다음을 통해 공유


NCryptCreatePersistedKey 함수(ncrypt.h)

NCryptCreatePersistedKey 함수는 새 키를 만들어 지정된 키 스토리지 공급자에 저장합니다. 이 함수를 사용하여 키를 만든 후에 는 NCryptSetProperty 함수를 사용하여 해당 속성을 설정할 수 있습니다. 그러나 NCryptFinalizeKey 함수가 호출될 때까지 키를 사용할 수 없습니다.

구문

SECURITY_STATUS NCryptCreatePersistedKey(
  [in]           NCRYPT_PROV_HANDLE hProvider,
  [out]          NCRYPT_KEY_HANDLE  *phKey,
  [in]           LPCWSTR            pszAlgId,
  [in, optional] LPCWSTR            pszKeyName,
  [in]           DWORD              dwLegacyKeySpec,
  [in]           DWORD              dwFlags
);

매개 변수

[in] hProvider

키를 만들 키 스토리지 공급자의 핸들입니다. 이 핸들은 NCryptOpenStorageProvider 함수를 사용하여 가져옵니다.

[out] phKey

키의 핸들을 수신하는 NCRYPT_KEY_HANDLE 변수의 주소입니다. 이 핸들 사용을 마쳤으면 NCryptFreeObject 함수에 전달하여 해제합니다. 디스크에서 키 파일을 삭제하려면 NCryptDeleteKey 함수에 핸들을 전달합니다. 그러면 핸들도 해제됩니다. 따라서 애플리케이션은 NCryptFreeObject 또는 NCryptDeleteKey에 핸들을 전달할 수 있지만 둘 다 전달하지는 않습니다.

[in] pszAlgId

키를 만드는 암호화 알고리즘의 식별자를 포함하는 null로 끝나는 유니코드 문자열에 대한 포인터입니다. 표준 CNG 알고리즘 식별자 또는 등록된 다른 알고리즘의 식별자 중 하나일 수 있습니다.

[in, optional] pszKeyName

키 이름을 포함하는 null로 끝나는 유니코드 문자열에 대한 포인터입니다. 이 매개 변수가 NULL이면 이 함수는 유지되지 않는 임시 키를 만듭니다.

[in] dwLegacyKeySpec

키 유형을 지정하는 레거시 식별자입니다. 다음 값 중 하나일 수 있습니다.

의미
AT_KEYEXCHANGE 키는 키 교환 키입니다.
AT_SIGNATURE 키는 서명 키입니다.
0 키는 위의 형식이 아닙니다.

[in] dwFlags

이 함수의 동작을 수정하는 플래그 집합입니다. 이 값은 0이거나 다음 값 중 하나 이상의 조합일 수 있습니다.

의미
NCRYPT_MACHINE_KEY_FLAG 키는 로컬 컴퓨터에 적용됩니다. 이 플래그가 없으면 키가 현재 사용자에게 적용됩니다.
NCRYPT_OVERWRITE_KEY_FLAG 지정된 이름을 가진 키가 컨테이너에 이미 있는 경우 기존 키를 덮어씁니다. 이 플래그를 지정하지 않고 지정된 이름의 키가 이미 있는 경우 이 함수는 NTE_EXISTS 반환합니다.
NCRYPT_REQUIRE_VBS_FLAG 키가 VBS(가상화 기반 보안)로 보호되어야 했음을 나타냅니다. 기본적으로 다시 부팅 주기 동안 지속되는 디스크에 저장된 부팅 간 지속형 키를 만듭니다.

VBS를 사용할 수 없는 경우 작업이 실패합니다. (*주의 참조)
NCRYPT_PREFER_VBS_FLAG VBS(가상화 기반 보안)로 키를 보호해야 했음을 나타냅니다. 기본적으로 다시 부팅 주기에 걸쳐 유지되는 디스크에 저장된 부팅 간 지속형 키를 만듭니다.

VBS를 사용할 수 없는 경우 작업은 소프트웨어 격리 키를 생성합니다. (*주의 참조)
NCRYPT_USE_PER_BOOT_KEY_FLAG NCRYPT_REQUIRE_VBS_FLAG 또는NCRYPT_PREFER_VBS_FLAG 함께 사용할 수 있는 추가 플래그입니다. 디스크에 저장되어 있지만 부팅 주기 동안 재사용할 수 없는 부팅당 키로 클라이언트 키를 보호하도록 VBS(가상화 기반 보안)에 지시합니다. (*주의 참조)

반환 값

함수의 성공 또는 실패를 나타내는 상태 코드를 반환합니다.

가능한 반환 코드에는 다음이 포함되지만 이에 국한되지는 않습니다.

반환 코드 설명
ERROR_SUCCESS 함수가 성공했습니다.
NTE_BAD_FLAGS dwFlags 매개 변수에는 유효하지 않은 값이 포함되어 있습니다.
NTE_EXISTS 지정된 이름의 키가 이미 있고 NCRYPT_OVERWRITE_KEY_FLAG 지정되지 않았습니다.
NTE_INVALID_HANDLE hProvider 매개 변수가 잘못되었습니다.
NTE_INVALID_PARAMETER 하나 이상의 매개 변수가 유효하지 않습니다.
NTE_NO_MEMORY 메모리 할당 오류가 발생했습니다.
NTE_VBS_UNAVAILABLE VBS를 사용할 수 없습니다.

설명

중요

VBS 플래그에 대한 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보에 대해 어떠한 명시적이거나 묵시적인 보증도 하지 않습니다.

RSA 키 쌍을 만드는 경우 키가 완료될 때 NCRYPT_WRITE_KEY_TO_LEGACY_STORE_FLAG 플래그를 NCryptFinalizeKey 함수에 전달하여 CryptoAPI와 함께 사용할 수 있도록 키를 레거시 스토리지에 저장할 수도 있습니다.

서비스에서 StartService 함수에서 이 함수를 호출해서는 안됩니다. 서비스에서 StartService 함수에서 이 함수를 호출하면 교착 상태가 발생하고 서비스가 응답하지 않을 수 있습니다.

VBS 키에 대한 추가 하드웨어 요구 사항

컴퓨터에 적절한 OS가 설치되어 있을 수 있지만 VBS를 사용하여 키를 생성하고 보호하려면 다음과 같은 추가 하드웨어 요구 사항을 충족해야 합니다.

  • VBS 사용(VBS(가상화 기반 보안) 참조)
  • TPM 사용
    • 운영 체제 미설치 환경의 경우 TPM 2.0이 필요합니다.
    • VM 환경의 경우 vTPM(가상 TPM)이 지원됩니다.
  • SECUREBoot 프로필을 사용하여 BIOS를 UEFI로 업그레이드해야 합니다.

하드웨어 요구 사항에 대한 자세한 내용은 다음을 수행합니다.

  • VBS에는 Hyper-V(Windows 하이퍼바이저), 64비트 아키텍처 및 IOMMU 지원을 포함하여 실행해야 하는 몇 가지 하드웨어 요구 사항이 있습니다. VBS 하드웨어 요구 사항의 전체 목록은 여기에서 찾을 수 있습니다.
  • 매우 안전한 디바이스에 대한 요구 사항은 여기에서 찾을 수 있습니다.

요구 사항

요구 사항
지원되는 최소 클라이언트 Windows Vista [데스크톱 앱 | UWP 앱]
지원되는 최소 서버 Windows Server 2008 [데스크톱 앱 | UWP 앱]
대상 플랫폼 Windows
헤더 ncrypt.h
라이브러리 Ncrypt.lib
DLL Ncrypt.dll

추가 정보

NCryptDeleteKey

NCryptFinalizeKey

NCryptImportKey