클라이언트에서TLS 1.2를 사용하도록 설정하는

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 환경에 TLS 1.2를 사용하도록 설정하는 경우 먼저 TLS 1.2를 사용하도록 설정하고 사이트 서버 및 원격 사이트 시스템에서 이전 프로토콜을 사용하지 않도록 설정하기 전에 클라이언트가 TLS 1.2를 사용할 수 있고 적절하게 구성되었는지 확인합니다. 클라이언트에서 TLS 1.2를 사용하도록 설정하는 세 가지 작업이 있습니다.

• Windows 및 WinHTTP 업데이트
• 운영 체제 수준에서 TLS 1.2가 SChannel에 대한 프로토콜로 사용하도록 설정되어 있는지 확인합니다.
• TLS 1.2를 지원하도록 .NET Framework 업데이트 및 구성

특정 Configuration Manager 기능 및 시나리오에 대한 종속성에 대한 자세한 내용은 TLS 1.2 사용 설정을 참조하세요.

Windows 및 WinHTTP 업데이트

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 이상 버전의 Windows는 기본적으로 WinHTTP를 통한 클라이언트-서버 통신을 위한 TLS 1.2를 지원합니다.

Windows 7 또는 Windows Server 2012 같은 이전 버전의 Windows는 WinHTTP를 사용하는 보안 통신에 대해 기본적으로 TLS 1.1 또는 TLS 1.2를 사용하도록 설정하지 않습니다. 이전 버전의 Windows에서는 업데이트 3140245 설치하여 아래 레지스트리 값을 사용하도록 설정합니다. 이 값은 WinHTTP의 기본 보안 프로토콜 목록에 TLS 1.1 및 TLS 1.2를 추가하도록 설정할 수 있습니다. 패치가 설치되면 다음 레지스트리 값을 만듭니다.

중요

TLS 1.2를 사용하도록 설정하고 Configuration Manager 서버에서 이전 프로토콜을 사용하지 않도록 설정하기 전에 이전 버전의 Windows를 실행하는 모든 클라이언트에서 이러한 설정을 사용하도록 설정합니다. 그렇지 않으면 실수로 분리할 수 있습니다.

레지스트리 설정의 DefaultSecureProtocols 값을 확인합니다. 예를 들면 다음과 같습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

이 값을 변경하면 컴퓨터를 다시 시작합니다.

위의 예제에서는 WinHTTP DefaultSecureProtocols 설정에 대한 값을 0xAA0 보여 있습니다. Windows의 WinHTTP에서 TLS 1.1 및 TLS 1.2를 기본 보안 프로토콜로 사용하도록 업데이트 하면 각 프로토콜에 대한 16진수 값이 나열됩니다. 기본적으로 Windows에서 이 값은 0x0A0 WinHTTP에 대해 SSL 3.0 및 TLS 1.0을 사용하도록 설정하는 것입니다. 위의 예제에서는 이러한 기본값을 유지하고 WinHTTP에 대해 TLS 1.1 및 TLS 1.2를 사용하도록 설정합니다. 이 구성을 사용하면 변경 내용이 SSL 3.0 또는 TLS 1.0에 계속 의존할 수 있는 다른 애플리케이션을 중단하지 않습니다. 값을 0xA00 사용하여 TLS 1.1 및 TLS 1.2만 사용하도록 설정할 수 있습니다. Configuration Manager Windows가 두 디바이스 간에 협상하는 가장 안전한 프로토콜을 지원합니다.

SSL 3.0 및 TLS 1.0을 완전히 사용하지 않도록 설정하려면 Windows에서 SChannel 사용 안 함 프로토콜 설정을 사용합니다. 자세한 내용은 Schannel.dll에서 특정 암호화 알고리즘 및 프로토콜의 사용 제한을 참조하세요.

운영 체제 수준에서 TLS 1.2가 SChannel에 대한 프로토콜로 사용하도록 설정되어 있는지 확인합니다.

대부분의 경우 프로토콜 사용은 운영 체제 수준, 프레임워크 또는 플랫폼 수준 및 애플리케이션 수준의 세 가지 수준에서 제어됩니다. TLS 1.2는 운영 체제 수준에서 기본적으로 사용하도록 설정됩니다. .NET 레지스트리 값이 TLS 1.2를 사용하도록 설정되어 있고 환경에서 네트워크에서 TLS 1.2를 제대로 활용하고 있는지 확인한 후에는 레지스트리 키를 편집 SChannel\Protocols 하여 덜 안전한 이전 프로토콜을 사용하지 않도록 설정할 수 있습니다. TLS 1.0 및 1.1을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Windows 레지스트리에서 Schannel 프로토콜 구성을 참조하세요.

TLS 1.2를 지원하도록 .NET Framework 업데이트 및 구성

.NET 버전 확인

먼저 설치된 .NET 버전을 확인합니다. 자세한 설치된 .NET Framework의 버전 및 서비스 팩 수준 확인을 참조하세요.

.NET 업데이트 설치

강력한 암호화를 사용하도록 설정할 수 있도록 .NET 업데이트를 설치합니다. 일부 버전의 .NET Framework 강력한 암호화를 사용하도록 설정하려면 업데이트가 필요할 수 있습니다. 다음의 가이드라인을 사용하세요.

• NET Framework 4.6.2 이상에서는 TLS 1.1 및 TLS 1.2를 지원합니다. 레지스트리 설정을 확인하지만 추가 변경은 필요하지 않습니다.

  참고

  버전 2107부터 Configuration Manager 사이트 서버, 특정 사이트 시스템, 클라이언트 및 콘솔에 대한 Microsoft .NET Framework 버전 4.6.2가 필요합니다. 사용자 환경에서 가능하면 최신 버전의 .NET 버전 4.8을 설치합니다.

• TLS 1.1 및 TLS 1.2를 지원하도록 NET Framework 4.6 및 이전 버전을 업데이트합니다. 자세한 내용은 .NET Framework 버전 및 종속성을 참조하세요.

• Windows 8.1, Windows Server 2012 R2 또는 Windows Server 2012 .NET Framework 4.5.1 또는 4.5.2를 사용하는 경우 TLS 1.2를 올바르게 사용하도록 설정하려면 .Net Framework 4.5.1 및 4.5.2에 대한 최신 보안 업데이트를 설치하는 것이 좋습니다.

  참조를 위해 TLS 1.2는 다음 핫픽스 롤업과 함께 .Net Framework 4.5.1 및 4.5.2에 처음 도입되었습니다.

  • Windows 8.1 및 Server 2012 R2: 핫픽스 롤업 3099842
  • Windows Server 2012 경우: 핫픽스 롤업 3099844

강력한 암호화를 위한 구성

강력한 암호화를 지원하도록 .NET Framework 구성합니다. 레지스트리 설정을 DWORD:00000001로 SchUseStrongCrypto 설정합니다. 이 값은 RC4 스트림 암호화를 사용하지 않도록 설정하고 다시 시작해야 합니다. 이 설정에 대한 자세한 내용은 보안 공지 296038 Microsoft 참조하세요.

TLS 1.2 사용 시스템과 네트워크를 통해 통신하는 모든 컴퓨터에서 다음 레지스트리 키를 설정해야 합니다. 예를 들어 Configuration Manager 클라이언트, 사이트 서버에 설치되지 않은 원격 사이트 시스템 역할 및 사이트 서버 자체입니다.

32비트 OS에서 실행되는 32비트 애플리케이션 및 64비트 OS에서 실행되는 64비트 애플리케이션의 경우 다음 하위 키 값을 업데이트합니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64비트 OS에서 실행되는 32비트 응용 프로그램의 경우 다음 하위 키 값을 업데이트하세요.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

참고

이 SchUseStrongCrypto 설정을 사용하면 .NET에서 TLS 1.1 및 TLS 1.2를 사용할 수 있습니다. 설정을 SystemDefaultTlsVersions 사용하면 .NET에서 OS 구성을 사용할 수 있습니다. 자세한 내용은 .NET Framework TLS 모범 사례를 참조하세요.

다음 단계

• 사이트 서버 및 원격 사이트 시스템에서 TLS 1.2 사용
• TLS 1.2를 사용하도록 설정할 때 발생하는 일반적인 문제