인증서에 신뢰할 수 있는 루트 CA 인증 경로가 여러 개인 경우 인증서 유효성 검사 실패
이 문서에서는 신뢰할 수 있는 루트 CA 인증 경로가 여러 개인 경우 웹 사이트에서 제공하는 보안 인증서가 발급되지 않는 문제의 해결 방법을 제공합니다.
적용 대상: Windows 7 Service Pack 1, Windows Server 2012 R2
원본 KB 번호: 2831004
증상
사용자가 보안 웹 사이트에 액세스하려고 하면 웹 브라우저에서 다음 경고 메시지가 표시됩니다.
이 웹 사이트의 보안 인증서에 문제가 있습니다.
이 웹 사이트에서 제시한 보안 인증서는 신뢰할 만한 인증 기관에서 발급한 것이 아닙니다.
사용자가 이 웹 사이트를 계속 탐색합니다(권장하지 않음)을 클릭하면 사용자는 보안 웹 사이트에 액세스할 수 있습니다.
원인
이 문제는 웹 사이트 인증서에 웹 서버에서 신뢰할 수 있는 인증 경로가 여러 개이기 때문에 발생합니다.
예를 들어 사용 중인 클라이언트 컴퓨터가 루트 CA(인증 기관) 인증서(2)를 신뢰한다고 가정합니다. 또한 웹 서버는 루트 CA 인증서(1) 및 루트 CA 인증서(2)를 신뢰합니다. 또한 인증서에는 웹 서버에서 신뢰할 수 있는 루트 CA에 대한 다음 두 가지 인증 경로가 있습니다.
- 인증 경로 1: 웹 사이트 인증서 - 중간 CA 인증서 - 루트 CA 인증서(1)
- 인증 경로 2: 웹 사이트 인증서 - 중간 CA 인증서 - 루트 CA 인증서 간 - 루트 CA 인증서(2)
컴퓨터가 인증서 유효성 검사 프로세스 중에 신뢰할 수 있는 인증 경로를 여러 개 찾으면 Microsoft CryptoAPI는 각 체인의 점수를 계산하여 최상의 인증 경로를 선택합니다. 점수는 인증서 경로가 제공할 수 있는 정보의 품질과 수량을 기준으로 계산됩니다. 여러 인증 경로에 대한 점수가 같으면 가장 짧은 체인이 선택됩니다.
인증 경로 1과 인증 경로 2의 품질 점수가 같으면 CryptoAPI는 더 짧은 경로(인증 경로 1)를 선택하고 클라이언트에 경로를 보냅니다. 그러나 클라이언트 컴퓨터는 루트 CA 인증서(2)에 연결되는 더 긴 인증 경로를 사용하여 인증서를 확인할 수 있습니다. 따라서 인증서 유효성 검사가 실패합니다.
해결 방법
이 문제를 해결하려면 다음 단계를 수행하여 사용하지 않으려는 인증 경로에서 인증서를 삭제하거나 사용하지 않도록 설정합니다.
웹 서버에 시스템 관리자로 로그온합니다.
다음 단계에 따라 Microsoft 관리 콘솔에 인증서 스냅인을 추가합니다.
- 시작>실행을 차례로 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
- 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
- 인증서를 선택하고, 추가를 클릭하고, 컴퓨터 계정을 선택한 다음, 다음을 클릭합니다.
- 로컬 컴퓨터(이 콘솔이 실행되고 있는 컴퓨터)를 선택한 다음 마침을 클릭합니다.
- 확인을 클릭합니다.
관리 콘솔에서 인증서(로컬 컴퓨터)를 확장한 다음 사용하지 않으려는 인증서 경로에서 인증서를 찾습니다.
참고
인증서가 루트 CA 인증서인 경우 신뢰할 수 있는 루트 인증 기관에 포함됩니다. 인증서가 중간 CA 인증서인 경우 중간 인증 기관에 포함됩니다.
다음 방법 중 하나를 사용하여 인증서를 삭제하거나 사용하지 않도록 설정합니다.
- 인증서를 삭제하려면 인증서를 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.
- 인증서를 사용하지 않도록 설정하려면 인증서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 이 인증서의 모든 용도를 사용 안 함을 선택한 다음 확인을 클릭합니다.
문제가 여전히 발생하는 경우 서버를 다시 시작합니다.
또한 서버에서 루트 인증서 자동 업데이트 기능을 사용 안 함 그룹 정책 설정이 비활성화되거나 구성되지 않은 경우 다음 체인 빌드가 발생할 때 사용하지 않으려는 인증 경로의 인증서를 사용하거나 설치할 수 있습니다. 그룹 정책 설정을 변경하려면 다음 단계를 따르세요.
시작>실행을 차례로 클릭하고 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.
컴퓨터 구성>관리 템플릿>시스템>인터넷 통신 관리를 확장한 다음 인터넷 통신 설정을 클릭합니다.
루트 인증서 자동 업데이트 기능을 사용 안 함을 두 번 클릭하고 사용 설정을 선택한 다음 확인을 클릭합니다.
로컬 그룹 정책 편집기를 닫습니다.
상태
이것은 의도적으로 설계된 동작입니다.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기