로그인

Select the product you need help with

Microsoft 보안 공지: 최소 인증서 키 길이 업데이트

소개

Microsoft는 IT 전문가를 위한 Microsoft 보안 공지를 발표했습니다. 이 공지에 따라, 1024비트보다 짧은 키를 갖는 RSA 인증서의 사용이 차단될 예정입니다. 이 보안 공지를 보려면 다음 Microsoft 웹 사이트로 이동하십시오.

http://technet.microsoft.com/ko-kr/security/advisory/2661254

(http://technet.microsoft.com/ko-kr/security/advisory/2661254)

중요한 정보에 대한 무단 공개 위험을 줄이기 위해 Microsoft는 지원되는 모든 Microsoft Windows 버전에 대한 비보안 업데이트(KB 2661254)를 발표했습니다. 이 업데이트는 1024비트보다 길이가 짧은 암호화 키를 차단합니다. 이 업데이트는 Windows 8 Release Preview 또는 Windows Server 2012 릴리스 후보에는 적용되지 않습니다. 이러한 운영 체제에는 1024비트보다 길이가 짧은 약한 RSA 키의 사용을 차단하는 기능이 이미 포함되어 있기 때문입니다.

위로 가기 | 피드백 보내기

추가 정보

공개 키 기반 암호화 알고리즘의 강도는 무차별 암호 대입 공격(brute force attack) 방법을 사용하여 개인 키를 알아내는 데 걸리는 시간에 따라 다릅니다. 개인 키를 알아내기 전에 컴퓨팅 기능을 사용하여 이러한 위험을 방지할 수 있으면 이 알고리즘이 강력한 것으로 간주됩니다. 위협 범위가 계속 확산되고 있습니다. 따라서 Microsoft는 키 길이가 1024비트보다 짧은 RSA 알고리즘 기준을 강화하고 있습니다.

이 업데이트를 적용하면 CertGetCertificateChain
(http://msdn.microsoft.com/ko-kr/library/windows/desktop/aa376078.aspx)
함수를 사용하여 작성한 인증서 체인만 영향을 받습니다. CryptoAPI는 인증서 신뢰 체인을 만들고 시간 유효성, 인증서 해지 및 인증서 정책(예: 용도)에 따라 해당 체인이 유효한지 검사합니다. 이 업데이트는 체인의 어떤 인증서도 1024비트보다 길이가 짧은 RSA 키를 갖지 않도록 하기 위해 추가적인 검사도 진행합니다.

업데이트 대체 정보

이 업데이트는 다음 업데이트를 대체합니다.

2677070

(http://support.microsoft.com/kb/2677070/ko/ )

Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2에 대해 해지된 인증서의 자동 업데이트 프로그램이 출시되었습니다.

이 보안 업데이트의 알려진 문제점

업데이트가 완료되면

컴퓨터를 다시 시작해야 합니다.
CA(인증 기관)에서 키 길이가 1024비트보다 짧은 RSA 인증서를 발급할 수 없습니다.
CA에서 1024비트보다 키 길이가 짧은 RSA 인증서를 사용하고 있을 때는 CA 서비스(certsvc)를 시작할 수 없습니다.
Internet Explorer에서 키 길이가 1024비트보다 짧은 RSA 인증서로 보안이 유지되는 웹 사이트에 액세스할 수 없습니다.
키 길이가 1024비트보다 짧은 RSA 인증서를 사용하고 있는 경우 Outlook 2010에서 전자 메일을 암호화할 수 없습니다. 그러나 키 길이가 1024비트보다 짧은 RSA 인증서를 사용하여 이미 암호화된 전자 메일은 이 업데이트를 설치한 후에도 암호를 해독할 수 있습니다.
키 길이가 1024비트보다 짧은 RSA 인증서를 사용하고 있는 경우 Outlook 2010에서 전자 메일에 디지털 서명할 수 없습니다.
키 길이가 1024비트보다 짧은 RSA 인증서를 사용하여 암호화되거나 디지털 서명된 전자 메일을 Outlook 2010에서 수신하면 해당 인증서를 신뢰할 수 없다는 오류가 나타납니다. 사용자는 여전히 암호화되어 있거나 서명된 전자 메일을 볼 수 있습니다.
Outlook 2010에서 SSL/TLS에 대해 키 길이가 1024비트보다 짧은 RSA 인증서를 사용하는 Microsoft Exchange Server에 연결할 수 없습니다. 다음 오류가 표시됩니다. "이 사이트와 교환한 정보는 다른 사람이 보거나 변경할 수 없습니다. 그러나 사이트 보안 인증서에 문제가 있습니다. 보안 인증서가 유효하지 않습니다. 이 사이트는 신뢰할 수 없습니다."
"알 수 없는 게시자"라는 보안 경고가 보고되지만 다음 경우에는 설치를 계속 진행할 수 있습니다.
- 2010년 1월 1일 이후 날짜가 찍혀 있고 키 길이가 1024비트보다 짧은 RSA 인증서를 사용하여 서명된 Authenticode 서명이 발견되었습니다.
- 서명된 설치 관리자가 키 길이가 1024비트보다 짧은 RSA 인증서를 사용하여 서명되었습니다.
- ActiveX 컨트롤이 키 길이가 1024비트보다 짧은 RSA 인증서를 사용하여 서명되었습니다. 이 업데이트를 설치하기 전에 이미 설치된 ActiveX 컨트롤은 영향을 받지 않습니다.
키 길이가 512비트인 RSA 인증서를 사용하는 System Center HP-UX PA-RISC 컴퓨터가 하트비트 경고를 생성하며 컴퓨터에 대한 모든 Operations Manager 모니터링이 실패합니다. "서명된 인증서 확인"이라고 설명된 "SSL 인증서 오류"도 생성됩니다. 또한 Operations Manager는 "서명된 인증서 확인" 오류 때문에 새로운 HP-UX PA-RISC 컴퓨터를 검색하지 못합니다. HP-UX PA-RISC 컴퓨터를 사용하는 System Center 고객은 키 길이가 1024비트 이상인 RSA 인증서를 다시 발급받는 것이 좋습니다. 자세한 내용은 다음 TechNet 웹 페이지로 이동하십시오.
중요: Operations Manager에 의해 모니터링되는 HP-UX PA-RISC 컴퓨터에서 향후 Windows 업데이트 후에 하트비트 및 모니터링이 실패함
(http://blogs.technet.com/b/momteam/archive/2012/08/01/important-hp-ux-pa-risc-computers-monitored-by-operations-manager-will-experience-heartbeat-and-monitoring-failures-after-an-upcoming-windows-update.aspx)

참고 EFS 암호화는 이 업데이트의 영향을 받지 않습니다.

키 길이가 1024비트보다 짧은 RSA 인증서 검색

키 길이가 1024비트보다 짧은 RSA 인증서가 사용 중인지 확인하는 방법에는 다음 네 가지가 있습니다.

인증서와 인증 경로를 수동으로 확인
CAPI2 로깅 사용
인증서 템플릿 확인
업데이트가 설치된 컴퓨터에서 로깅을 사용하도록 설정

인증서와 인증 경로를 수동으로 확인

인증서를 열고 형식, 키 길이 및 인증 경로를 수동으로 확인할 수 있습니다. 이렇게 하려면 내부적으로 발급된 인증서를 확인(일반적으로 두 번 클릭)하면 됩니다. 인증 경로 탭에서 체인의 각 인증서에 대한 인증서 보기를 클릭하고 모든 RSA 인증서의 키 길이가 적어도 1024비트 이상인지 확인합니다.

예를 들어 다음 그림의 인증서는 엔터프라이즈 루트 CA인 AdatumRootCA에서 도메인 컨트롤러(2003DC.adatum.com)로 발급되었습니다. 인증 경로 탭에서 AdatumRootCA 인증서를 선택할 수 있습니다.

그림 축소그림 확대

AdatumRootCA 인증서를 보려면 인증서 보기를 클릭합니다. 다음 그림과 같이 세부 정보 창에서 공개 키를 선택하여 키 크기를 확인합니다.

그림 축소그림 확대

이 예제에서 AdatumRootCA에 대한 RSA 인증서는 2048비트입니다.

CAPI2 로깅 사용

Windows Vista 또는 Windows Server 2008이나 이후 버전의 Windows가 실행되는 컴퓨터에서는 CAPI2 로깅을 사용하여 길이가 1024비트보다 짧은 키를 식별할 수 있습니다. 이렇게 하면 시스템에서 일반적인 작업을 수행할 수 있으며 나중에 이 로그를 확인하여 길이가 1024비트보다 짧은 키를 식별할 수 있습니다. 그런 다음 이 정보를 사용하여 인증서 출처를 추적하고 필요한 업데이트를 수행할 수 있습니다.

이렇게 하려면 먼저 자세한 진단 로깅을 사용하도록 설정해야 합니다. 자세한 로깅 모드를 설정하려면 다음과 같이 하십시오.

1. 레지스트리 편집기(Regedit.exe)를 엽니다.

2. 다음 레지스트리 키로 이동합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32

3. DWORD(32비트) 값 DiagLevel을 추가하고 0x00000005 값을 지정합니다.

4. QWORD(64비트) 값 DiagMatchAnyMask를 추가하고 0x00ffffff 값을 지정합니다.

그림 축소그림 확대

이 작업을 수행한 후에 이벤트 뷰어에서 CAPI2 작동 로깅을 사용하도록 설정할 수 있습니다. CAPI2 작동 로그는 이벤트 뷰어의 응용 프로그램 및 서비스 로그, Microsoft, Windows 및 CAPI2에 있습니다. 로깅을 사용하도록 설정하려면 작동 로그를 마우스 오른쪽 단추로 클릭하고 로그 사용을 클릭한 다음 현재 로그 필터링을 클릭합니다. XML 탭을 클릭한 다음 수동으로 쿼리 편집 확인란을 선택합니다.

그림 축소그림 확대

이 로그를 수집한 후에 다음 필터를 사용하여 키 길이가 1024비트보다 짧은 인증 작업을 찾기 위해 검색해야 하는 항목 수를 줄일 수 있습니다. 다음 필터를 지정하면 512비트 길이의 키를 찾습니다.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

그림 축소그림 확대

단일 쿼리를 사용하여 여러 개의 키 길이를 쿼리할 수도 있습니다. 예를 들어 다음 필터를 적용하면 길이가 384비트와 512비트인 키를 모두 쿼리합니다.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

인증서 템플릿 확인

CA(인증 기관)에 대해 다음 쿼리를 실행하여 키 길이가 1024비트보다 짧은 인증서 템플릿을 검색할 수 있습니다.

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

참고 조직의 각 포리스트에서 이 명령을 실행해야 합니다.

이 쿼리를 실행하는 경우 1024비트보다 짧은 키를 사용하는 템플릿이 키 크기와 함께 표시됩니다. 다음 그림에서는 두 개의 기본 제공 템플릿인 SmartcardLogon과 SmartcardUser가 기본 키 길이를 가지며 최소 키 크기 512비트임을 보여 줍니다. 최소 키 길이가 1024비트보다 짧은 중복된 다른 템플릿이 발견될 수도 있습니다.

검색된 템플릿 중에서 1024비트 이하의 키를 허용하는 각 템플릿에 대해 인증 기관 콘솔의 인증서 템플릿 섹션에 표시된 대로 인증서를 발급할 수 있는지 확인해야 합니다.

그림 축소그림 확대

업데이트가 설치된 컴퓨터에서 로깅 사용

레지스트리 설정을 사용하여 이 업데이트가 적용된 컴퓨터에서 키 길이가 1024비트보다 작은 RSA 인증서를 찾도록 할 수 있습니다. 로깅을 구현하기 위한 옵션은 1024비트 이하의 키 길이를 허용하는 데 사용할 수 있는 레지스트리 설정과 밀접하게 연결되어 있으므로 "해결 방법" 절에 설명되어 있습니다. 로깅을 사용하도록 설정하는 방법에 대한 자세한 내용은 이 문서 뒷부분에 나오는 "레지스트리 설정을 사용하여 1024비트 이하의 키 길이 허용" 절을 참조하십시오.

위로 가기 | 피드백 보내기

해결 방법

키 길이가 1024비트보다 작은 인증서의 차단과 관련된 문제의 기본적인 해결 방법은 더 큰(1024비트 이상) 인증서를 구현하는 것입니다. 따라서 사용자는 키 길이가 2048비트 이상인 인증서를 구현하는 것이 좋습니다.

인증서 자동 등록을 통해 발급된 인증서의 키 크기 늘리기

키 길이가 1024비트보다 작은 RSA 인증서를 발급한 템플릿의 경우 최소 키 크기 설정을 1024비트 이상으로 늘리는 것을 고려해야 합니다. 여기서는 이러한 인증서가 발급된 장치가 더 큰 키 크기를 지원한다고 가정합니다.

최소 키 크기를 늘린 후에 인증서 템플릿 콘솔의 모든 인증서 소유자 다시 등록 옵션을 사용하여 클라이언트 컴퓨터가 다시 등록하고 더 큰 키 크기를 요청하도록 합니다.

그림 축소그림 확대

기본 제공된 스마트 카드 로그온 또는 스마트 카드 사용자 템플릿을 사용하여 인증서를 발급한 경우 템플릿의 최소 키 크기를 직접 조정할 수 없습니다. 대신 이 템플릿을 복제한 다음 복제된 템플릿에서 키 크기를 늘리고 원본 템플릿을 복제한 템플릿으로 바꿉니다

(http://technet.microsoft.com/ko-kr/library/cc753044.aspx)

그림 축소그림 확대

템플릿을 바꾼 후에는 모든 인증서 소유자 다시 등록 옵션을 사용하여 클라이언트 컴퓨터가 다시 등록하고 더 큰 키 크기를 요청하도록 합니다.

그림 축소그림 확대

레지스트리 설정을 사용하여 1024비트 이하의 키 길이 허용

Microsoft는 1024비트보다 짧은 인증서를 사용하는 것을 권장하지 않습니다. 그렇지만 고객들은 키 길이가 1024비트보다 짧은 RSA 인증서를 교체하기 위한 장기적인 해결 방법이 개발되는 동안 임시 해결 방법이 필요할 수 있습니다. 이러한 경우를 위해 Microsoft는 업데이트 작동 방식을 변경하는 기능을 제공하고 있습니다. 이러한 설정을 구성하면 공격자가 인증서를 해독하고 이를 악용하여 콘텐츠를 스푸핑하거나, 피싱 공격을 감행하거나, 메시지 가로채기(man-in-the-middle) 공격을 할 수도 있습니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

322756

(http://support.microsoft.com/kb/322756 /ko/ )

Windows에서 레지스트리를 백업 및 복원하는 방법

이 업데이트가 적용된 Windows 8 또는 Windows Server 2012 기반 컴퓨터에서 다음 레지스트리 경로와 설정을 사용하여 키 길이가 1024비트보다 짧은 RSA 인증서의 검색과 차단을 제어할 수 있습니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

1024비트 이하의 키 차단 기능이 작동하는 방식을 제어하는 값에는 다음 네 가지가 있습니다.

MinRsaPubKeyBitLength
EnableWeakSignatureFlags
WeakSignatureLogDir
WeakRsaPubKeyTime

이러한 각 값과 이러한 값으로 제어되는 대상은 다음 절에 설명되어 있습니다.

Windows Vista 및 Windows Server 2008 이상 운영 체제에서는 certutil 명령을 사용하여 이러한 레지스트리 설정을 변경할 수 있습니다. Windows XP, Windows Server 2003 및 Windows Server 2003 R2에서는 certutil 명령을 사용하여 이러한 레지스트리 설정을 변경할 수 없습니다. 그러나 레지스트리 편집기, reg 명령 또는 reg 파일은 사용 가능합니다.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength는 허용되는 최소 RSA 키 길이를 정의하는 DWORD 값입니다. 기본적으로 이 값은 존재하지 않으며 허용되는 최소 RSA 키 길이는 1024입니다. 다음 명령을 실행하여 certutil을 사용하면 이 값을 512로 설정할 수 있습니다.

certutil -setreg chain\minRSAPubKeyBitLength 512

참고이 문서에 표시되는 모든 certutil 명령은 레지스트리를 변경하게 되므로 로컬 관리자 권한이 필요합니다. "변경 사항이 적용되려면 CertSvc 서비스가 다시 시작되어야 할 수도 있습니다." 메시지는 무시해도 됩니다. 이러한 명령은 인증서 서비스(CertSvc)에 영향을 미치지 않으므로 다시 시작할 필요가 없습니다.?

이 값을 제거하여 길이가 1024비트보다 짧은 키를 차단하는 방식으로 복귀할 수 있습니다. 이렇게 하려면 다음 certutil 명령을 실행합니다.

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

EnableWeakSignatureFlags DWORD 값은 2, 4, 6 및 8의 세 가지 값을 가질 수 있습니다. 이러한 설정에 따라 1024비트 미만의 키 검색 및 차단 기능 작동 방식이 달라집니다. 이러한 설정은 다음 표에 설명되어 있습니다.

표 축소표 확대

10진수 값	설명
2	사용하도록 설정되면 루트 인증서(체인 작성 중에)는 키 길이가 1024비트보다 짧은 RSA 인증서를 포함할 수 있습니다. 체인 아래쪽에서 1024비트 미만의 RSA 인증서를 차단하는 방식은 여전히 적용됩니다. 이 값이 설정되었을 때 사용하도록 설정된 플래그는 CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG로 설정됩니다.
4	로깅이 사용되지만 키 길이가 1024비트보다 작은 RSA 인증서의 차단은 여전히 적용됩니다. 사용하도록 설정될 경우 WeakSignatureLogDir이 필요합니다. 길이가 1024비트 미만인 모든 키는 실제 WeakSignatureLogDir 폴더로 복사됩니다. 이 값이 설정되었을 때 사용하도록 설정된 플래그는 CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG로 설정됩니다.
6	사용하도록 설정되면 루트 인증서는 키 길이가 1024비트보다 작은 RSA 인증서를 포함할 수 있으며 WeakSignatureLogDir이 필요합니다. 키 길이가 1024비트보다 작은 루트 인증서 아래의 모든 키는 차단되고 WeakSignatureLogDir로 지정된 폴더에 로깅됩니다.
8	로깅이 사용되며 길이가 1024비트보다 작은 키의 차단이 적용됩니다. 사용하도록 설정될 경우 WeakSignatureLogDir이 필요합니다. 길이가 1024비트 미만인 모든 키는 실제 WeakSignatureLogDir 폴더로 복사됩니다. 이 값이 설정되었을 때 사용하도록 설정된 플래그는 CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG로 설정됩니다.

예제

키 길이가 1024비트보다 작은 RSA 루트 인증서를 사용하도록 설정하려면 다음 certutil 명령을 사용합니다.

certutil -setreg chain\EnableWeakSignatureFlags 2

키 길이가 1024비트보다 작은 인증서를 계속 차단하면서 로깅을 사용하도록 설정하려면 다음 certutil 명령을 사용합니다.

certutil -setreg chain\EnableWeakSignatureFlags 4

루트 인증서 아래에서 키 길이가 1024비트보다 작은 RSA 인증서의 로깅을 사용하도록 설정하려면 다음 certutil 명령을 사용합니다.

certutil -setreg chain\EnableWeakSignatureFlags 6

로깅만 사용하도록 설정하고 길이가 1024비트보다 작은 키를 차단하지 않으려면 다음 certutil 명령을 사용합니다.

certutil -setreg chain\EnableWeakSignatureFlags 8

참고 로깅을 사용하도록 설정하면(10진수 설정 4, 6 또는 8) 다음 절에 설명된 것처럼 로그 디렉터리도 구성해야 합니다.

WeakSignatureLogDir

정의될 경우 키 길이가 1024비트보다 짧은 인증서가 지정된 폴더에 기록됩니다. 예를 들어 C:\Under1024KeyLog가 이 값의 데이터가 될 수 있습니다. 이 옵션은 EnableWeakSignatureFlags가 4 또는 8로 설정되어 있을 때 필요합니다. 인증된 사용자와 로그 그룹 모든 응용 프로그램 패키지 둘 다 수정 액세스 권한을 가지도록 지정된 폴더에 대한 보안을 구성해야 합니다. C:\Under1024KeyLog에 대해 이 값을 설정하려면 다음 certutil 명령을 사용합니다.

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

또한 네트워크 공유 폴더에 쓰도록 WeakSignatureLogDir을 구성할 수도 있습니다. 구성된 모든 사용자가 공유 폴더에 쓸 수 있도록 네트워크 위치에 대해 해당 사용 권한이 구성되어야 합니다. 다음 명령은 Server1에서 네트워크 공유 폴더 RSA에 있는 Keys 폴더에 쓸 수 있도록 WeakSignatureLogDir을 구성하는 방법의 예입니다.

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime은 UTC/GMT로 저장된 Windows FILETIME 데이터 형식을 포함하는 8바이트 REG_BINARY 값입니다. 이 값은 Authenticode 서명에 대해 길이가 1024비트보다 짧은 키를 차단하여 잠재적인 문제를 줄이는 데 주로 사용됩니다. 구성된 날짜 및 시간 전에 코드에 설명하는 데 사용된 인증서는 키 길이가 1024비트보다 짧은지 확인되지 않습니다. 기본적으로 이 레지스트리 값은 없으며 자정 UTC/GMT에 2010년 1월 1일 아침 일찍으로 취급됩니다.

참고이 설정은 인증서가 타임스탬프 파일에 Authenticode 설명을 하는 데 사용되었을 때만 적용 가능합니다. 이 코드에 시간이 찍히지 않은 경우 현재 시간이 사용되고 WeakRsaPubKeyTime 설정은 사용되지 않습니다.

WeakRsaPubKeyTime 설정은 이전 서명이 유효하다고 간주될 날짜를 구성할 수 있도록 합니다. WeakRsaPubKeyTime에 대해 다른 날짜와 시간을 설정해야 할 경우 certutil을 사용하여 다른 날짜를 설정할 수 있습니다. 예를 들어 날짜를 2010년 8월 29일로 설정하려면 다음 명령을 사용할 수 있을 것입니다.

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

특정 날짜(예: 2011년 7월 4일 6:00 PM)를 설정해야 할 경우 일 및 시간을 +[dd:hh] 형식으로 이 명령에 추가합니다. 6:00 PM은 2011년 7월 4일 자정부터 18시간이 경과한 것이므로 다음 명령을 실행할 수 있습니다.

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

IIS(인터넷 정보 서비스)에서 인증서 구성

1024비트 이상의 새 인증서를 발급해야 하는 IIS 고객인 경우 다음 문서를 참조하십시오.

IIS 7에서 SSL을 설정하는 방법

(http://learn.iis.net/page.aspx/144/how-to-set-up-ssl-on-iis/)

IIS 6의 SSL 및 인증서

(http://technet.microsoft.com/ko-kr/library/cc785150(v=ws.10))

위로 가기 | 피드백 보내기

해결 방법

Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.

지원되는 모든 x86 기반 버전의 Windows XP

그림 축소그림 확대

Select the product you need help with

Microsoft 보안 공지: 최소 인증서 키 길이 업데이트

업데이트 대체 정보

이 보안 업데이트의 알려진 문제점

키 길이가 1024비트보다 짧은 RSA 인증서 검색

인증서와 인증 경로를 수동으로 확인

CAPI2 로깅 사용

인증서 템플릿 확인

업데이트가 설치된 컴퓨터에서 로깅 사용

인증서 자동 등록을 통해 발급된 인증서의 키 크기 늘리기

레지스트리 설정을 사용하여 1024비트 이하의 키 길이 허용

MinRsaPubKeyBitLength

EnableWeakSignatureFlags

예제

WeakSignatureLogDir

WeakRsaPubKeyTime

IIS(인터넷 정보 서비스)에서 인증서 구성

지원되는 모든 x86 기반 버전의 Windows XP

지원되는 모든 x64 기반 버전의 Windows XP Professional x64 버전

지원되는 모든 x86 기반 버전의 Windows Server 2003

지원되는 모든 x64 기반 버전의 Windows Server 2003

지원되는 모든 IA-64 기반 버전의 Windows Server 2003

지원되는 모든 x86 기반 버전의 Windows Vista

지원되는 모든 x64 기반 버전의 Windows Vista

지원되는 모든 x86 기반 버전의 Windows Server 2008

지원되는 모든 x64 기반 버전의 Windows Server 2008

지원되는 모든 IA-64 기반 버전의 Windows Server 2008

지원되는 모든 x86 기반 버전의 Windows 7

지원되는 모든 x64 기반 버전의 Windows 7

지원되는 모든 x64 기반 버전의 Windows Server 2008 R2

지원되는 모든 IA-64 기반 버전의 Windows Server 2008 R2

지원되는 모든 x86 기반 버전의 Windows Embedded Standard 7

지원되는 모든 x64 기반 버전의 Windows Embedded Standard 7

본 문서의 정보는 다음의 제품에 적용됩니다.

키워드:?

기술 자료 번역