을 지정


IIS 7/8 IIS 관리자 - 작업 - 인증서 요청 완료 : 발급 받은 domain_xxxxx.crt.pem 파일을 지정

Root / Chain 인증서 설치 - 로컬컴퓨터 - 저장소 자동 (RootChain 폴더내 모든 .crt 파일)

Multi/Wildcard 인증서 적용

IIS GUI 관리자에서는 여러 사이트에 대해서 동일 바인딩 설정시 오작동이 있을수 있으므로, 기본 제공되는 스크립트를 이용해서 바인딩 설정을 진행해야 합니다. (IIS 8 의 경우 GUI 메뉴에서 https 바인딩 설정시 별도의 호스트 이름이 지정 가능하지만, 최신 버젼의 웹브라우져에서만 호환 되는 규격이므로 설정하지 않는 것이 좋습니다)

IIS 6

추가

cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set /w3svc/식별자ID/SecureBindings ":443:인증서가 적용되는 도메인"
멀티도메인 또는 와일드카드 도메인에 해당하는 IIS 사이트에 모두 적용을 진행 합니다.

삭제

cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs delete /w3svc/식별자ID/SecureBindings

IIS 7/8 +

추가

appcmd set site /site.name:"사이트 이름" /+bindings.[protocol='https',bindingInformation='*:443:인증서가 적용되는 도메인']
멀티도메인 또는 와일드카드 도메인에 해당하는 IIS 사이트에 모두 적용을 진행 합니다.

삭제

appcmd set site /site.name:"사이트 이름" /-bindings.[protocol='https',bindingInformation='*:443:인증서가 적용되는 도메인']

Exchange 인증서 적용

Exchange 2007+

메뉴 MMC 인증서 스냅인 컴퓨터 계정 트리에서 웹호스팅 인증서 기타작업-모든작업-가져오기

추가

1. Thumbprint 확인
PowerShell : Get-ExchangeCertificate -DomainName [인증서도메인]
2. 인증서 적용
PowerShell : Enable-ExchangeCertificate -ThumbPrint [Thumbprint 문자열] -Services "SMTP, IMAP, POP, IIS"

삭제

PowerShell : Remove-ExchangeCertificate -Thumbprint [Thumbprint 문자열]