Windows의 인증서 및 신뢰

적용 대상: Windows Server(지원되는 모든 버전), Windows 클라이언트, Azure Stack HCI.

Microsoft 루트 인증서 프로그램을 사용하면 Windows 운영 체제 내에서 신뢰할 수 있는 루트 인증서와 신뢰할 수 없는 루트 인증서를 배포할 수 있습니다. Windows 루트 인증서 프로그램의 구성원 목록에 대한 자세한 내용은 참가자 목록 - Microsoft 신뢰할 수 있는 루트 프로그램을 참조 하세요.

신뢰할 수 있는 루트 인증서와 신뢰할 수 없는 루트 인증서는 PKI(공개 키 인프라) 계층 구조 및 디지털 인증서가 신뢰할 수 있는지 여부를 결정할 때 Windows 운영 체제 및 애플리케이션에서 참조로 사용됩니다. 신뢰할 수 없는 루트 인증서는 공개적으로 사기로 알려진 인증서입니다. 신뢰할 수 있는 루트 인증서 및 신뢰할 수 없는 루트 인증서 기능은 연결 여부와 연결이 끊어지든 모든 환경에서 작동합니다.

신뢰할 수 있는 루트 인증서와 신뢰할 수 없는 루트 인증서는 CTL(인증서 신뢰 목록)에 포함됩니다. 루트 인증서를 배포하려는 경우 CTL을 사용합니다. Windows Server는 최신 CTL 다운로드를 포함하는 자동 일일 업데이트 기능을 제공합니다. 신뢰할 수 있는 루트 인증서와 신뢰할 수 없는 루트 인증서 목록을 각각 신뢰할 수 있는 CTL 및 신뢰할 수 없는 CTL이라고 합니다. 자세한 내용은 신뢰할 수 없는 인증서 및 키의 자동화된 업데이트 프로그램 발표를 참조하세요.

서버와 클라이언트는 이 문서에 설명된 CTL 업데이트 관리자(자동 일일 업데이트 메커니즘)를 사용하여 CTL을 업데이트하기 위해 Windows 업데이트 사이트에 액세스합니다. 적절한 소프트웨어 업데이트를 설치하여 CTL 업데이트 프로그램 기능을 활용할 수 있습니다. 이 문서에서 설명한 지원되는 운영 체제에 소프트웨어 업데이트를 설치하는 방법에 대한 지침은 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성 문서를 참조하세요.

자동 인증서 신뢰 목록 업데이트

기본적으로 Windows는 CTL Updater라는 자동 메커니즘을 통해 인터넷에서 CTL을 다운로드합니다. CTL Updater에서 사용하는 공용 URL을 클라이언트에서 사용할 수 있습니다.

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

필요한 경우 자동 업데이트 기능을 사용하지 않도록 설정할 수도 있지만 권장되지는 않습니다.

또는 ADMX 정책(그룹 정책 관리 템플릿)을 만들어 업데이트를 위해 내부 서버로 리디렉션할 수도 있습니다.

신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL이 다음과 같이 저장되는 레지스트리 위치입니다.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

CTL Updater의 이점

CTL Updater를 사용하는 자동 업데이트 기능은 다음과 같은 몇 가지 이점을 제공합니다.

• CTL을 저장하는 레지스트리 설정 새로운 설정을 통해 신뢰할 수 있는 CTL 또는 신뢰할 수 없는 CTL의 업로드 위치를 Windows 업데이트 사이트에서 조직의 공유 위치로 변경할 수 있습니다. 레지스트리 설정 수정됨을 참조하세요.

• 동기화 옵션 Windows 업데이트 사이트의 URL이 로컬 공유 폴더로 이동한 경우 로컬 공유 폴더를 Windows 업데이트 폴더와 동기화해야 합니다. 이 소프트웨어 업데이트는 동기화를 사용하도록 설정하는 데 사용하는 Certutil 도구에 옵션 집합을 추가합니다. 자세한 내용은 Certutil -syncWithWU Windows 명령 참조를 참조하세요.

• 신뢰할 수 있는 루트 인증서 를 선택하는 도구 이 소프트웨어 업데이트에서는 엔터프라이즈 환경에서 신뢰할 수 있는 루트 인증서 집합을 관리하기 위한 도구가 도입되었습니다. 신뢰할 수 있는 루트 인증서 집합을 보고 선택하고, 직렬화된 인증서 저장소로 내보내고, 그룹 정책을 사용하여 배포할 수 있습니다. 자세한 내용은 Certutil -generateSSTFromWU SSTFile Windows 명령 참조를 참조하세요.

• 독립적인 구성성 신뢰할 수 있고 신뢰할 수 없는 인증서에 대한 자동 업데이트 메커니즘은 독립적으로 구성할 수 있습니다. 자동 업데이트 메커니즘을 사용하여 신뢰할 수 없는 CTL만 다운로드하고 신뢰할 수 있는 CTL 목록을 직접 관리할 수 있습니다. 자세한 내용은 수정된 레지스트리 설정을 참조하세요.

이 문서에서 설명한 지원되는 운영 체제에 소프트웨어 업데이트를 설치하는 방법에 대한 지침은 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성을 참조하세요.

필요한 경우 자동 업데이트 기능을 사용하지 않도록 설정할 수 있지만 권장되지는 않습니다.

다음 단계

이제 Windows에서 신뢰할 수 있는 루트 및 허용되지 않는 인증서에 대해 자세히 알아봅니다. 시스템을 구성하는 데 도움이 될 수 있는 몇 가지 추가 문서는 다음과 같습니다.

• 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성

• 참가자 목록 - Microsoft 신뢰할 수 있는 루트 프로그램

• 인터넷과 정보의 흐름을 방지하기 위해 루트 인증서 인증서 업데이트 기능 제어

• 이벤트 ID 8 - 자동 루트 인증서 업데이트 구성

• certutil Windows 명령 참조