SharePoint STS 인증서 CRL 검사로 인한 사이트 속도 저하

  • 아티클
  • 적용 대상:
    SharePoint Foundation 2010, SharePoint Server 2010

증상

SharePoint Foundation 2010 또는 SharePoint Server 2010에서 클레임 기반 인증을 사용하는 웹 애플리케이션이 있다고 가정합니다. SharePoint 서버에 인터넷에 액세스할 수 없거나 제한된 포트가 열려 있는 방화벽으로 서버가 보호됩니다. 이 경우 사용자는 사이트에 로그인하거나 검색을 수행하는 등의 특정 작업을 수행할 때 간헐적으로 긴 지연을 경험합니다. 사용자는 이러한 작업을 수행할 때 HTTP 시간 제한이 발생할 수도 있습니다.

원인

SharePoint는 인증서를 사용하여 STS(보안 토큰 서비스)에서 발급한 보안 토큰에 서명합니다. 모든 인증서와 마찬가지로 STS 인증서의 유효성을 주기적으로 확인하여 인증서가 해지되지 않았는지 확인해야 합니다. 기본적으로 체인의 루트 인증서는 SharePoint 서버의 신뢰할 수 있는 루트 인증 기관 저장소에 추가되지 않습니다. 이 때문에 인증서에 대한 CRL(인증서 해지 목록) 검사 인터넷을 통해 수행됩니다. 어떤 이유로 인해 SharePoint 서버에서 온라인 CRL 서버에 연결할 수 없는 경우 작업은 기본적으로 15초 후에 시간 초과됩니다. CRL 유효성 검사가 15초 후에 실패하더라도 SharePoint 페이지는 지연 후에도 계속 렌더링될 수 있습니다.

SharePoint 서버에서 CAPI2 이벤트 로깅을 사용하도록 설정하여 인증서 유효성 검사 실패를 추적할 수 있습니다. CAPI2 이벤트 로깅을 사용하도록 설정하고 인터넷 인증서 유효성 검사가 실패하면 CAPI2 이벤트 로그에 다음과 같은 오류 메시지가 자주 표시됩니다.

  • 빌드 체인 오류

    이벤트 ID: 11
    작업 범주: 빌드 체인
    subjectName(이벤트 세부 정보에서 가져온): SharePoint 보안 토큰 서비스

  • 네트워크 오류에서 개체 검색

    이벤트 ID: 53
    작업 범주: 네트워크에서 개체 검색

    URL(이벤트 세부 정보에서 가져온): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

CAPI2 로깅을 사용하도록 설정하는 방법에 대한 자세한 내용은 "추가 정보" 섹션을 참조하세요.

해결 방법

이 문제를 resolve 다음 해결 방법 중 하나를 수행합니다.

해결 방법 1

신뢰할 수 있는 루트 인증 기관 저장소에 SharePoint 루트 기관 인증서를 설치합니다. 루트 인증서가 로컬 인증서 저장소에 추가된 후 인증서 유효성 검사는 더 이상 인터넷을 통해 수행되지 않습니다. 아래 단계에서는 로컬 저장소에서 인증서를 찾아 BuildChain이 성공하므로 네트워크에서 개체를 검색할 필요가 없습니다. 로컬 인증서 저장소에 루트 인증서를 추가하려면 팜의 각 SharePoint 서버에서 다음 단계를 완료해야 합니다.

  1. SharePoint 루트 기관 인증서를 물리적(.cer) 파일로 내보냅니다. 관리자 권한으로 SharePoint 2010 관리 셸을 시작한 다음, 다음 Windows PowerShell 명령을 실행합니다.

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    참고 그러면 SharePoint용 내부 루트 인증서(.cer 파일)가 C 드라이브로 내보내집니다. PowerShell 명령을 다시 실행하지 않고도 팜의 모든 서버에서 이 파일을 복사하고 사용하여 가져올 수 있습니다.

  2. SharePoint 루트 인증 기관 인증서를 신뢰할 수 있는 루트 인증 기관 저장소로 가져옵니다. 신뢰할 수 있는 루트 인증 기관 저장소에 SharePoint 루트 기관 인증서를 추가하려면 다음 단계를 수행합니다.

    참고 "관리자"는 이러한 단계를 완료하는 데 필요한 최소 그룹 멤버 자격입니다.

    1. 시작을 탭하거나 클릭하고 검색 시작에 mmc를 입력한 다음 Enter 키를 누릅니다.
    2. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
    3. 사용 가능한 스냅인에서인증서를 클릭한 다음 추가를 클릭합니다.
    4. 이 스냅인은 항상 인증서를 관리합니다. 아래에서 컴퓨터 계정을 선택하고 다음을 클릭합니다.
    5. 로컬 컴퓨터를 선택한 다음 마침을 클릭합니다.
    6. 콘솔에 추가할 스냅인이 더 이상 없으면 확인을 클릭합니다.
    7. 콘솔 트리에서 인증서를 두 번 클릭합니다.
    8. 신뢰할 수 있는 루트 인증 기관 저장소를 마우스 오른쪽 단추로 클릭합니다.
    9. 모든 작업을 클릭하고 가져오기를 클릭하여 인증서를 가져온 다음 인증서 가져오기 마법사의 단계를 수행합니다.

해결 방법 2

SharePoint 서버에서 루트 인증서의 자동 업데이트를 사용하지 않도록 설정합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 로컬 그룹 정책 편집기 컴퓨터 구성 노드 아래에서 정책을 두 번 클릭합니다.
  2. Windows 설정을 두 번 클릭하고 보안 설정을 두 번 클릭한 다음 공개 키 정책을 두 번 클릭합니다.
  3. 세부 정보 창에서 인증서 경로 유효성 검사 설정을 두 번 클릭합니다.
  4. 네트워크 검색 탭을 클릭하고 이러한 정책 설정 정의 검사 상자를 선택한 다음 Microsoft 루트 인증서 프로그램(권장) 검사 상자에서 인증서 자동 업데이트의 선택을 취소합니다.
  5. 확인을 클릭한 다음 로컬 그룹 정책 편집기 닫습니다.
  6. gpupdate/force를 실행하여 정책이 즉시 적용되도록 합니다.

참고 자동 업데이트를 사용하지 않도록 설정하면 새 릴리스를 모니터링한 다음 필요에 따라 인증서 트러스트를 수동으로 업데이트해야 할 수 있습니다.

자동 루트 인증서 업데이트를 사용하지 않도록 설정의 의미

자체 서명된 인증서를 사용하고 직접 관리하기 때문에 SharePoint에 특별히 영향을 미치지 않아야 합니다. SharePoint 인증서에는 만료가 있지만 이를 감시한 다음 관리자에게 업데이트하거나 다시 롤하도록 경고하는 상태 규칙이 있습니다.

고려해야 할 기본 측면은 신뢰할 수 있는 루트 인증 기관 저장소에 연결된 인증서에서 발급되는 컴퓨터에서 사용되는 다른 인증서(예: SSL 인증서, 다운로드 패키지를 신뢰하는 인증서 또는 SAFER 정책 등)입니다.

추가 정보

이벤트 뷰어 UI에서 CAPI2 로그 사용 및 저장

  1. 이벤트 뷰어를 엽니다. 이벤트 뷰어 열려면 시작을 클릭하고 제어판 클릭한 다음 관리 도구를 두 번 클릭한 다음 이벤트 뷰어 두 번 클릭합니다.
  2. 사용자 계정 컨트롤 대화 상자가 나타나면 표시된 작업이 수행하려는 작업인지 확인한 다음 계속을 클릭합니다.
  3. 콘솔 창에서 이벤트 뷰어 확장하고, 애플리케이션 및 서비스 로그를 확장하고, Microsoft를 확장하고, Windows를 확장한 다음, CAPI2를 확장합니다.
  4. 이제 다음 작업을 수행할 수 있습니다.

    • CAPI2 로깅을 사용하도록 설정하려면 작동을 마우스 오른쪽 단추로 클릭한 다음 로그 사용을 선택합니다.

    • 로그를 파일에 저장하려면 작동을 마우스 오른쪽 단추로 클릭한 다음 이벤트 저장을 선택합니다. 로그 파일을 EVTX 형식(이벤트 뷰어 통해 열 수 있습니다) 또는 XML 형식으로 저장할 수 있습니다.

    • CAPI2 로깅을 사용하지 않도록 설정하려면 작동을 마우스 오른쪽 단추로 클릭한 다음 로그 사용 안 함을 선택합니다.

    • 문제를 재현하기 전에 로그에 데이터가 있는 경우 로그를 지우는 것이 좋습니다. 이렇게 하면 저장된 로그에서 문제 시나리오와 관련된 데이터만 수집할 수 있습니다. 로그를 지우려면 작동을 마우스 오른쪽 단추로 클릭한 다음 로그 지우기를 선택합니다.

    • CAPI2 진단의 경우 로그 크기가 빠르게 증가할 수 있으며 관련 이벤트를 캡처하려면 로그 크기를 4MB 이상으로 늘리는 것이 좋습니다. 로그 크기를 늘리려면 작동을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다. 로그 속성에서 최대 로그 크기를 늘입니다.

      참고 이벤트 로그의 기본 크기는 1MB입니다.

아직 해결되지 않았습니까? SharePoint 커뮤니티로 이동합니다.