Share via

New-ExchangeCertificate(RTM)

  • 아티클

 

적용 대상: Exchange Server 2007

마지막으로 수정된 항목: 2007-09-13

New-ExchangeCertificate cmdlet를 사용하여 TLS(전송 계층 보안) 및 SSL(Secure Sockets Layer) 서비스를 위한 새로운 자체 서명 인증서 또는 새 인증서 요청을 만들 수 있습니다.

중요

SSL 및 TLS 서비스용 인증서를 구성할 경우 고려해야 하는 여러 가지 변수가 있습니다. 이러한 변수가 전체 구성에 어떻게 영향을 줄 수 있는지 이해해야 합니다. 계속하기 전에 Exchange 2007 서버에서 인증서 사용을 참조하십시오.

구문

New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]

자세한 정보

New-ExchangeCertificate cmdlet는 SwitchParameter 종류의 많은 매개 변수를 사용합니다. 이 종류를 사용하는 방법에 대한 자세한 내용은 매개 변수의 "매개 변수 스위치"를 참조하십시오.

New-ExchangeCertificate cmdlet를 실행하려면 사용하는 계정이 다음을 위임받아야 합니다.

  • 대상 서버에 대한 Exchange Server 관리자 역할 및 로컬 관리자 그룹

Edge 전송 서버 역할이 설치된 컴퓨터에서 New-ExchangeCertificate cmdlet를 실행하려면 해당 컴퓨터의 로컬 관리자 그룹에 속한 계정을 사용하여 로그온해야 합니다.

사용 권한, 역할 위임 및 Microsoft Exchange Server 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.

매개 변수

매개 변수 필수 종류 설명

BinaryEncoded

선택

System.Management.Automation.SwitchParameter

이 매개 변수 스위치를 사용하여 내보낸 파일을 인코딩하는 방법을 지정합니다. 기본적으로 이 cmdlet는 Base64 인코딩 파일을 만듭니다.

DER 인코딩 파일을 만들려면 이 매개 변수를 $True로 설정해야 합니다.

DomainController

선택

System.String

Active Directory 디렉터리 서비스에서 데이터를 검색하는 도메인 컨트롤러의 FQDN(정규화된 도메인 이름)을 지정하려면 명령에 DomainController 매개 변수를 포함시킵니다. Edge 전송 서버 역할을 실행하는 컴퓨터에서는 DomainController 매개 변수가 지원되지 않습니다. Edge 전송 서버 역할은 로컬 ADAM(Active Directory Application Mode) 인스턴스에만 기록합니다.

DomainName

선택

Microsoft.Exchange.Data.MultiValuedProperty

이 매개 변수를 사용하여 결과 인증서 요청에서 하나 이상의 도메인 이름(FQDN) 또는 서버 이름을 채웁니다.

도메인 이름에 사용할 수 있는 문자는 "a-z", "0-9" 및 하이픈("-")으로 제한됩니다. 각 도메인 이름은 255자를 초과할 수 없습니다.

도메인 또는 서버 이름을 여러 개 입력하려면 이름을 쉼표로 구분하여 입력해야 합니다.

Force

선택

System.Management.Automation.SwitchParameter

이 매개 변수 스위치를 사용하면 이 cmdlet에서 지정된 것처럼 같은 파일 경로와 일치하는 기존 인증서 요청 파일을 덮어씁니다.

기본적으로 이 cmdlet는 기존 파일을 덮어쓰지 않습니다.

FriendlyName

선택

System.String

결과 인증서의 이름을 지정하려면 이 매개 변수를 사용합니다. 친숙한 이름은 64자 미만이어야 합니다.

기본 이름은 "Microsoft Exchange"입니다.

GenerateRequest

선택

System.Management.Automation.SwitchParameter

이 매개 변수를 사용하여 만들 인증서 개체의 종류를 지정합니다.

기본적으로 이 매개 변수는 자체 서명 인증서를 로컬 컴퓨터 인증서 저장소에 만듭니다.

PKI 인증서(PKCS #10)용 인증서 요청을 로컬 요청 저장소에 만들려면 이 매개 변수를 $True로 설정합니다.

IncludeAcceptedDomains

선택

System.Management.Automation.SwitchParameter

이 매개 변수를 사용하면 도메인 이름 필드에서 정의된 모든 허용 도메인을 포함할 수 있습니다.

요청에서 DomainName 매개 변수를 지정할 수도 있습니다. 결과 인증서 또는 요청에는 두 값의 조합이 포함됩니다.

IncludeAutoDiscover

선택

System.Management.Automation.SwitchParameter

이 매개 변수를 사용하면 결과 인증서에 대해 생성되는 각 도메인 이름에 접두사 "autodiscover"를 추가합니다. 클라이언트 액세스 서버 역할이 설치되어 있는 Exchange Server에서 이 cmdlet를 실행 중일 때만 이 매개 변수를 지정할 수 있습니다. 참고: 도메인 이름에 이미 접두사가 있으면 이 매개 변수는 "autodiscover" 접두사를 추가하지 않습니다.

Instance

선택

System.Security.Cryptography.X509Certificates.X509Certificate2

처리할 명령에 전체 개체를 전달하려면 이 매개 변수를 사용합니다. Instance 매개 변수는 주로 전체 개체를 명령에 전달해야 하는 스크립트에서 사용됩니다.

KeySize

선택

System.Int32

이 매개 변수를 사용하면 사용자가 만들고 있는 인증서와 연결된 RSA 공개 키의 크기(비트)를 지정할 수 있습니다.

올바른 값은 4096, 20481024입니다. 기본값은 2048입니다.

Path

선택

System.String

이 매개 변수를 사용하여 결과 PKCS #10 요청 파일의 경로를 지정합니다.

이 매개 변수는 GenerateRequest$true로 설정되어 있는 경우에만 사용할 수 있습니다.

New-ExchangeCertificate cmdlet는 Path 매개 변수가 지정되어 있더라도 로컬 인증서 저장소에서 인증서 요청을 생성합니다. 로컬 인증서 저장소에서 생성되는 인증서 요청에는 결과 인증서에 대한 키가 포함되어 있습니다.

이 매개 변수를 사용할 경우 요청 파일의 이름을 지정해야 합니다. 이름은 다음 예와 같이 .req 확장자로 끝나야 합니다.

-Path c:\certificates\request.req

.req 파일은 CA(인증 기관)에서 인증서를 생성하는 데 사용됩니다.

PrivateKeyExportable

선택

System.Boolean

이 매개 변수를 사용하여 결과 인증서에 내보낼 수 있는 개인 키를 포함할지 여부를 지정합니다.

기본적으로 이 cmdlet로 만든 모든 인증서 요청 및 인증서는 개인 키를 내보낼 수 없게 되어 있습니다.

개인 키를 내보낼 수 없을 경우 인증서 자체를 내보내거나 가져올 수 없음에 유의하십시오.

결과 인증서에서 개인 키 내보내기를 허용하려면 이 매개 변수를 $true 로 설정하십시오.

Services

선택

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

이 매개 변수를 사용하여 결과 인증서를 사용할 서비스를 지정합니다. GenerateRequest 값을 $true로 설정한 경우 서비스를 지정할 수 없습니다.

올바른 항목은 다음의 조합을 포함합니다.

  • IMAP

  • POP

  • UM

  • IIS

  • SMTP

  • None

여러 서비스에 대해 자체 서명 인증서를 만들려면 다음 예와 같이 값을 큰따옴표로 묶고 쉼표로 이들을 구분합니다.

-Services "IMAP, POP, IIS"

사용할 수 없도록 인증서를 만들어 다른 컴퓨터로 내보낼 수 있도록 하려면 이 매개 변수를 None으로 설정합니다.

기본값은 SMTP입니다.

SubjectName

선택

System.Security.Cryptography.X509Certificates.X500DistinguishedName

이 매개 변수를 사용하여 결과 인증서에서 주체 이름을 지정합니다.

인증서의 주체 이름은 DNS 인식 서비스에서 사용되는 필드입니다. 주체 이름 필드는 인증서를 특정 서버 또는 도메인 이름에 바인딩합니다.

주체 이름은 RDN으로도 알려진 하나 이상의 관련 고유 이름으로 구성된 X.500 고유 이름입니다.

기본적으로 cmdlet가 실행되는 서버의 FQDN은 결과 인증서에서 CN으로 사용됩니다.

입력 형식

반환 형식

오류

오류 설명

 

예외

예외 설명

 

예제

첫 번째 예는 인수가 없는 cmdlet의 실행을 보여줍니다. 인수 없이 New-ExchangeCertificate cmdlet를 실행할 경우 SMTP SSL/TLS용 자체 서명 인증서가 생성됩니다. 인증서는 주체 이름으로 로컬 컴퓨터 FQDN을 가집니다. Edge 전송 서버와 허브 전송 서버 간의 직접 신뢰 인증 및 암호화에 이 내부 전송 인증서를 그대로 사용할 수 있습니다. 네트워크 서비스 로컬 보안 그룹도 인증서와 연결된 개인 키에 대한 읽기 액세스 권한이 제공됩니다. 또한 인증서는 Active Directory에 게시되므로 Exchange Server 직접 신뢰가 상호 TLS용 서버의 신뢰성을 확인하는 데 사용됩니다.

두 번째 예는 인증서 요청이 생성되고 로컬 컴퓨터의 경로로 복사되는 cmdlet의 실행을 보여줍니다. 이 결과 인증서는 인증서와 연결된 다음 특성을 가지게 됩니다.

  • 주체 이름: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com

  • 주체 대체 이름: woodgrove.com 및 example.com

  • 내보낼 수 있는 개인 키

자세한 내용은 TLS에 대한 인증서 또는 인증서 요청 만들기 및 다음 Exchange Server 팀 블로그 항목을 참조하십시오.

자세한 내용은 Domain Security White Paper를 참조하십시오.

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true