KB 931125 설치한 후 SSL/TLS 통신 문제

이 문서에서는 KB 931125 설치한 후 발생하는 SSL/TLS 통신 문제에 대한 솔루션을 제공합니다.

적용 대상: Windows Server 2008 R2 서비스 팩 1, Windows Server 2012 R2

원래 KB 번호: 2801679

증상

2012년 12월 11일 이후에는 명백한 구성 변경이 없지만 TLS 기반 인증에 종속된 애플리케이션 및 작업이 갑자기 실패할 수 있습니다. 실패할 수 있는 애플리케이션 및 작업 중 일부는 다음을 포함하지만 제한되지는 않습니다.

  • 인증서 기반 인증을 사용하는 무선 네트워크 액세스
  • 인증서 기반 인증을 사용하는 유선 네트워크 액세스
  • Lync 또는 Office Communications Server에 대한 클라이언트 연결
  • 통합 메시징과 함께 Exchange Server 사용하는 음성 메일
  • SSL 사용 웹 사이트 액세스
  • Outlook 로그온
  • OS 부팅 지연(느린 부팅)
  • 사용자 로그온 지연(느린 로그온)

Windows 또는 애플리케이션별 이벤트 로그에 기록되고 이 문서에서 설명하는 증상을 범위 또는 명확하게 식별하는 이벤트는 다음 표에 나열된 이벤트를 포함하지만 이에 국한되지 않습니다.

이벤트 로그 이벤트 원본 이벤트 ID 이벤트 텍스트
시스템 샤넬 36885 클라이언트 인증을 요청할 때 이 서버는 신뢰할 수 있는 인증 기관 목록을 클라이언트에 보냅니다. 클라이언트는 이 목록을 사용하여 서버에서 신뢰할 수 있는 클라이언트 인증서를 선택합니다. 현재 이 서버는 너무 많은 인증 기관을 신뢰하여 목록이 너무 길어졌습니다. 따라서 이 목록이 잘렸습니다. 이 컴퓨터의 관리자는 클라이언트 인증을 위해 신뢰할 수 있는 인증 기관을 검토하고 실제로 신뢰할 필요가 없는 인증 기관을 제거해야 합니다.
시스템 샤넬 36887 다음과 같은 치명적인 경고가 수신되었습니다. 47
시스템 NapAgent 39 네트워크 액세스 보호 에이전트에서 상태 인증서를 요청할 HRA를 확인할 수 없습니다. 네트워크 변경 또는 GP가 구성된 경우 구성 변경으로 인해 상태 인증서를 획득하려는 추가 시도가 표시됩니다. 그렇지 않으면 더 이상 시도하지 않습니다. 자세한 내용은 HRA 관리자에게 문의하세요.
시스템 RemoteAccess 20225 포트
의 지점 및 지점 간 프로토콜 모듈에서 VPN2-509, UserName: username> 오류가 <발생했습니다. RAS/VPN 서버에 구성된 정책 때문에 연결이 차단되었습니다. 특히 서버에서 사용자 이름 및 암호를 확인하는 데 사용하는 인증 방법이 연결 프로필에 구성된 인증 방법과 일치하지 않을 수 있습니다. RAS 서버의 관리자에게 문의하여 이 오류를 알려주세요.
시스템 RemoteAccess 20271 사용자 사용자 <이름은> IP 주소>에서 <연결되었지만 다음과 같은 이유로
인해 인증 시도에 실패했습니다. RAS/VPN 서버에 구성된 정책으로 인해 연결이 차단되었습니다. 특히 서버에서 사용자 이름 및 암호를 확인하는 데 사용하는 인증 방법이 연결 프로필에 구성된 인증 방법과 일치하지 않을 수 있습니다. RAS 서버의 관리자에게 문의하여 이 오류를 알려주세요.

원인

이러한 문제는 2012년 12월 KB 931125 업데이트 패키지를 사용하여 타사 루트 인증 기관을 업데이트한 경우에 발생할 수 있습니다. 2012년 12월 11일에 게시된 KB 931125 패키지는 클라이언트 SKU용으로만 사용되었습니다. 그러나 Windows 업데이트 및 WSUS에서 짧은 시간 동안 서버 SKU에 대해 제공되었습니다.

이 패키지는 330개 이상의 타사 루트 인증 기관을 설치했습니다. 현재 Schannel 보안 패키지에서 지원하는 신뢰할 수 있는 인증 기관 목록의 최대 크기는 16KB(KB)입니다. 많은 양의 타사 루트 인증 기관이 16k 제한을 초과하면 TLS/SSL 통신 문제가 발생합니다.

해결 방법

WSUS를 사용하고 2012년 12월 KB 931125 업데이트를 설치하지 않은 경우 WSUS 서버를 동기화한 다음 서버가 업데이트를 설치하지 않도록 만료를 승인해야 합니다.

2012년 12월 KB 931125 업데이트 패키지를 설치한 경우 다음 해결 방법을 사용하여 현재 많은 양의 타사 루트 인증 기관이 있는 모든 서버에서 추가 타사 루트 인증 기관을 제거해야 합니다.

참고

이 솔루션은 모든 타사 루트 인증 기관을 제거합니다. 서버에 Windows 업데이트 대한 연결이 있는 경우 KB 931125 설명한 대로 필요에 따라 타사 루트 인증 기관을 자동으로 다시 추가합니다. 영향을 받는 서버가 인터넷에서 격리되거나 연결이 끊어진 경우 과거에 했던 것처럼 필요한 타사 루트 인증 기관을 수동으로 다시 추가해야 합니다. (또는 그룹 정책 사용하여 설치할 수 있습니다.)

이 문제를 해결하려면 다음 레지스트리 키를 삭제합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

이렇게 하려면 다음과 같이 하십시오.

  1. 레지스트리 편집기 시작
  2. 다음 레지스트리 하위 키를 찾습니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 마우스 오른쪽 단추를 클릭한 다음 인증서라고 하는 키를 삭제합니다.

참고

시스템을 변경하기 전에 레지스트리 및 영향을 받는 키를 백업해야 합니다.

추가 정보

TLS/SSL 서버에 신뢰할 수 있는 루트 인증 목록에 많은 항목이 포함된 경우 이러한 문제가 발생할 수 있습니다. 다음 조건이 충족되면 서버는 신뢰할 수 있는 인증 기관 목록을 클라이언트에 보냅니다.

  • 서버는 TLS(전송 계층 보안)/SSL 프로토콜을 사용하여 네트워크 트래픽을 암호화합니다.
  • 클라이언트 인증서는 인증 핸드셰이크 프로세스 중에 인증에 필요합니다.

이 신뢰할 수 있는 인증 기관 목록은 서버가 클라이언트 인증서를 수락할 수 있는 기관을 나타냅니다. 서버에서 인증하려면 클라이언트에 서버 목록의 루트 인증서에 대한 인증서 체인에 있는 인증서가 있어야 합니다. 클라이언트 인증서는 항상 체인의 끝에 있는 최종 엔터티 인증서이기 때문입니다. 클라이언트 인증서는 체인의 일부가 아닙니다.

현재 Schannel 보안 패키지에서 지원하는 신뢰할 수 있는 인증 기관 목록의 최대 크기는 Windows Server 2008, Windows Server 2008 R2 및 Windows Server 2012 16KB입니다.

Schannel은 로컬 컴퓨터에서 신뢰할 수 있는 루트 인증 기관 저장소를 검색하여 신뢰할 수 있는 인증 기관 목록을 만듭니다. 클라이언트 인증을 위해 신뢰할 수 있는 모든 인증서가 목록에 추가됩니다. 이 목록의 크기가 16KB를 초과하면 Schannel은 경고 이벤트 ID 36855를 기록합니다. 그런 다음, Schannel은 신뢰할 수 있는 루트 인증서 목록을 잘라내고 이 잘린 목록을 클라이언트 컴퓨터로 보냅니다.

클라이언트 컴퓨터에서 신뢰할 수 있는 루트 인증서의 잘린 목록을 받으면 클라이언트 컴퓨터에 신뢰할 수 있는 인증서 발급자의 체인에 있는 인증서가 없을 수 있습니다. 예를 들어 클라이언트 컴퓨터에는 Schannel이 신뢰할 수 있는 인증 기관 목록에서 잘린 신뢰할 수 있는 루트 인증서에 해당하는 인증서가 있을 수 있습니다. 따라서 서버는 클라이언트를 인증할 수 없습니다.