신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성

 

적용 대상: Windows 8.1, Windows Server 2012 R2

Windows Server 2012 R2, Windows Server 2012, Windows 8.1 및 Windows 8 운영 체제에는 매일 CTL(인증서 신뢰 목록)을 다운로드하는 자동 업데이트 메커니즘이 포함되어 있습니다.Windows Server 2012 R2 및 Windows 8.1에서는 추가 기능을 사용하여 CTL 업데이트 방법을 제어할 수 있습니다.

System_CAPS_ICON_important.jpg 중요


소프트웨어 업데이트는 Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 및 Windows Vista에 사용할 수 있습니다. 이 문서에 설명된 자동 업데이트 메커니즘의 향상된 기능을 제공하려면 다음 업데이트를 적용하세요.

  • Windows Server 2008 R2, Windows Server 2008, Windows 7 또는 Windows Vista의 경우 Microsoft 기술 자료 문서 2677070에 나열된 적절한 업데이트를 적용합니다.
  • Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 또는 Windows Vista의 경우 Microsoft 기술 자료 문서 2813430에 나열된 적절한 업데이트를 적용합니다.

Microsoft 루트 인증서 프로그램을 통해 Windows 운영 체제 내에서 신뢰할 수 있는 루트 인증서를 배포할 수 있습니다. Windows 루트 인증서 프로그램의 구성원 목록에 대한 자세한 내용은 Windows 루트 인증서 프로그램 - 구성원 목록(모든 CA)을 참조하세요.

신뢰할 수 있는 루트 인증서는 Windows 운영 체제의 신뢰할 수 있는 루트 인증 기관에 배치됩니다. 이러한 인증서는 운영 체제에서 신뢰할 수 있으며, 응용 프로그램에서 신뢰할 수 있는 PKI(공개 키 인프라) 계층 구조 및 디지털 인증서에 대한 참조로 사용할 수 있습니다. 신뢰할 수 있는 루트 인증서를 배포하는 방법에는 두 가지가 있습니다.

  1. 자동: 신뢰할 수 있는 루트 인증서 목록이 CTL에 저장됩니다. 클라이언트 컴퓨터는 자동 업데이트 메커니즘을 통해 이 CTL을 업데이트하여 Windows 업데이트 사이트에 액세스합니다.

    System_CAPS_ICON_note.jpg 참고


    신뢰할 수 있는 루트 인증서 목록을 신뢰할 수 있는 CTL이라고 합니다.

  2. 수동: 신뢰할 수 있는 루트 인증서 목록을 Microsoft 다운로드 센터나 Windows 카탈로그에서 또는 WSUS(Windows Server Update Services)를 사용하여 자동 압축 풀기 IEXPRESS 패키지로 사용할 수 있습니다. IEXPRESS 패키지는 신뢰할 수 있는 CTL과 동시에 릴리스됩니다.

System_CAPS_ICON_note.jpg 참고


이러한 업데이트 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 931125를 참조하세요.

신뢰할 수 없는 인증서는 사기성 있는 것으로 공개적으로 알려진 인증서입니다. 신뢰할 수 있는 CTL과 마찬가지로 신뢰할 수 없는 인증서 목록을 배포하는 데 사용되는 메커니즘에도 두 가지가 있습니다.

  1. 자동: 신뢰할 수 없는 인증서 목록이 CTL에 저장됩니다. 클라이언트 컴퓨터는 자동 업데이트 메커니즘을 통해 이 CTL을 업데이트하여 Windows 업데이트 사이트에 액세스합니다.

    System_CAPS_ICON_note.jpg 참고


    신뢰할 수 없는 인증서 목록을 신뢰할 수 없는 CTL이라고 합니다. 자세한 내용은 신뢰할 수 없는 인증서 및 키의 자동화된 업데이트 프로그램 발표를 참조하세요.

  2. 수동: 신뢰할 수 없는 인증서 목록이 필수 보안 Windows 업데이트의 자동 압축 풀기 IEXPRESS 패키지로 제공됩니다.

Windows Server 2012 R2 및 Windows 8.1(또는 위에 설명된 소프트웨어 업데이트의 설치) 이전에는 동일한 레지스트리 설정이 신뢰할 수 있는 루트 인증서와 신뢰할 수 없는 인증서에 대한 업데이트를 제어했습니다. 관리자가 두 가지 인증서 중 하나를 선택적으로 사용하거나 사용하지 않도록 설정할 수 없었습니다. 이로 인해 다음과 같은 문제가 발생했습니다.

  • 조직의 현재 환경이 연결이 끊어진 환경인 경우 CTL을 업데이트하려면 IEXPRESS 패키지를 사용하는 방법밖에 없었습니다.

    System_CAPS_ICON_note.jpg 참고


    이 문서에서는 컴퓨터에서 Windows 업데이트 사이트에 액세스할 수 없는 컴퓨터 네트워크를 연결이 끊어진 환경으로 간주합니다.

    IEXPRESS 업데이트 방법은 주로 수동 프로세스입니다. 또한 IEXPRESS 패키지는 CTL이 릴리스되는 즉시 사용하지 못할 수 있으므로 이 방법을 사용할 경우 이러한 업데이트를 설치하는 데 추가적인 지연이 발생할 수 있습니다.

  • 연결이 끊어진 환경이나 연결된 환경에서 신뢰할 수 있는 루트 인증서 목록을 관리하는 관리자는 신뢰할 수 있는 CTL의 자동 업데이트를 사용하지 않도록 설정하는 것이 좋습니다. 그러나 신뢰할 수 없는 CTL의 경우에는 자동 업데이트를 사용하지 않도록 설정하는 것이 권장되지 않습니다.

    자세한 내용은 인터넷을 통한 정보의 흐름을 방지하도록 루트 인증서 업데이트 기능 제어를 참조하세요.

  • 네트워크 관리자가 신뢰할 수 있는 CTL에서 신뢰할 수 있는 루트 인증서만 보고 추출할 수 있는 방법이 없기 때문에 신뢰할 수 있는 인증서의 사용자 지정 목록을 관리하기가 어려웠습니다.

연결이 끊어진 환경에 대한 다음과 같은 향상된 자동 업데이트 메커니즘은 Windows Server 2012 R2 및 Windows 8.1에서 제공되며, 적절한 소프트웨어 업데이트가 설치된 경우에도 사용할 수 있습니다.

  • CTL을 저장하는 레지스트리 설정 새로운 설정을 통해 신뢰할 수 있는 CTL 또는 신뢰할 수 없는 CTL의 업로드 위치를 Windows 업데이트 사이트에서 조직의 공유 위치로 변경할 수 있습니다. 자세한 내용은 수정된 레지스트리 설정 섹션을 참조하세요.

  • 동기화 옵션 Windows 업데이트 사이트의 URL이 로컬 공유 폴더로 이동한 경우 로컬 공유 폴더를 Windows 업데이트 폴더와 동기화해야 합니다. 이 소프트웨어 업데이트는 Certutil 도구에 관리자가 동기화를 설정하는 데 사용할 수 있는 옵션 집합을 추가합니다. 자세한 내용은 새 Certutil 옵션 섹션을 참조하세요.

  • 신뢰할 수 있는 루트 인증서 선택 도구 이 소프트웨어 업데이트는 엔터프라이즈 환경에서 신뢰할 수 있는 루트 인증서 집합을 관리하는 관리자용 도구를 제공합니다. 관리자는 신뢰할 수 있는 루트 인증서 집합을 보고 선택하거나, 일련 인증서 저장소로 내보내거나, 그룹 정책을 사용하여 배포할 수 있습니다. 자세한 내용은 이 문서의 새 Certutil 옵션 섹션을 참조하세요.

  • 독립적 구성 신뢰할 수 있는 인증서와 신뢰할 수 없는 인증서에 대한 자동 업데이트 메커니즘을 독립적으로 구성할 수 있습니다. 이를 통해 관리자는 자동 업데이트 메커니즘을 사용하여 신뢰할 수 없는 CTL만 다운로드하고 신뢰할 수 있는 CTL의 고유한 목록을 관리할 수 있습니다. 자세한 내용은 이 문서의 수정된 레지스트리 설정 섹션을 참조하세요.

Windows Server 2012 R2 및 Windows 8.1에서는 관리자가 자동 업데이트 메커니즘을 사용하여 다음 파일을 다운로드하도록 파일 또는 웹 서버를 구성할 수 있습니다(위에 설명된 소프트웨어 업데이트를 지원되는 운영 체제에 설치한 경우에도 해당됨).

  • authrootstl.cab(타사 CTL 포함)

  • disallowedcertstl.cab(신뢰할 수 없는 인증서가 있는 CTL 포함)

  • disallowedcert.sst(신뢰할 수 없는 인증서를 비롯하여 일련 인증서 저장소 포함)

  • thumbprint.crt(타사 루트 인증서 포함)

이 구성을 수행하는 단계는 이 문서의 CTL 파일을 다운로드하도록 파일 또는 웹 서버 구성 섹션에 설명되어 있습니다.

관리자는 Windows Server 2012 R2 및 Windows 8.1을 사용하거나 위에 설명된 소프트웨어 업데이트를 지원되는 운영 체제에 설치하여 다음 작업을 수행할 수 있습니다.

System_CAPS_ICON_important.jpg 중요

  • 이 문서에 설명된 모든 단계에서는 로컬 Administrators 그룹의 구성원인 계정을 사용해야 합니다. 모든 AD DS(Active Directory 도메인 서비스) 구성 단계에서 Domain Admins 그룹의 구성원이거나 필요한 사용 권한이 위임된 계정을 사용해야 합니다.

  • 이 문서의 절차를 수행하려면 Microsoft에서 CTL을 다운로드할 수 있도록 인터넷에 연결할 수 있는 컴퓨터가 하나 이상 있어야 합니다. 또한 ctldl.windowsupdate.com에 연결하기 위해 HTTP(TCP 포트 80) 액세스 및 이름 확인(TCP 및 UDP 포트 53)이 가능해야 합니다. 이 컴퓨터는 도메인 구성원이거나 작업 그룹의 구성원일 수 있습니다. 현재 다운로드한 모든 파일에는 약 1.5MB의 공간이 필요합니다.

  • 이 문서에 설명된 설정은 GPO를 사용하여 구현됩니다. 이러한 설정은 GPO가 AD DS 도메인에서 제거되거나 연결이 끊어진 경우 자동으로 제거되지 않습니다. 구현한 후에는 GPO를 사용하거나 영향을 받는 컴퓨터의 레지스트리를 변경하는 방법으로만 이러한 설정을 변경할 수 있습니다.

  • 이 문서에 설명된 개념은 WSUS(Windows Server Update Services)와 무관합니다.

    • 이 문서에 설명된 구성을 구현하기 위해 WSUS를 사용할 필요가 없습니다.
    • WSUS를 사용하는 경우 이러한 지침은 해당 기능에 영향을 주지 않습니다.
    • WSUS 구현이 이 문서에 설명된 구성의 구현을 대체하지 않습니다.

연결이 끊어진 환경에서 신뢰할 수 있는 인증서 또는 신뢰할 수 없는 인증서의 배포를 용이하게 하려면 먼저 자동 업데이트 메커니즘에서 CTL 파일을 다운로드하도록 파일 또는 웹 서버를 구성해야 합니다.

System_CAPS_ICON_tip.jpg 


컴퓨터에서 Windows 업데이트 사이트에 직접 연결할 수 있는 환경에는 이 섹션에 설명된 구성이 필요하지 않습니다. Windows 업데이트 사이트에 연결할 수 있는 컴퓨터는 업데이트된 CTL을 매일 받을 수 있습니다(Windows Server 2012 또는 Windows 8을 실행하거나, 위에 설명된 소프트웨어 업데이트가 지원되는 운영 체제에 설치된 경우). 자세한 내용은 Microsoft 기술 자료 문서 2677070을 참조하세요.

CTL 파일을 검색하도록 인터넷에 액세스할 수 있는 서버를 구성하려면

  1. 파일 또는 웹 서버에 자동 업데이트 메커니즘을 사용하여 동기화할 수 있으며 CTL 파일을 저장하는 데 사용할 공유 폴더를 만듭니다.

    System_CAPS_ICON_tip.jpg 


    시작하기 전에 적절한 계정 액세스를 허용하도록(특히 서비스 계정에서 예약된 작업을 사용하려는 경우) 공유 폴더 권한 및 NTFS 폴더 권한을 조정해야 할 수 있습니다. 사용 권한 조정에 대한 자세한 내용은 공유 폴더의 사용 권한 관리를 참조하세요.

  2. 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.

    Certutil -syncWithWU \\<server>\<share>  
    
    

    <server>와 <share>를 각각 실제 서버 이름과 공유 폴더 이름으로 대체합니다. 예를 들어 CTL이라는 공유 폴더가 있는 Server1 서버에 대해 이 명령을 실행하는 경우 다음 명령을 실행합니다.

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. 연결이 끊어진 환경의 컴퓨터가 FILE 경로(예: FILE://\\Server1\CTL) 또는 HTTP 경로(예: HTTP://Server1/CTL)를 사용하여 네트워크를 통해 액세스할 수 있는 서버에 CTL 파일을 다운로드합니다.

System_CAPS_ICON_note.jpg 참고

  • 연결이 끊어진 환경의 컴퓨터에서 CTL을 동기화하는 서버에 액세스할 수 없는 경우에는 정보를 전송할 수 있는 다른 방법을 제공해야 합니다. 예를 들어 도메인 구성원 컴퓨터 중 하나가 서버에 연결한 다음 도메인 구성원 컴퓨터에서 내부 웹 서버의 공유 폴더로 정보를 가져오는 다른 작업을 예약하도록 허용할 수 있습니다. 네트워크에 연결되지 않은 경우 이동식 저장 장치와 같은 수동 프로세스를 사용하여 파일을 전송해야 할 수도 있습니다.
  • 웹 서버를 사용하려면 CTL 파일의 새 가상 디렉터리를 만들어야 합니다. IIS(인터넷 정보 서비스)를 사용하여 가상 디렉터리를 만드는 단계는 이 문서에 설명된 모든 지원되는 운영 체제에 거의 동일하게 적용됩니다. 자세한 내용은 가상 디렉터리 만들기(IIS7)를 참조하세요.
  • Windows의 특정 시스템 및 응용 프로그램 폴더에는 특별한 보호 기능이 적용된다는 점을 알아야 합니다. 예를 들어 inetpub 폴더에는 특별한 액세스 권한이 필요하므로 예약된 작업에서 파일을 전송하는 데 사용할 공유 폴더를 만들기가 어렵습니다. 일반적으로 관리자는 논리 드라이브 시스템의 루트에 파일 전송에 사용할 폴더 위치를 만들 수 있습니다.

네트워크의 컴퓨터가 도메인 환경에 구성되어 있을 때 자동 업데이트 메커니즘을 사용하거나 CTL을 다운로드할 수 없는 경우 AD DS에서 GPO를 구현하여 다른 위치에서 CTL 업데이트를 가져오도록 이러한 컴퓨터를 구성할 수 있습니다.

System_CAPS_ICON_note.jpg 참고


이 섹션의 구성을 구현하려면 CTL 파일을 다운로드하도록 파일 또는 웹 서버 구성의 단계가 이미 완료되었어야 합니다.

GPO에 대한 사용자 지정 관리 템플릿을 구성하려면

  1. 도메인 컨트롤러에서 새 관리 템플릿을 만듭니다. 텍스트 파일로 이 작업을 시작한 다음 파일 이름 확장명을 .adm으로 변경하면 됩니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. 설명이 포함된 이름(예: RootDirURL.adm)을 사용하여 파일을 저장합니다.

    System_CAPS_ICON_tip.jpg 

    • 파일 이름 확장명은 .txt가 아니라 .adm이어야 합니다.
    • 파일 이름 확장명 보기를 사용하도록 설정하지 않은 경우 방법: 파일 이름 확장명 보기를 참조하십시오.
    • 파일을 %windir%\inf 폴더에 저장하면 다음 단계에서 보다 쉽게 찾을 수 있습니다.
  3. 그룹 정책 관리 편집기를 엽니다.

    • Windows Server 2008 R2 또는 Windows Server 2008을 사용하는 경우 시작을 클릭한 다음 실행을 클릭합니다.

    • Windows Server 2012 R2 또는 Windows Server 2012를 사용하는 경우 Windows 키와 R 키를 동시에 누릅니다.

    GPMC.msc를 입력하고 Enter 키를 누릅니다.

    System_CAPS_ICON_caution.jpg 주의


    새 GPO를 도메인 또는 원하는 OU(조직 구성 단위)에 연결할 수 있습니다. 이 문서에서 구현된 GPO 수정 사항은 영향을 받는 컴퓨터의 레지스트리 설정을 변경합니다. 이러한 설정은 GPO를 삭제하거나 연결을 해제하여 실행 취소할 수 없습니다. GPO 설정에서 원래대로 되돌리거나 다른 방법을 사용하여 레지스트리를 수정하는 방식으로만 실행 취소할 수 있습니다.

  4. 그룹 정책 관리 콘솔에서 포리스트 개체와 도메인 개체를 차례로 확장한 다음 변경할 컴퓨터 계정이 포함된 특정 도메인을 확장합니다. 수정할 특정 OU가 있으면 해당 위치로 이동합니다. 기존 GPO를 클릭하거나, 마우스 오른쪽 단추를 클릭한 다음 이 도메인에서 GPO를 만들어 여기에 연결을 클릭하여 새 GPO를 만듭니다. 수정할 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  5. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.

  6. 관리 템플릿을 마우스 오른쪽 단추로 클릭한 다음 템플릿 추가/제거를 클릭합니다.

  7. 템플릿 추가/제거에서 추가를 클릭합니다.정책 템플릿 대화 상자에서 이전에 저장한 .adm 템플릿을 선택합니다.열기를 클릭한 다음 닫기를 클릭합니다.

  8. 탐색 창에서 관리 템플릿ADM(클래식 관리 템플릿)을 차례로 확장합니다.

  9. Windows AutoUpdate Settings을 클릭한 다음 세부 정보 창에서 URL address to be used instead of default ctldl.windowsupdate.com를 두 번 클릭합니다.

  10. 사용을 선택합니다.옵션 섹션에서 CTL 파일이 포함된 파일 서버 또는 웹 서버의 URL을 입력합니다. 예를 들어 http://server1/CTL 또는 file://\\server1\CTL을 입력합니다.확인을 클릭합니다. 그룹 정책 관리 편집기를 닫습니다.

정책이 즉시 적용되지만 새 설정을 받으려면 클라이언트 컴퓨터를 다시 시작해야 합니다. 아니면 관리자 권한 명령 프롬프트 또는 gpupdate /force에서 Windows PowerShell를 입력해도 됩니다.

System_CAPS_ICON_important.jpg 중요


예약된 작업이나 다른 방법(예: 오류 조건을 처리하는 스크립트)으로 공유 폴더 또는 웹 가상 디렉터리를 업데이트하여 파일을 동기화된 상태로 유지할 수 있도록 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL을 매일 업데이트할 수 있습니다. 예약된 작업을 만드는 방법에 대한 자세한 내용은 작업 예약을 참조하세요. 매일 업데이트를 수행하는 스크립트를 작성하려는 경우 이 문서의 새 Certutil 옵션Certutil -SyncWithWU의 잠재적 오류 섹션을 참조하세요. 이러한 섹션에서는 명령 옵션 및 오류 조건에 대한 자세한 정보를 제공합니다.

일부 조직에서는 신뢰할 수 있는 CTL을 제외하고 신뢰할 수 없는 CTL만 자동으로 업데이트하기를 원할 수 있습니다. 이 작업을 수행하려면 .adm 템플릿 두 개를 만들어 그룹 정책에 추가하면 됩니다.

System_CAPS_ICON_important.jpg 중요

  1. 연결이 끊어진 환경에서는 이전 절차(신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL에 대해 Microsoft 자동 업데이트 URL 리디렉션)와 함께 다음 절차를 사용할 수 있습니다. 이 절차에서는 신뢰할 수 있는 CTL의 자동 업데이트를 선택적으로 사용하지 않도록 설정하는 방법에 대해 설명합니다.
  2. 연결된 환경에서도 이 절차를 별도로 사용하여 신뢰할 수 있는 CTL의 자동 업데이트를 선택적으로 사용하지 않도록 설정할 수 있습니다.

신뢰할 수 없는 CTL만 선택적으로 리디렉션하려면

  1. 도메인 컨트롤러에서 텍스트 파일로 시작한 다음 파일 이름 확장명을 .adm으로 변경하여 첫 번째 새 관리 템플릿을 만듭니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. 설명이 포함된 이름(예: DisableAllowedCTLUpdate.adm)을 사용하여 파일을 저장합니다.

  3. 두 번째 새 관리 템플릿을 만듭니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. 설명이 포함된 이름(예: EnableUntrustedCTLUpdate.adm)을 사용하여 파일을 저장합니다.

    System_CAPS_ICON_tip.jpg 

    • 이러한 파일의 파일 이름 확장명은 .txt가 아니라 .adm이어야 합니다.
    • 파일 이름 확장명 보기를 사용하도록 설정하지 않은 경우 방법: 파일 이름 확장명 보기를 참조하십시오.
    • 파일을 %windir%\inf 폴더에 저장하면 다음 단계에서 보다 쉽게 찾을 수 있습니다.
  5. 그룹 정책 관리 편집기를 엽니다.

  6. 그룹 정책 관리 콘솔에서 포리스트, 도메인, 수정할 특정 도메인 개체를 차례로 확장합니다.기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  7. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.

  8. 관리 템플릿을 마우스 오른쪽 단추로 클릭한 다음 템플릿 추가/제거를 클릭합니다.

  9. 템플릿 추가/제거에서 추가를 클릭합니다.정책 템플릿 대화 상자를 사용하여 이전에 저장한 .adm 템플릿을 선택합니다. Ctrl 키를 누른 채 각 파일을 클릭하여 두 파일을 모두 선택할 수 있습니다.열기를 클릭한 다음 닫기를 클릭합니다.

  10. 탐색 창에서 관리 템플릿ADM(클래식 관리 템플릿)을 차례로 확장합니다.

  11. Windows AutoUpdate Settings을 클릭한 다음 세부 정보 창에서 자동 루트 업데이트를 두 번 클릭합니다.

  12. 사용 안 함을 선택합니다. 이 설정은 신뢰할 수 있는 CTL의 자동 업데이트를 방지합니다.확인을 클릭합니다.

  13. 세부 정보 창에서 Untrusted CTL Automatic Update를 두 번 클릭합니다.사용을 선택합니다.확인을 클릭합니다.

정책이 즉시 적용되지만 새 설정을 받으려면 클라이언트 컴퓨터를 다시 시작해야 합니다. 아니면 관리자 권한 명령 프롬프트 또는 gpupdate /force에서 Windows PowerShell를 입력해도 됩니다.

System_CAPS_ICON_important.jpg 중요


예약된 작업이나 다른 방법으로 공유 폴더 또는 가상 디렉터리를 업데이트하여 파일을 동기화된 상태로 유지할 수 있도록 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL을 매일 업데이트할 수 있습니다.

이 섹션에서는 조직의 컴퓨터에서 사용할 신뢰할 수 있는 CTL을 생성, 검토 및 필터링하는 방법에 대해 설명합니다. 이 해결 방법을 사용하려면 이전 절차에 설명된 GPO를 구현해야 합니다. 이 해결 방법은 연결이 끊어진 환경과 연결된 환경에 사용할 수 있습니다.

신뢰할 수 있는 CTL 목록을 사용자 지정하려면 다음 두 가지 절차를 완료해야 합니다.

  1. 신뢰할 수 있는 인증서의 하위 집합 만들기

  2. 그룹 정책을 사용하여 신뢰할 수 있는 인증서 배포

신뢰할 수 있는 인증서의 하위 집합을 만들려면

  1. 인터넷에 연결된 컴퓨터에서 관리자로 Windows PowerShell을 열거나 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Windows 탐색기에서 다음 명령을 실행하여 WURoots.sst를 열 수 있습니다.

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg 


    또한 Internet Explorer에서 파일로 이동한 후 두 번 클릭하여 파일을 열 수 있습니다. 파일을 저장한 위치에 따라 wuroots.sst를 입력하여 열 수도 있습니다.

  3. 인증서 관리자의 탐색 창에서 인증서가 나타날 때까지 인증서 - 현재 사용자 아래의 파일 경로를 확장한 다음 인증서를 클릭합니다.

  4. 세부 정보 창에서 신뢰할 수 있는 인증서를 확인할 수 있습니다. Ctrl 키를 누른 채 허용할 각 인증서를 클릭합니다. 허용할 인증서 선택을 마쳤으면 선택한 인증서 중 하나를 마우스 오른쪽 단추로 클릭한 다음 모든 작업, 내보내기를 차례로 클릭합니다.

    System_CAPS_ICON_important.jpg 중요


    .sst 파일 형식을 내보내려면 인증서를 두 개 이상 선택해야 합니다. 인증서를 하나만 선택한 경우에는 .sst 파일 형식을 사용할 수 없으며 대신 .cer 파일 형식이 선택됩니다.

  5. 인증서 내보내기 마법사에서 다음을 클릭합니다.

  6. 내보내기 파일 형식 페이지에서 Microsoft 일련 인증서 저장소(.SST)를 선택하고 다음을 클릭합니다.

  7. 내보낼 파일 페이지에서 파일 경로와 적절한 파일 이름을 입력(예: C:\AllowedCerts.sst)하고 다음을 클릭합니다.마침을 클릭합니다. 내보내기를 완료했다는 알림이 표시되면 확인을 클릭합니다.

  8. 만든 .sst 파일을 도메인 컨트롤러에 복사합니다.

그룹 정책을 사용하여 신뢰할 수 있는 인증서 목록을 배포하려면

  1. 사용자 지정된 .sst 파일이 있는 도메인 컨트롤러에서 그룹 정책 관리 편집기를 엽니다.

  2. 그룹 정책 관리 콘솔에서 포리스트, 도메인, 수정할 특정 도메인 개체를 차례로 확장합니다.기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  3. 탐색 창의 컴퓨터 구성에서 정책, Windows 설정, 보안 설정, 공개 키 정책을 차례로 확장합니다.

  4. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 단추로 클릭하고 가져오기를 클릭합니다.

  5. 인증서 가져오기 마법사에서 다음을 클릭합니다.

  6. 도메인 컨트롤러에 복사한 파일의 경로와 파일 이름을 입력하거나 찾아보기 단추를 사용하여 파일을 찾습니다.다음을 클릭합니다.

  7. 다음을 클릭하여 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 이러한 인증서를 배치할지 확인합니다.마침을 클릭합니다. 인증서 내보내기를 완료했다는 알림이 표시되면 확인을 클릭합니다.

  8. 그룹 정책 관리 편집기를 닫습니다.

정책이 즉시 적용되지만 새 설정을 받으려면 클라이언트 컴퓨터를 다시 시작해야 합니다. 아니면 관리자 권한 명령 프롬프트 또는 gpupdate /force에서 Windows PowerShell를 입력해도 됩니다.

이 문서에 설명된 설정은 클라이언트 컴퓨터에서 다음 레지스트리 키를 구성합니다. 이러한 설정은 GPO가 도메인에서 제거되거나 연결이 끊어진 경우 자동으로 제거되지 않습니다. 이러한 설정을 변경하려면 특별히 다시 구성해야 합니다.

레지스트리 키값 및 설명
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate값 1은 신뢰할 수 있는 CTL의 Windows 자동 업데이트를 사용하지 않도록 설정합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate값 1은 신뢰할 수 없는 CTL의 Windows 자동 업데이트를 사용하도록 설정합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl공유 위치(HTTP 또는 FILE 경로)를 구성합니다.

Certutil에 다음 옵션이 추가되었습니다.

구문설명예제
CertUtil [옵션] -syncWithWU DestinationDirWindows 업데이트와 동기화합니다.

 
  • DestinationDir은 자동 업데이트 메커니즘을 사용하여 파일을 받는 폴더입니다.
  • 자동 업데이트 메커니즘을 통해 다운로드되는 파일은 다음과 같습니다.

     
    • authrootstl.cab는 타사 루트 인증서의 CTL을 포함합니다.
    • disallowedcertstl.cab는 신뢰할 수 없는 인증서의 CTL을 포함합니다.
    • disallowedcert.sst는 신뢰할 수 없는 인증서를 비롯하여 일련 인증서 저장소를 포함합니다.
    • <thumbprint>.crt는 타사 루트 인증서를 포함합니다.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [옵션] -generateSSTFromWU SSTFile자동 업데이트 메커니즘을 사용하여 SST를 생성합니다.

SSTFile: 만들려는 .sst 파일입니다. 생성된 .sst 파일은 자동 업데이트 메커니즘을 통해 다운로드된 타사 루트 인증서를 포함합니다.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg 


Certutil -SyncWithWU -f <folder>는 대상 폴더에서 기존 파일을 업데이트합니다.

Certutil -syncWithWU -f -f <folder>는 대상 폴더에서 파일을 제거하고 대체합니다.

Certutil -syncWithWU 명령을 실행할 때 다음 오류 및 경고가 발생할 수 있습니다.

  • 존재하지 않는 로컬 경로 또는 폴더를 대상 폴더로 사용하는 경우 다음 오류가 나타납니다.

    지정한 파일을 찾을 수 없습니다. 0x80070002(WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 존재하지 않거나 사용할 수 없는 네트워크 위치를 대상 폴더로 사용하는 경우 다음 오류가 나타납니다.

    네트워크 이름을 찾을 수 없습니다. 0x80070043(WIN32: 67 ERROR_BAD_NET_NAME)

  • 서버에서 TCP 포트 80 통해 Microsoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 나타납니다.

    서버에 연결하지 못했습니다. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • 서버에서 DNS 이름 ctldl.windowsupdate.com을 사용하여 Microsoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 나타납니다.

    서버 이름이나 주소를 확인할 수 없습니다. 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED)

  • -f 스위치를 사용하지 않는 경우 CTL 파일이 디렉터리에 이미 있으면 파일 있음 오류가 나타납니다.

    CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: 파일이 이미 있으므로 만들 수 없습니다.

  • 신뢰할 수 있는 루트 인증서가 변경된 경우 다음 메시지가 표시됩니다. "경고! 다음은 더 이상 신뢰할 수 있는 루트가 아닙니다. <folder path>\<thumbprint>.crt. 위의 ".crt" 파일을 강제로 삭제하려면 "-f -f" 옵션을 사용하세요. "authrootstl.cab"이(가) 업데이트되었습니까? 업데이트된 경우, 모든 클라이언트가 업데이트될 때까지 삭제를 연기하는 것이 좋습니다."

표시: