Microsoft IIS / Exchange SSL 인증서 설치/적용 가이드

사전 구성 환경

  • 마이크로소프트에서 제공되는 Windows Server 의 패치중 인증서/암호화/IIS 관련 최신 패치 적용
  • TLS / SHA-2(sha256) 암호화 지원 모듈 구성/활성 확인 필수
  • MD5, RC4 등 국제 보안 기구에서 해제를 권장하는 취약한 암호화 모듈 비활성화

진행 과정

  1. CSR(Certificate Signing Request) 생성
  2. 인증서 발급 신청 제출
  3. 인증서 발급 신청
  4. 인증서 설치 적용
  5. 정상 적용 완료 테스트

CSR(Certificate Signing Request) 생성

- 본 과정은, 인증서 신청서 작성시 CSR 자동생성 이용을 권장합니다. ".pfx / .key" 파일이 제공됩니다.
- 제공되는 ".pfx" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.

Wildcard

CN : *.example.com 과 같은 패턴 이어야 합니다.

MultiDomain

CN : example.com 대표성을 가진 도메인 1개만 입력 합니다. 포함될 나머지 도메인 목록은 신청서에 별도 입력합니다.

IIS 7/8 인증서 설치 - PFX 포맷 파일 예제

메뉴 IIS 관리자 구성 요소중 서버인증서 오른쪽 작업 메뉴에서 가져오기

발급 받은 domain_xxxxx.pfx 파일을 선택하고, 암호에는 .pfx 암호를 넣습니다. 인증서 저장소는 웹 호스팅을 선택하셔야 합니다.
인증서 가져오기 완료후에 다음 단계는 인증서를 적용할 사이트 속성으로 이동합니다. (단일 인증서 기준)


메뉴 IIS 관리자 사이트 선택 후 오른쪽 메뉴의 바인딩 추가 클릭 https/포트 설정후, 앞서 가져오기 했던 인증서를 선택 확인

IIS 6 인증서 설치 - PFX 포맷 파일 예제

메뉴 IIS 관리자


인증서 설치 - .crt 서버 응답 파일 예제

IIS 6 발급 받은 domain_xxxxx.crt.pem 파일을 지정


IIS 7/8 IIS 관리자 - 작업 - 인증서 요청 완료 : 발급 받은 domain_xxxxx.crt.pem 파일을 지정

Root / Chain 인증서 설치 - 로컬컴퓨터 - 저장소 자동 (RootChain 폴더내 모든 .crt 파일)

Multi/Wildcard 인증서 적용

IIS GUI 관리자에서는 여러 사이트에 대해서 동일 바인딩 설정시 오작동이 있을수 있으므로, 기본 제공되는 스크립트를 이용해서 바인딩 설정을 진행해야 합니다. (IIS 8 의 경우 GUI 메뉴에서 https 바인딩 설정시 별도의 호스트 이름이 지정 가능하지만, 최신 버젼의 웹브라우져에서만 호환 되는 규격이므로 설정하지 않는 것이 좋습니다)

IIS 6

추가

cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set /w3svc/식별자ID/SecureBindings ":443:인증서가 적용되는 FQDN"
멀티도메인 또는 와일드카드 도메인에 해당하는 IIS 사이트에 모두 적용을 진행 합니다.

삭제

cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs delete /w3svc/식별자ID/SecureBindings

IIS 7/8 +

추가

appcmd set site /site.name:"사이트 이름" /+bindings.[protocol='https',bindingInformation='*:443:인증서가 적용되는 FQDN']
멀티도메인 또는 와일드카드 도메인에 해당하는 IIS 사이트에 모두 적용을 진행 합니다.

삭제

appcmd set site /site.name:"사이트 이름" /-bindings.[protocol='https',bindingInformation='*:443:인증서가 적용되는 FQDN']

Exchange 인증서 적용

Exchange 2007+

메뉴 MMC 인증서 스냅인 컴퓨터 계정 트리에서 웹호스팅 인증서 기타작업-모든작업-가져오기

추가

1. Thumbprint 확인
PowerShell : Get-ExchangeCertificate -DomainName [인증서도메인]
2. 인증서 적용
PowerShell : Enable-ExchangeCertificate -ThumbPrint [Thumbprint 문자열] -Services "SMTP, IMAP, POP, IIS"

삭제

PowerShell : Remove-ExchangeCertificate -Thumbprint [Thumbprint 문자열]