Exchange 서버를 운영하다 보면 SSL 인증서 만료로 인한 메일 서비스 중단을 경험해보신 적이 있으실 겁니다. 인증서가 만료되면 OWA 접속 불가, 메일 클라이언트 연결 오류, SMTP/IMAP 서비스 장애 등 심각한 문제가 발생할 수 있죠. 오늘은 이런 문제를 사전에 방지할 수 있는 다양한 인증서 확인 방법들을 자세히 알아보겠습니다.
1. PowerShell(Exchange Management Shell)을 통한 확인
Exchange 관리에서 가장 강력하고 정확한 방법은 PowerShell을 사용하는 것입니다.
기본 인증서 목록 확인
Get-ExchangeCertificate
이 명령어는 설치된 모든 인증서의 기본 정보를 보여줍니다.
상세 정보 확인
Get-ExchangeCertificate | Format-List FriendlyName,Subject,Thumbprint,NotAfter,NotBefore,Services,IsSelfSigned
만료일과 서비스 할당 상태 확인
Get-ExchangeCertificate | Select-Object Thumbprint,Services,NotAfter,Subject,CertificateDomains | Format-Table -AutoSize
제3자 인증서만 확인
Get-ExchangeCertificate | Where-Object {$_.IsSelfSigned -eq $false} | Format-List FriendlyName,CertificateDomains,Thumbprint,NotAfter
특정 서비스에 할당된 인증서 확인
Get-ExchangeCertificate | Where-Object {$_.Services -match "SMTP"} | Format-List Thumbprint,Services,NotAfter,Subject
서비스별 확인
| 서비스 | 설명 |
|---|---|
| IIS | 웹 기반 서비스 (OWA, EAC, EWS) |
| SMTP | 메일 전송 서비스 |
| IMAP | IMAP4 서비스 |
| POP | POP3 서비스 |
| UM | 통합 메시징 |
2. Exchange Admin Center(EAC)를 통한 확인
EAC는 시각적으로 인증서 상태를 확인하기 좋은 방법입니다.
접근 경로
- Exchange Admin Center에 로그인
- 서버 > 인증서 메뉴 이동
- 서버 드롭다운에서 확인할 Exchange 서버 선택
확인 가능한 정보
- 인증서 상태 (Valid, Invalid, Expired)
- 만료일
- 할당된 서비스
- 주체 이름과 발급자
참고: Exchange Server 2019 CU15 이후 버전에서만 EAC 사용 가능하며, 이전 버전은 PowerShell을 사용해야 합니다.
3. MMC 스냅인을 통한 확인
Windows의 기본 인증서 관리 도구를 활용하는 방법입니다.
접근 방법
- 시작 → 실행 →
mmc입력 - 파일 → 스냅인 추가/제거
- 인증서 선택 → 추가
- 컴퓨터 계정 선택 → 다음
- 로컬 컴퓨터 → 마침
확인 위치
- 개인 > 인증서: 설치된 인증서 목록
- 신뢰할 수 있는 루트 인증 기관: 루트 CA 인증서
OAuth 인증서 확인
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject,Thumbprint,NotAfter,NotBefore
4. IIS Manager를 통한 확인
웹 서비스 관련 인증서는 IIS Manager에서도 확인할 수 있습니다.
확인 절차
- IIS 관리자 실행
- 서버 노드 선택
- 서버 인증서 더블클릭
- 인증서 목록에서 만료일 확인
사이트별 바인딩 확인
- 사이트 → 기본 웹 사이트 선택
- 작업 패널에서 바인딩 클릭
- HTTPS 바인딩의 SSL 인증서 확인
5. 브라우저를 통한 실시간 확인
실제 서비스 동작 상태를 확인하는 가장 직관적인 방법입니다.
확인 방법
- 웹 브라우저에서
https://mail.yourdomain.com/owa접속 - 주소창의 자물쇠 아이콘 클릭
- 인증서 정보 확인
온라인 도구 활용
6. 자동화 스크립트 활용
정기적인 모니터링을 위해 PowerShell 스크립트를 작성할 수 있습니다.
만료 임박 인증서 확인 스크립트
# 30일 이내 만료 예정 인증서 확인
$ExpiryThreshold = (Get-Date).AddDays(30)
$ExpiringSoon = Get-ExchangeCertificate | Where-Object {$_.NotAfter -le $ExpiryThreshold -and $_.IsSelfSigned -eq $false}
if ($ExpiringSoon) {
Write-Host "만료 임박 인증서가 발견되었습니다!" -ForegroundColor Red
$ExpiringSoon | Format-Table Subject,NotAfter,Services -AutoSize
} else {
Write-Host "모든 인증서가 정상 상태입니다." -ForegroundColor Green
}
7. 주요 인증서 유형별 확인 포인트
Microsoft Exchange 자체 서명 인증서
- 기본 5년 유효기간
- Exchange 설치 시 자동 생성
- SMTP 내부 통신용으로 주로 사용
제3자 CA 인증서
- 공개적으로 신뢰할 수 있는 인증서
- OWA, EWS 등 외부 접근 서비스용
- 갱신 주기는 보통 1-3년
Exchange OAuth 인증서
- 서버 간 인증용
- Hybrid 환경에서 중요
- 만료 시 OWA/EAC 접속 불가
8. 자주 겪는 문제들
인증서가 목록에 나타나지 않는 경우
# Exchange Auth 인증서 상태 확인
C:\Scripts\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true
Get-ExchangeCertificate 명령어가 빈 결과를 반환하는 경우
이는 보통 OAuth 인증서 문제로 발생합니다. MonitorExchangeAuthCertificate.ps1 스크립트를 다운로드하여 실행하면 문제를 해결할 수 있습니다.
인증서 바인딩 확인
IIS와 Exchange Backend 사이트의 바인딩이 올바른지 확인해야 합니다:
- Exchange Backend: Microsoft Exchange 인증서
- Default Web Site: 제3자 CA 인증서
9. 모니터링 주기 권장사항
| 점검 항목 | 권장 주기 | 담당자 |
|---|---|---|
| 전체 인증서 상태 | 주 1회 | 시스템 관리자 |
| 만료 임박 인증서 | 일 1회 | 자동화 스크립트 |
| 외부 접근 테스트 | 주 1회 | 운영팀 |
| 갱신 프로세스 검토 | 분기 1회 | IT 팀장 |
Exchange 서버의 인증서 관리는 메일 시스템의 안정성과 보안을 위해 매우 중요합니다. 정기적인 모니터링과 사전 점검을 통해 서비스 중단 없이 안정적인 메일 서비스를 제공할 수 있습니다. 특히 PowerShell을 활용한 자동화 스크립트를 구축하면 더욱 효율적인 관리가 가능합니다. 인증서 만료로 인한 장애를 예방하기 위해서는 최소 30일 전부터 갱신 작업을 준비하시기 바랍니다. 또한 Hybrid 환경의 경우 OAuth 인증서 관리에 특별한 주의를 기울여야 합니다.