자습서: PKI 인증서와 함께 TLS/SSL을 사용하도록 소프트웨어 업데이트 지점 구성

아티클
04/04/2023

적용 대상: Configuration Manager(현재 분기)

TLS/SSL을 사용하도록 WSUS(Windows Server Update Services) 서버 및 해당 SUP(소프트웨어 업데이트 지점)를 구성하면 잠재적 공격자가 클라이언트를 원격으로 손상시키고 권한을 상승시킬 수 있습니다. 최상의 보안 프로토콜을 구현하려면 TLS/SSL 프로토콜을 사용하여 소프트웨어 업데이트 인프라를 보호하는 것이 좋습니다. 이 문서에서는 각 WSUS 서버와 HTTPS를 사용하도록 소프트웨어 업데이트 지점을 구성하는 데 필요한 단계를 안내합니다. WSUS 보안에 대한 자세한 내용은 WSUS 설명서의 Secure WSUS with the Secure Sockets Layer Protocol 문서를 참조하세요.

이 자습서에서는 다음 작업을 수행하게 됩니다.

필요한 경우 PKI 인증서 가져오기
WSUS 관리 웹 사이트에 인증서 바인딩
SSL을 요구하도록 WSUS 웹 서비스 구성
SSL을 사용하도록 WSUS 애플리케이션 구성
WSUS 콘솔 연결에서 SSL을 사용할 수 있는지 확인
WSUS 서버에 대한 SSL 통신을 요구하도록 소프트웨어 업데이트 지점 구성
Configuration Manager 사용하여 기능 확인

고려 사항 및 제한 사항

WSUS는 TLS/SSL을 사용하여 클라이언트 컴퓨터 및 다운스트림 WSUS 서버를 업스트림 WSUS 서버에 인증합니다. 또한 WSUS는 TLS/SSL을 사용하여 업데이트 메타데이터를 암호화합니다. WSUS는 업데이트의 콘텐츠 파일에 TLS/SSL을 사용하지 않습니다. 콘텐츠 파일이 서명되고 파일의 해시가 업데이트의 메타데이터에 포함됩니다. 클라이언트에서 파일을 다운로드하고 설치하기 전에 디지털 서명과 해시를 모두 확인합니다. 두 검사 모두 실패하면 업데이트가 설치되지 않습니다.

TLS/SSL을 사용하여 WSUS 배포를 보호하는 경우 다음 제한 사항을 고려합니다.

TLS/SSL을 사용하면 서버 워크로드가 증가합니다. 네트워크를 통해 전송되는 모든 메타데이터를 암호화하면 성능이 약간 저하됩니다.
원격 SQL Server 데이터베이스에서 WSUS를 사용하는 경우 WSUS 서버와 데이터베이스 서버 간의 연결은 TLS/SSL로 보호되지 않습니다. 데이터베이스 연결을 보호해야 하는 경우 다음 권장 사항을 고려합니다.
- WSUS 데이터베이스를 WSUS 서버로 이동합니다.
- 원격 데이터베이스 서버와 WSUS 서버를 프라이빗 네트워크로 이동합니다.
- IPsec(인터넷 프로토콜 보안)을 배포하여 네트워크 트래픽을 보호합니다.

TLS/SSL을 사용하도록 WSUS 서버 및 해당 소프트웨어 업데이트 지점을 구성하는 경우 대규모 Configuration Manager 계층 구조에 대한 변경 내용을 단계별로 수행해야 할 수 있습니다. 이러한 변경의 단계를 선택하는 경우 계층의 맨 아래에서 시작하여 중앙 관리 사이트로 끝나는 위쪽으로 이동합니다.

필수 구성 요소

이 자습서에서는 IIS(인터넷 정보 서비스)에서 사용할 인증서를 가져오는 가장 일반적인 방법을 설명합니다. organization 사용하는 방법 중에서 인증서가 Configuration Manager 소프트웨어 업데이트 지점에 대한 PKI 인증서 요구 사항을 충족하는지 확인합니다. 인증서와 마찬가지로 WSUS 서버와 통신하는 디바이스에서 인증 기관을 신뢰할 수 있어야 합니다.

소프트웨어 업데이트 지점 역할이 설치된 WSUS 서버
TLS/SSL을 사용하도록 설정하기 전에 WSUS에 대한 메모리 제한을 사용하지 않도록 설정하고 구성하는 모범 사례를 따랐는지 확인합니다.
다음 두 가지 옵션 중 하나입니다.
- WSUS 서버의 개인 인증서 저장소에 이미 있는 적절한 PKI 인증서입니다.
- 엔터프라이즈 루트 CA(인증 기관)에서 WSUS 서버에 대한 적절한 PKI 인증서를 요청하고 가져오는 기능입니다.
  - 기본적으로 WebServer 인증서 템플릿을 포함한 대부분의 인증서 템플릿은 도메인 관리자에게만 발급됩니다. 로그인한 사용자가 도메인 관리자가 아닌 경우 해당 사용자 계정에 인증서 템플릿에 대한 등록 권한이 부여되어야 합니다.

필요한 경우 CA에서 인증서 가져오기

WSUS 서버의 개인 인증서 저장소에 적절한 인증서가 이미 있는 경우 이 섹션을 건너뛰고 인증서 바인딩 섹션부터 시작합니다. 새 인증서를 설치하기 위해 내부 CA에 인증서 요청을 보내려면 이 섹션의 지침을 따릅니다.

WSUS 서버에서 관리 명령 프롬프트를 열고 를 실행합니다 certlm.msc. 로컬 컴퓨터에 대한 인증서를 관리하려면 사용자 계정이 로컬 관리자여야 합니다.

로컬 디바이스에 대한 인증서 관리자 도구가 나타납니다.
개인을 확장한 다음 인증서를 마우스 오른쪽 단추로 클릭합니다.
모든 작업을 선택한 다음, 새 인증서 요청을 선택합니다.
다음을 선택하여 인증서 등록을 시작합니다.
등록할 인증서 유형을 선택합니다. 인증서 용도는 서버 인증 이고 사용할 Microsoft 인증서 템플릿은 웹 서버 또는 서버 인증 이 향상된 키 사용으로 지정된 사용자 지정 템플릿입니다. 인증서를 등록하기 위한 추가 정보를 묻는 메시지가 표시될 수 있습니다. 일반적으로 다음 정보를 최소한으로 지정합니다.
- 일반 이름:제목 탭에서 값을 WSUS 서버의 FQDN으로 설정합니다.
- 식별 이름:일반 탭에서 나중에 인증서를 식별하는 데 도움이 되도록 값을 설명이 포함된 이름으로 설정합니다.
등록을 선택한 다음 마침을 선택하여 등록을 완료합니다.
인증서의 지문과 같은 세부 정보를 보려면 인증서를 엽니다.

팁

WSUS 서버가 인터넷에 연결되어 있는 경우 인증서의 주체 또는 SAN(주체 대체 이름)에 외부 FQDN이 필요합니다.

WSUS 관리 사이트에 인증서 바인딩

WSUS 서버의 개인 인증서 저장소에 인증서가 있으면 IIS의 WSUS 관리 사이트에 바인딩합니다.

WSUS 서버에서 IIS(인터넷 정보 서비스) 관리자를 엽니다.
사이트>WSUS 관리로 이동합니다.
작업 메뉴에서 또는 사이트를 마우스 오른쪽 단추로 클릭하여 바인딩 을 선택합니다.
사이트 바인딩 창에서 https의 줄을 선택한 다음 편집...을 선택합니다.
- HTTP 사이트 바인딩을 제거하지 마세요. WSUS는 업데이트 콘텐츠 파일에 HTTP를 사용합니다.
SSL 인증서 옵션에서 WSUS 관리 사이트에 바인딩할 인증서를 선택합니다. 인증서의 식별 이름은 드롭다운 메뉴에 표시됩니다. 식별 이름을 지정하지 않은 경우 인증서의 IssuedTo 필드가 표시됩니다. 사용할 인증서를 잘 모르는 경우 보기 및 지문이 가져온 인증서와 일치하는지 확인합니다.
완료되면 확인을 선택한 다음, 닫기를 선택하여 사이트 바인딩을 종료합니다. 다음 단계를 위해 IIS(인터넷 정보 서비스) 관리자를 열어 둡니다.

SSL을 요구하도록 WSUS 웹 서비스 구성

WSUS 서버의 IIS 관리자에서 사이트>WSUS 관리로 이동합니다.
WSUS용 웹 서비스 및 가상 디렉터리 목록이 표시되도록 WSUS 관리 사이트를 확장합니다.
아래 각 WSUS 웹 서비스에 대해 다음을 수행합니다.
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
다음을 변경합니다.
1. SSL 설정을 선택합니다.
2. SSL 필요 옵션을 사용하도록 설정합니다.
3. 클라이언트 인증서 옵션이 무시로 설정되어 있는지 확인합니다.
4. 적용을 선택합니다.

콘텐츠와 같은 특정 함수가 HTTP를 사용해야 하므로 최상위 WSUS 관리 사이트에서 SSL 설정을 설정하지 마세요.

SSL을 사용하도록 WSUS 애플리케이션 구성

웹 서비스가 SSL을 요구하도록 설정되면 WSUS 애플리케이션에 알림을 받아야 변경 사항을 지원하기 위해 몇 가지 추가 구성을 수행할 수 있습니다.

WSUS 서버에서 관리자 명령 프롬프트를 엽니다. 이 명령을 실행하는 사용자 계정은 WSUS 관리자 그룹 또는 로컬 관리자 그룹의 구성원이어야 합니다.
디렉터리를 WSUS용 도구 폴더로 변경합니다.

cd "c:\Program Files\Update Services\Tools"
다음 명령과 함께 SSL을 사용하도록 WSUS를 구성합니다.

WsusUtil.exe configuressl server.contoso.com

여기서 server.contoso.com WSUS 서버의 FQDN입니다.
WsusUtil은 끝에 지정된 포트 번호가 있는 WSUS 서버의 URL을 반환합니다. 포트는 8531(기본값) 또는 443입니다. 반환된 URL이 예상한 것인지 확인합니다. 잘못 입력된 경우 명령을 다시 실행할 수 있습니다.

팁

WSUS 서버가 인터넷에 연결되어 있는 경우 를 실행할 WsusUtil.exe configuressl때 외부 FQDN을 지정합니다.

WSUS 콘솔이 SSL을 사용하여 연결할 수 있는지 확인

WSUS 콘솔은 연결에 ApiRemoting30 웹 서비스를 사용합니다. 또한 Configuration Manager SUP(소프트웨어 업데이트 지점)는 동일한 웹 서비스를 사용하여 WSUS에 다음과 같은 특정 작업을 수행하도록 지시합니다.

소프트웨어 업데이트 동기화 시작
SUP의 사이트가 Configuration Manager 계층 구조에 있는 위치에 따라 달라지는 WSUS에 대한 적절한 업스트림 서버 설정
계층의 최상위 WSUS 서버에서 동기화를 위한 제품 및 분류를 추가하거나 제거합니다.
만료된 업데이트 제거

WSUS 콘솔을 열어 WSUS 서버의 ApiRemoting30 웹 서비스에 대한 SSL 연결을 사용할 수 있는지 확인합니다. 나중에 다른 웹 서비스 중 일부를 테스트합니다.

WSUS 콘솔을 열고 서버에 대한 작업>연결을 선택합니다.
서버 이름 옵션에 대해 WSUS 서버의 FQDN을 입력합니다.
WSUSutil의 URL에 반환된 포트 번호를 선택합니다.
SSL(Secure Sockets Layer)을 사용하여 이 서버에 연결하려면 8531(기본값) 또는 443을 선택하면 자동으로 활성화됩니다.
Configuration Manager 사이트 서버가 소프트웨어 업데이트 지점에서 원격인 경우 사이트 서버에서 WSUS 콘솔을 시작하고 WSUS 콘솔이 SSL을 통해 연결할 수 있는지 확인합니다.
- 원격 WSUS 콘솔을 연결할 수 없는 경우 인증서, 이름 확인 또는 차단되는 포트를 신뢰하는 데 문제가 있음을 나타냅니다.

WSUS 서버에 대한 SSL 통신을 요구하도록 소프트웨어 업데이트 지점 구성

WSUS가 TLS/SSL을 사용하도록 설정되면 SSL도 요구하도록 해당 Configuration Manager 소프트웨어 업데이트 지점을 업데이트해야 합니다. 이 변경을 수행하면 Configuration Manager 다음을 수행합니다.

소프트웨어 업데이트 지점에 대해 WSUS 서버를 구성할 수 있는지 확인합니다.
클라이언트가 이 WSUS 서버에 대해 검사하라는 지시가 있을 때 SSL 포트를 사용하도록 지시합니다.

WSUS 서버에 대한 SSL 통신이 필요하도록 소프트웨어 업데이트 지점을 구성하려면 다음 단계를 수행합니다.

Configuration Manager 콘솔을 열고 편집해야 하는 소프트웨어 업데이트 지점의 중앙 관리 사이트 또는 기본 사이트 서버에 연결합니다.
관리>개요>사이트 구성>서버 및 사이트 시스템 역할로 이동합니다.
WSUS가 설치된 사이트 시스템 서버를 선택한 다음 소프트웨어 업데이트 지점 사이트 시스템 역할을 선택합니다.
리본에서 속성을 선택합니다.
WSUS 서버에 대한 SSL 통신 필요 옵션을 사용하도록 설정합니다.

사이트의 WCM.log 에 변경 내용을 적용하면 다음 항목이 표시됩니다.

SCF change notification triggered.
Populating config from SCF
Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
...
Attempting connection to local WSUS server
Successfully connected to local WSUS server
...
Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)

이 시나리오에 대한 불필요한 정보를 제거하기 위해 로그 파일 예제가 편집되었습니다.

Configuration Manager 사용하여 기능 확인

사이트 서버가 업데이트를 동기화할 수 있는지 확인

Configuration Manager 콘솔을 최상위 사이트에 연결합니다.
소프트웨어 라이브러리 개요>>소프트웨어 업데이트>모든 소프트웨어 업데이트 이동합니다.
리본에서 소프트웨어 업데이트 동기화를 선택합니다.
소프트웨어 업데이트에 대한 사이트 전체 동기화를 시작할지 묻는 알림에 예를 선택합니다.
- WSUS 구성이 변경된 이후 델타 동기화가 아닌 전체 소프트웨어 업데이트 동기화가 발생합니다.

사이트의 wsyncmgr.log 를 엽니다. 자식 사이트를 모니터링하는 경우 먼저 부모 사이트가 동기화를 완료할 때까지 기다려야 합니다. 다음과 유사한 항목에 대한 로그를 검토하여 서버가 성공적으로 동기화되는지 확인합니다.

Starting Sync
...
Full sync required due to changes in main WSUS server location.
...
Found active SUP SERVER.CONTOSO.COM from SCF File.
...
https://SERVER.CONTOSO.COM:8531
...
Done synchronizing WSUS Server SERVER.CONTOSO.COM
...
sync: Starting SMS database synchronization
...
Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM

클라이언트가 업데이트를 검색할 수 있는지 확인

소프트웨어 업데이트 지점을 SSL을 요구하도록 변경하면 Configuration Manager 클라이언트는 소프트웨어 업데이트 지점에 대한 위치 요청을 수행할 때 업데이트된 WSUS URL을 받습니다. 클라이언트를 테스트하여 다음을 수행할 수 있습니다.

클라이언트가 WSUS 서버의 인증서를 신뢰하는지 확인합니다.
SimpleAuthWebService 및 WSUS용 ClientWebService가 작동하는 경우
검사 중에 클라이언트가 EULA를 가져오는 경우 WSUS 콘텐츠 가상 디렉터리가 작동합니다.

최근에 TLS/SSL을 사용하도록 변경된 소프트웨어 업데이트 지점을 검사하는 클라이언트를 식별합니다. 클라이언트 식별에 도움이 필요한 경우 아래 PowerShell 스크립트와 함께 스크립트 실행을 사용합니다.
```
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
$Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
Write-Host "LastGoodSUP- $last"
Write-Host "CurrentSUP- $current"
```
팁

커뮤니티 허브에서 이 스크립트를 엽니다. 자세한 내용은 커뮤니티 허브 항목에 대한 직접 링크를 참조하세요.
테스트 클라이언트에서 소프트웨어 업데이트 검사 주기를 실행합니다. 다음 PowerShell 스크립트를 사용하여 검사를 강제 적용할 수 있습니다.
```
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
```
팁

커뮤니티 허브에서 이 스크립트를 엽니다. 자세한 내용은 커뮤니티 허브 항목에 대한 직접 링크를 참조하세요.

클라이언트의 ScanAgent.log 를 검토하여 소프트웨어 업데이트 지점을 검사할 메시지가 수신되었는지 확인합니다.

Message received: '<?xml version='1.0' ?>
<UpdateSourceMessage MessageType='ScanByUpdateSource'>
   <ForceScan>TRUE</ForceScan>
   <UpdateSourceIDs>
 		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
   </UpdateSourceIDs>
 </UpdateSourceMessage>'

LocationServices.log를 검토하여 클라이언트에 올바른 WSUS URL이 표시되는지 확인합니다. LocationServices.log

WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
...
<LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
...
</WSUSLocationReply>

WUAHandler.log를 검토하여 클라이언트가 성공적으로 검색할 수 있는지 확인합니다.

Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
...
Successfully completed scan.

HTTPS로 구성된 WSUS 서버를 검사하는 디바이스에 대한 TLS 인증서 고정

(2103에 도입됨)

Configuration Manager 2103부터 인증서 고정을 적용하여 WSUS에 대한 HTTPS 검사의 보안을 더욱 강화할 수 있습니다. 이 동작을 완전히 사용하도록 설정하려면 WSUS 서버에 대한 인증서를 클라이언트의 새 WindowsServerUpdateServices 인증서 저장소에 추가하고 클라이언트 설정을 통해 인증서 고정이 사용하도록 설정되어 있는지 확인합니다. Windows 업데이트 에이전트의 변경 내용에 대한 자세한 내용은 변경 내용 검색 및 인증서 업데이트에 WSUS를 사용하여 Windows 디바이스에 대한 보안 추가 - Microsoft Tech Community 참조하세요.

Windows 업데이트 클라이언트에 TLS 인증서 고정을 적용하기 위한 필수 구성 요소

Configuration Manager 버전 2103
WSUS 서버 및 소프트웨어 업데이트 지점이 TLS/SSL을 사용하도록 구성되어 있는지 확인합니다.
WSUS 서버에 대한 인증서를 클라이언트의 새 WindowsServerUpdateServices 인증서 저장소에 추가합니다.
- CMG(클라우드 관리 게이트웨이)에서 인증서 고정을 사용하는 경우 저장소에 WindowsServerUpdateServices CMG 인증서가 필요합니다. 클라이언트가 인터넷에서 VPN으로 전환하는 경우 저장소에 CMG 및 WSUS 서버 인증서가 WindowsServerUpdateServices 모두 필요합니다.

참고

디바이스에 대한 소프트웨어 업데이트 검사는 업데이트 클라이언트를 검색하기 위한 Windows 업데이트 클라이언트에 대한 TLS 인증서 고정 적용 설정에 대해 기본값 예 를 사용하여 계속 실행됩니다. 여기에는 HTTP 및 HTTPS 둘 다에 대한 검사가 포함됩니다. 인증서 고정은 인증서가 클라이언트의 WindowsServerUpdateServices 저장소에 있고 WSUS 서버가 TLS/SSL을 사용하도록 구성될 때까지 적용되지 않습니다.

HTTPS로 구성된 WSUS 서버를 검사하는 디바이스에 대해 TLS 인증서 고정 사용 또는 사용 안 함

Configuration Manager 콘솔에서 관리>클라이언트 설정으로 이동합니다.
기본 클라이언트 설정 또는 사용자 지정 클라이언트 설정 집합을 선택한 다음 리본에서 속성을 선택합니다.
클라이언트 설정에서 소프트웨어 업데이트 탭 선택
업데이트 검색을 위해 Windows 업데이트 클라이언트에 TLS 인증서 고정 적용 설정에 대해 다음 옵션 중 하나를 선택합니다.
- 아니요: WSUS 검사를 위해 TLS 인증서 고정 적용을 사용하도록 설정하지 마세요.
- 예: WSUS 검사 중 디바이스에 대한 TLS 인증서 고정 적용 사용(기본값)
클라이언트가 업데이트를 검색할 수 있는지 확인 합니다.

다음 단계

소프트웨어 업데이트 배포

다음을 통해 공유