Windows의 인증서 및 신뢰

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Microsoft 루트 인증서 프로그램을 통해 Windows 운영 체제 내에서 신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서를 배포할 수 있습니다. Windows 루트 인증서 프로그램의 구성원 목록에 대한 자세한 내용은 참가자 목록 - Microsoft 신뢰할 수 있는 루트 프로그램을 참조하세요.

신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서는 PKI(공개 키 인프라) 계층 구조 및 디지털 인증서가 신뢰할 수 있는지 판별할 때 운영 체제 및 애플리케이션에서 참조로 사용할 수 있습니다. 신뢰할 수 없는 루트 인증서는 사기성으로 공개적으로 알려진 인증서입니다. 신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서 기능은 연결 여부와 관계 없이 모든 환경에서 작동합니다.

신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서는 CTL(인증서 신뢰 목록)에 포함됩니다. 루트 인증서를 배포하려는 경우 CTL을 사용합니다. Windows Server는 최신 CTL 다운로드를 포함하는 자동 일일 업데이트 기능을 제공합니다. 신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서의 목록은 각각 신뢰할 수 있는 CTL 및 신뢰할 수 없는 CTL이라고 합니다. 자세한 내용은 신뢰할 수 없는 인증서 및 키의 자동화된 업데이트 프로그램 발표를 참조하세요.

서버와 클라이언트는 이 문서에 설명된 자동 일일 업데이트 메커니즘(CTL Updater)을 사용하여 CTL을 업데이트하기 위해 Windows 업데이트 사이트에 액세스합니다. 적절한 소프트웨어 업데이트를 설치하여 CTL Updater 기능을 활용할 수 있습니다. 이 문서에서 설명한 지원되는 운영 체제에 소프트웨어 업데이트를 설치하는 방법에 대한 지침은 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성 문서를 참조하세요.

자동 인증서 신뢰 목록 업데이트

기본적으로 Windows는 CTL Updater라고 하는 자동 메커니즘을 통해 인터넷에서 CTL을 다운로드합니다. CTL Updater에서 사용하는 공용 URL은 클라이언트에게 제공될 수 있습니다.

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

필요한 경우 자동 업데이트 기능을 사용하지 않도록 설정할 수도 있지만 권장하지 않습니다.

또는 업데이트를 위해 그룹 정책 관리 템플릿(ADMX 정책)을 만들어 내부 서버로 리디렉션할 수도 있습니다.

신뢰할 수 있는 CTL 및 신뢰할 수 없는 CTL이 저장되는 레지스트리 위치는 다음과 같습니다.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

CTL Updater의 이점

CTL Updater를 사용하는 자동 업데이트 기능이 제공하는 이점은 다음과 같습니다.

• CTL을 저장하는 레지스트리 설정 새로운 설정을 통해 신뢰할 수 있는 CTL 또는 신뢰할 수 없는 CTL의 업로드 위치를 Windows 업데이트 사이트에서 조직의 공유 위치로 변경할 수 있습니다. 수정된 레지스트리 설정을 참조하세요.

• 동기화 옵션 Windows 업데이트 사이트의 URL이 로컬 공유 폴더로 이동한 경우 로컬 공유 폴더를 Windows 업데이트 폴더와 동기화해야 합니다. 이 소프트웨어 업데이트는 동기화를 설정하는 데 사용하는 옵션 집합을 Certutil 도구에 추가합니다. 자세한 내용은 Certutil -syncWithWU Windows 명령 참조를 참조하세요.

• 신뢰할 수 있는 루트 인증서 선택 도구 이 소프트웨어 업데이트는 엔터프라이즈 환경에서 신뢰할 수 있는 루트 인증서 집합을 관리하기 위해 도구를 제공합니다. 신뢰할 수 있는 루트 인증서 집합을 보고 선택하거나, 일련 인증서 저장소로 내보내거나, 그룹 정책을 사용하여 배포할 수 있습니다. 자세한 내용은 Certutil -generateSSTFromWU SSTFile Windows 명령 참조를 참조하세요.

• 독립적인 구성 신뢰할 수 있는 인증서 및 신뢰할 수 없는 인증서에 대한 자동 업데이트 메커니즘은 독립적으로 구성할 수 있습니다. 자동 업데이트 메커니즘을 사용하여 신뢰할 수 없는 CTL만 다운로드하고 신뢰할 수 있는 CTL 목록을 직접 관리할 수 있습니다. 자세한 내용은 수정된 레지스트리 설정을 참조하세요.

이 문서에서 설명한 지원되는 운영 체제에 소프트웨어 업데이트를 설치하는 방법에 대한 지침은 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성을 참조하세요.

필요한 경우 자동 업데이트 기능을 사용하지 않도록 설정할 수 있지만 권장하지 않습니다.

다음 단계

Windows에서 신뢰할 수 있는 루트 및 허용되지 않는 인증서에 대해 자세히 알아보았습니다. 다음은 시스템을 구성하는 데 도움이 될 수 있는 추가 문서입니다.

• 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성

• 참가자 목록 - Microsoft 신뢰할 수 있는 루트 프로그램

• 인터넷을 통한 정보의 흐름을 방지하도록 루트 인증서 업데이트 기능 제어

• 이벤트 ID 8 - 자동 루트 인증서 업데이트 구성

• certutil Windows 명령 참조