Share via

Windows에서 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성

  • 아티클

적용 대상: Windows Server(지원되는 모든 버전), Windows 클라이언트, Azure Stack HCI.

Microsoft 자동 업데이트 URL을 연결이 끊긴 환경에서 CTL(인증서 신뢰 목록), 신뢰할 수 없는 CTL 또는 신뢰할 수 있는 CTL 파일의 하위 집합을 호스팅하는 파일 또는 웹 서버로 리디렉션합니다.

Microsoft 루트 인증서 프로그램이 Windows 운영 체제에 신뢰할 수 있는 루트 인증서를 자동으로 배포하는 방법에 대한 자세한 내용은 인증서 및 트러스트를 참조하세요.

컴퓨터가 Windows 업데이트 사이트에 직접 연결할 수 있는 환경에 대해 Microsoft 자동 업데이트 URL을 리디렉션할 필요가 없습니다. Windows 업데이트 사이트에 연결할 수 있는 컴퓨터는 매일 업데이트된 CTL을 받을 수 있습니다.

필수 조건

파일 또는 웹 서버에서 호스트되는 CTL 파일을 사용하도록 연결이 끊긴 환경을 구성하려면 다음 필수 조건을 완료해야 합니다.

클라이언트 필수 구성 요소

  • 인터넷에 연결하여 Microsoft에서 CTL을 다운로드할 수 있는 컴퓨터가 하나 이상 있습니다. 컴퓨터에는 HTTP(TCP 포트 80) 액세스 및 이름 확인(TCP 및 UDP 포트 53) 기능이 필요합니다 ctldl.windowsupdate.com. 이 컴퓨터는 도메인 구성원이거나 작업 그룹의 구성원일 수 있습니다. 현재 다운로드한 모든 파일에는 약 1.5MB의 공간이 필요합니다.
  • 클라이언트 컴퓨터는 Active Directory 도메인 Service do기본 연결되어야 합니다.
  • 로컬 관리istrators 그룹의 구성원이어야 합니다.

서버 필수 구성 요소

  • CTL 파일을 호스팅하기 위한 파일 서버 또는 웹 서버입니다.
  • 클라이언트에 구성 설정을 배포하는 AD 그룹 정책 또는 MDM 솔루션입니다.
  • Do기본 관리s 그룹의 구성원이거나 필요한 권한을 위임한 계정

구성 방법

관리자는 자동 업데이트 메커니즘을 사용하여 다음 파일을 다운로드하도록 파일 또는 웹 서버를 구성할 수 있습니다.

  • authrootstl.cab 에는 Microsoft가 아닌 CTL이 포함되어 있습니다.

  • disallowedcertstl.cab 에는 신뢰할 수 없는 인증서가 있는 CTL이 포함되어 있습니다.

  • disallowedcert.sst 에는 신뢰할 수 없는 인증서를 포함하여 직렬화된 인증서 저장소가 포함되어 있습니다.

  • <thumbprint>.crt에는 비 Microsoft 루트 인증서가 포함되어 있습니다.

이 구성을 수행하는 단계는 이 문서의 Configure a file or web server to download the CTL files 섹션에 설명되어 있습니다.

로컬 CTL 파일 또는 신뢰할 수 있는 CTL의 하위 집합을 사용하도록 환경을 구성하는 몇 가지 방법이 있습니다. 다음 메서드를 사용할 수 있습니다.

  • Windows 업데이트 사이트에 액세스하지 않고도 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL에 자동 업데이트 메커니즘을 사용하도록 AD DS(Active Directory Domain Services) 도메인 구성원 컴퓨터 구성. 이 구성은 이 문서의 Microsoft 자동 업데이트 URL 리디렉션 섹션에 설명되어 있습니다.

  • 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL의 자동 업데이트를 독립적으로 옵트인하도록 AD DS 도메인 구성원 컴퓨터 구성. 독립적인 옵트인 구성은 이 문서의 신뢰할 수 없는 CTL에 대한 Microsoft 자동 업데이트 URL 리디렉션 섹션에 설명되어 있습니다.

  • Windows 루트 인증서 프로그램에서 루트 인증서 집합 검사. 루트 인증서 집합을 검사하면 관리자가 GPO(그룹 정책 개체)를 사용하여 배포할 인증서의 하위 집합을 선택할 수 있습니다. 이 구성은 이 문서의 신뢰할 수 있는 CTL 섹션의 하위 집합 사용에서 설명합니다.

Important

  • 이 문서에 설명된 설정은 GPO를 사용하여 구현됩니다. 이러한 설정은 GPO가 AD DS 도메인에서 제거되거나 연결이 끊어진 경우 자동으로 제거되지 않습니다. 구현한 후에는 GPO를 사용하거나 영향을 받는 컴퓨터의 레지스트리를 변경하는 방법으로만 이러한 설정을 변경할 수 있습니다.

  • 이 문서에 설명된 개념은 WSUS(Windows Server Update Services)와 무관합니다.

CTL 파일을 다운로드하도록 파일 또는 웹 서버 구성

연결이 끊어진 환경에서 신뢰할 수 있는 인증서 또는 신뢰할 수 없는 인증서의 배포를 용이하게 하려면 먼저 자동 업데이트 메커니즘에서 CTL 파일을 다운로드하도록 파일 또는 웹 서버를 구성해야 합니다.

Windows 업데이트 CTL 파일 검색

  1. 파일 또는 웹 서버에 자동 업데이트 메커니즘을 사용하여 동기화할 수 있으며 CTL 파일을 저장하는 데 사용할 공유 폴더를 만듭니다.

    시작하기 전에 특히 서비스 계정으로 예약된 작업을 사용하는 경우 적절한 계정 액세스를 허용하도록 공유 폴더 권한 및 NTFS 폴더 권한을 조정해야 할 수 있습니다. 사용 권한 조정에 대한 자세한 내용은 공유 폴더에 대한 사용 권한 관리를 참조 하세요.

  2. 관리자 권한 PowerShell 프롬프트에서 다음 명령을 실행합니다.

    Certutil -syncWithWU \\<server>\<share>

    예를 들어 CTL이라는 공유 폴더로 명명된 Server1 서버의 경우 실제 서버 이름과 <server> 공유 폴더 이름을 <share> 대체합니다. 명령을 실행합니다.

    Certutil -syncWithWU \\Server1\CTL

  3. 연결이 끊긴 환경의 컴퓨터가 FILE 경로(예: ) 또는 HTTP 경로(예FILE://\\Server1\CTLhttp://Server1/CTL: )를 사용하여 네트워크를 통해 액세스할 수 있는 서버에서 CTL 파일을 다운로드합니다.

참고 항목

  • 연결이 끊어진 환경의 컴퓨터에서 CTL을 동기화하는 서버에 액세스할 수 없는 경우에는 정보를 전송할 수 있는 다른 방법을 제공해야 합니다. 예를 들어 do기본 멤버 중 한 명이 서버에 연결하도록 허용한 다음 do기본 멤버 컴퓨터에서 다른 작업을 예약하여 정보를 내부 웹 서버의 공유 폴더로 끌어올 수 있습니다. 네트워크에 연결되지 않은 경우 이동식 스토리지 디바이스와 같은 수동 프로세스를 사용하여 파일을 전송해야 할 수도 있습니다.

  • 웹 서버를 사용하려면 CTL 파일의 새 가상 디렉터리를 만들어야 합니다. IIS(인터넷 정보 서비스)를 사용하여 가상 디렉터리를 만드는 단계는 이 문서에 설명된 모든 지원되는 운영 체제에 거의 동일하게 적용됩니다. 자세한 내용은 가상 디렉터리 만들기(IIS7)를 참조하세요.

  • Windows의 특정 시스템 및 애플리케이션 폴더에는 특별한 보호가 적용됩니다. 예를 들어 inetpub 폴더에는 특별한 액세스 권한이 필요하므로 예약된 작업에서 파일을 전송하는 데 사용할 공유 폴더를 만들기가 어렵습니다. 관리자는 파일 전송에 사용할 논리 드라이브 시스템의 루트에 폴더 위치를 만들 수 있습니다.

Microsoft 자동 업데이트 URL 리디렉션

네트워크의 컴퓨터는 연결이 끊긴 환경에서 구성될 수 있으므로 자동 업데이트 메커니즘을 사용하거나 CTL을 다운로드할 수 없습니다. AD DS에서 GPO를 구현하여 대체 위치에서 CTL 업데이트를 가져오도록 이러한 컴퓨터를 구성할 수 있습니다.

이 섹션의 구성에서는 CTL 파일을 다운로드하도록 파일 또는 웹 서버 구성의 단계를 이미 완료해야 합니다.

GPO에 대한 사용자 지정 관리 템플릿을 구성하려면

  1. 도메인 컨트롤러에서 새 관리 템플릿을 만듭니다. 메모장 텍스트 파일을 연 다음 파일 이름 확장명을 .로 .adm변경합니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. 설명이 포함된 이름을 사용하여 파일을 저장합니다(예: RootDirURL.adm.).

    • 파일 이름 확장명(.)이 .adm 아닌지 .txt확인합니다.

    • 파일 이름 확장명 보기를 아직 사용하도록 설정하지 않은 경우 방법: 파일 이름 확장명 보기를 참조 하세요.

    • 파일을 폴더에 %windir%\inf 저장하면 다음 단계에서 쉽게 찾을 수 있습니다.

  3. 그룹 정책 관리 편집기를 엽니다. 실행 시작을 > 선택하고 GPMC.msc를 입력한 다음 Enter 키를 누릅니다.

    Warning

    새 GPO를 도메인 또는 원하는 OU(조직 구성 단위)에 연결할 수 있습니다. 이 문서에서 구현된 GPO 수정 사항은 영향을 받는 컴퓨터의 레지스트리 설정을 변경합니다. GPO를 삭제하거나 연결을 해제하여 이러한 설정을 실행 취소할 수 없습니다. GPO 설정에서 원래대로 되돌리거나 다른 방법을 사용하여 레지스트리를 수정하는 방식으로만 실행 취소할 수 있습니다.

  4. 포리스트 개체를 확장하고 Do기본s 개체를 확장한 다음 변경할 컴퓨터 계정이 포함된 특정 do기본 확장합니다. 수정할 특정 OU가 있으면 해당 위치로 이동합니다.

  5. 이 작업에서 GPO 만들기를 마우스 오른쪽 단추로 선택한 다음기본 여기에 연결하여 새 GPO를 만듭니다.

  6. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.

  7. 관리 서식 파일을 마우스 오른쪽 관리 선택한 다음 템플릿 추가/제거를 선택합니다.

  8. 템플릿 추가/제거에서 추가를 선택합니다.

  9. 정책 템플릿 대화 상자에서 이전에 저장한 템플릿을 .adm 선택합니다. 열기를 선택한 다음, 닫기를 선택합니다.

  10. 탐색 창에서 관리 템플릿ADM(클래식 관리 템플릿)을 차례로 확장합니다.

  11. Windows 자동 업데이트 설정 선택하고 세부 정보 창에서 기본 ctldl.windowsupdate.com 대신 사용할 URL 주소를 두 번 선택합니다.

  12. 사용을 선택합니다. 옵션 섹션에서 CTL 파일이 포함된 파일 서버 또는 웹 서버의 URL을 입력합니다. 예를 들어 http://server1/CTL 또는 file://\\server1\CTL입니다.

  13. 확인을 선택합니다.

  14. 그룹 정책 관리 편집기를 닫습니다.

정책은 즉시 적용되지만 클라이언트 컴퓨터를 다시 시작하여 새 설정을 받거나 관리자 권한 명령 프롬프트 또는 Windows PowerShell에서 입력 gpupdate /force 할 수 있습니다.

Important

예약된 작업이나 다른 방법(예: 오류 조건을 처리하는 스크립트)으로 공유 폴더 또는 웹 가상 디렉터리를 업데이트하여 파일을 동기화된 상태로 유지할 수 있도록 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL을 매일 업데이트할 수 있습니다. PowerShell을 사용하여 예약된 작업을 만드는 방법에 대한 자세한 내용은 New-ScheduledTask를 참조하세요. 매일 업데이트하는 스크립트를 작성하려는 경우 certutil Windows 명령 참조를 참조하세요.

신뢰할 수 없는 CTL에 대해서만 Microsoft 자동 업데이트 URL 리디렉션

일부 조직에서는 신뢰할 수 없는 CTL(신뢰할 수 있는 CTL 아님)만 자동으로 업데이트하려고 할 수 있습니다. 신뢰할 수 없는 CTL만 자동으로 업데이트하려면 그룹 정책에 추가할 두 개의 .adm 템플릿을 만듭니다.

연결이 끊어진 환경에서는 이전 절차(신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL에 대해 Microsoft 자동 업데이트 URL 리디렉션)와 함께 다음 절차를 사용할 수 있습니다. 이 절차에서는 신뢰할 수 있는 CTL의 자동 업데이트를 선택적으로 사용하지 않도록 설정하는 방법에 대해 설명합니다.

연결된 환경에서 이 절차를 사용하여 신뢰할 수 있는 CTL의 자동 업데이트를 선택적으로 사용하지 않도록 설정할 수도 있습니다.

신뢰할 수 없는 CTL만 선택적으로 리디렉션하려면

  1. do기본 컨트롤러에서 텍스트 파일로 시작한 다음 파일 이름 확장명을 로 변경하여 첫 번째 새 관리 템플릿을 .adm만듭니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. 설명이 포함된 이름을 사용하여 파일을 저장합니다(예: DisableAllowedCTLUpdate.adm.).

  3. 두 번째 새 관리 템플릿을 만듭니다. 파일 내용은 다음과 같습니다.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. 설명이 포함된 이름(예: EnableUntrustedCTLUpdate.adm)을 사용하여 파일을 저장합니다.

    • 이러한 .adm 파일의 파일 이름 확장명은 그렇지 않은지 .txt확인합니다.

    • 파일을 폴더에 %windir%\inf 저장하면 다음 단계에서 쉽게 찾을 수 있습니다.

  5. 그룹 정책 관리 편집기를 엽니다.

  6. 포리스트 개체를 확장하고 Do기본s 개체를 확장한 다음 변경할 컴퓨터 계정이 포함된 특정 do기본 확장합니다. 수정할 특정 OU가 있으면 해당 위치로 이동합니다.

  7. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.

  8. 관리 서식 파일을 마우스 오른쪽 관리 선택한 다음 템플릿 추가/제거를 선택합니다.

  9. 템플릿 추가/제거에서 추가를 선택합니다.

  10. 정책 템플릿 대화 상자에서 이전에 저장한 템플릿을 .adm 선택합니다. 열기를 선택한 다음, 닫기를 선택합니다.

  11. 탐색 창에서 관리istrative Templates를 확장한 다음 클래식 관리ADM(기존 템플릿)을 확장합니다.

  12. Windows 자동 업데이트 설정 선택한 다음 세부 정보 창에서 자동 루트 업데이트를 두 번 클릭합니다.

  13. 사용 안 함으로 선택한 다음 확인을 선택합니다.

  14. 세부 정보 창에서 신뢰할 수 없는 CTL 자동 업데이트를 두 번 클릭한 다음 사용확인을 선택합니다.

정책은 즉시 적용되지만 클라이언트 컴퓨터를 다시 시작하여 새 설정을 받거나 관리자 권한 명령 프롬프트 또는 Windows PowerShell에서 입력 gpupdate /force 할 수 있습니다.

Important

예약된 작업이나 다른 방법으로 공유 폴더 또는 가상 디렉터리를 업데이트하여 파일을 동기화된 상태로 유지할 수 있도록 신뢰할 수 있는 CTL과 신뢰할 수 없는 CTL을 매일 업데이트할 수 있습니다.

신뢰할 수 있는 CTL 하위 집합 사용

이 섹션에서는 조직의 컴퓨터에서 사용할 신뢰할 수 있는 CTL을 생성, 검토 및 필터링하는 방법에 대해 설명합니다. 이 해결 방법을 사용하려면 이전 절차에 설명된 GPO를 구현해야 합니다. 이 해결 방법은 연결이 끊어진 환경과 연결된 환경에 사용할 수 있습니다.

신뢰할 수 있는 CTL 목록을 사용자 지정하는 두 가지 절차가 있습니다.

  1. 신뢰할 수 있는 인증서의 하위 집합 만들기

  2. 그룹 정책을 사용하여 신뢰할 수 있는 인증서 배포

신뢰할 수 있는 인증서의 하위 집합을 만들려면

Windows에서 자동 Windows 업데이트 메커니즘을 사용하여 SST 파일을 생성하는 방법은 다음과 같습니다. SST 파일 생성에 대한 자세한 내용은 Certutil Windows 명령 참조를 참조하세요.

  1. 인터넷에 연결된 컴퓨터에서 windows PowerShell을 관리istrator로 열거나 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.

    Certutil -generateSSTFromWU WURoots.sst

  2. Windows 탐색기에서 다음 명령을 실행하여 엽니다 WURoots.sst.

    start explorer.exe wuroots.sst

    Internet Explorer를 사용하여 파일로 이동하고 두 번 클릭하여 열 수도 있습니다. 파일을 저장한 위치에 따라 wuroots.sst를 입력하여 열 수도 있습니다.

  3. 인증서 관리자를 엽니다.

  4. 인증서가 표시될 때까지 인증서 - 현재 사용자 아래의 파일 경로를 확장한 다음 인증서를 선택합니다.

  5. 세부 정보 창에서 신뢰할 수 있는 인증서를 확인할 수 있습니다. Ctrl 키를 누른 채 허용하려는 각 인증서를 선택합니다. 허용하려는 인증서 선택을 마쳤으면 선택한 인증서 중 하나를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택합니다.

    • 파일 형식을 내보내려면 최소 두 개의 인증서를 .sst 선택해야 합니다. 인증서를 하나만 선택하면 파일 형식을 .sst 사용할 수 .cer 없으며 대신 파일 형식이 선택됩니다.

  6. 인증서 내보내기 마법사에서 다음을 선택합니다.

  7. 파일 형식 내보내기 페이지에서 Microsoft 직렬화된 인증서 저장소()를 선택합니다. SST)를 선택한 다음 다음을 선택합니다.

  8. 내보낼 파일 페이지에서 파일 경로와 파일의 적절한 이름(예: C:\AllowedCerts.sst다음)을 입력한 다음, 다음을 선택합니다.

  9. 마침을 선택합니다. 내보내기가 성공했다는 알림이 표시되면 확인을 선택합니다.

  10. .sst 만든 파일을 do기본 컨트롤러에 복사합니다.

그룹 정책을 사용하여 신뢰할 수 있는 인증서 목록을 배포하려면

  1. 사용자 지정된 .sst 파일이 있는 do기본 컨트롤러에서 그룹 정책 관리 편집기를 엽니다.

  2. 수정하려는 포리스트, Do기본 및 특정 do기본 개체를 확장합니다. 기본 Do기본 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  3. 탐색 창의 컴퓨터 구성에서 정책을 확장하고 Windows 설정 확장한 다음 보안 설정 확장한 다음 공개 키 정책을 확장합니다.

  4. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 단추로 클릭한 다음 가져오기를 선택합니다.

  5. 인증서 가져오기 마법사에서 다음을 선택합니다.

  6. 도메인 컨트롤러에 복사한 파일의 경로와 파일 이름을 입력하거나 찾아보기 단추를 사용하여 파일을 찾습니다. 다음을 선택합니다.

  7. 다음을 선택하여 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 이러한 인증서를 배치할지 확인합니다. 마침을 선택합니다. 인증서를 성공적으로 가져왔다는 알림이 표시되면 확인을 선택합니다.

  8. 그룹 정책 관리 편집기를 닫습니다.

정책은 즉시 적용되지만 클라이언트 컴퓨터를 다시 시작하여 새 설정을 받거나 관리자 권한 명령 프롬프트 또는 Windows PowerShell에서 입력 gpupdate /force 할 수 있습니다.

수정된 레지스트리 설정

이 문서에 설명된 설정은 클라이언트 컴퓨터에서 다음 레지스트리 키를 구성합니다. GPO가 연결 해제되거나 do기본 제거된 경우 이러한 설정은 자동으로 제거되지 않습니다. 이러한 설정을 변경하려면 이러한 설정을 다시 구성해야 합니다.

  • 신뢰할 수 있는 CTL의 Windows 자동 업데이트 사용 또는 사용 안 함:

    • : HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • 형식: REG_DWORD
    • 이름: DisableRootAutoUpdate
    • 데이터: 0 사용하도록 설정하거나 1 사용하지 않도록 설정합니다.
    • 기본값: 기본적으로 키가 없습니다. 키가 없으면 기본값이 사용하도록 설정됩니다.

  • 신뢰할 수 없는 CTL의 Windows 자동 업데이트 사용 또는 사용 안 함:

    • : SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • 형식: REG_DWORD
    • 이름: EnableDisallowedCertAutoUpdate
    • 데이터: 1 사용하도록 설정하거나 0 사용하지 않도록 설정합니다.
    • 기본값: 기본적으로 키가 없습니다. 키가 없으면 기본값이 사용하도록 설정됩니다.

  • 공유 CTL 파일 위치(HTTP 또는 FILE 경로)를 설정합니다.

    • : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • 형식: REG_SZ
    • 이름: RootDirUrl
    • 데이터: 유효한 HTTP 또는 파일 URI를 입력합니다.
    • 기본값: 기본적으로 키가 없습니다. 키가 없으면 사용된 기본 동작이 Windows 업데이트.

신뢰할 수 있는 CTL 및 신뢰할 수 없는 CTL 확인

클라이언트 컴퓨터에서 신뢰할 수 있는 CTL과 신뢰할 수 없는 모든 CTL을 확인하는 데 여러 가지 이유가 필요할 수 있습니다. 다음 Certutil 옵션을 사용하여 클라이언트 컴퓨터에서 신뢰할 수 있는 CTL과 신뢰할 수 없는 모든 CTL을 확인할 수 있습니다.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

마지막 동기화 시간 확인

신뢰할 수 있는 CTL 또는 신뢰할 수 없는 CTL에 대해 로컬 컴퓨터에서 가장 최근 동기화 시간을 검사 다음 Certutil 명령을 실행합니다.

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"