서버에서 만료된 인증서를 대체할 새 인증서를 가져온 후 클라이언트가 서버로 인증할 수 없습니다.

  • 아티클

이 문서에서는 서버에서 만료된 인증서를 대체할 새 인증서를 가져온 후 클라이언트가 서버로 인증할 수 없는 문제에 대한 솔루션을 제공합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원본 KB 번호: 822406

증상

만료된 인증서를 Microsoft IAS(인터넷 인증 서비스) 또는 라우팅 및 원격 액세스를 실행하는 서버에서 새 인증서로 바꾼 후 서버의 인증서가 더 이상 서버에서 인증할 수 없는지 확인하기 위해 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)가 구성된 클라이언트가 있습니다. 클라이언트 컴퓨터에서 시스템 로그인 이벤트 뷰어 보면 다음 이벤트가 표시됩니다.

IAS 또는 라우팅 및 원격 액세스를 실행하는 서버에서 자세한 로깅을 사용하도록 설정하면(예: 명령을 실행 netsh ras set tracing * enable 하여) 클라이언트가 인증을 시도할 때 생성되는 Rastls.log 파일에 다음과 유사한 정보가 표시됩니다.

참고

인증을 위해 IAS를 Radius 서버로 사용하는 경우 IAS 서버에서 이 동작이 표시됩니다. 라우팅 및 원격 액세스를 사용하는 경우 라우팅 및 원격 액세스가 Windows 인증에 대해 구성된 경우(Radius 인증이 아님) 라우팅 및 원격 액세스 서버에 이 동작이 표시됩니다.

[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK 무시되지 않습니다.

[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE 무시되지 않습니다.

[1072] 15:47:57:280: 루트 인증서가 해지를 검사하지 않음

[1072] 15:47:57:280: 인증서가 해지 확인됨

[1072] 15:47:57:280:

[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:280: >> 수신된 응답(코드: 2) 패킷: ID: 11, 길이: 25, 형식: 0, TLS Blob 길이: 0. 플래그:

[1072] 15:47:57:280: EapTlsSMakeMessage

[1072] 15:47:57:280: EapTlsReset

[1072] 15:47:57:280: 초기 상태로 변경

[1072] 15:47:57:280: GetCredentials

[1072] 15:47:57:280: 인증서의 이름은 다음과 같습니다 server.example.com

[1072] 15:47:57:312: BuildPacket

[1072] 15:47:57:312: << 보내기 요청(코드: 1) 패킷: ID: 12, 길이: 6, 형식: 13, TLS Blob 길이: 0. 플래그: S

[1072] 15:47:57:312: SentStart로 상태 변경

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:452:

[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:452: >> 수신된 응답(코드: 2) 패킷: ID: 12, 길이: 80, 형식: 13, TLS Blob 길이: 70. 플래그: L

[1072] 15:47:57:452: EapTlsSMakeMessage

[1072] 15:47:57:452: MakeReplyMessage

[1072] 15:47:57:452: 입력 TLS Blob 버퍼 다시 할당

[1072] 15:47:57:452: SecurityContextFunction

[1072] 15:47:57:671: SentHello로 상태 변경

[1072] 15:47:57:671: BuildPacket

[1072] 15:47:57:671: << 송신 요청(코드: 1) 패킷: ID: 13, 길이: 1498, 형식: 13, TLS Blob length: 3874. 플래그: LM

[1072] 15:47:57:702:

[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:702: >> 수신된 응답(코드: 2) 패킷: ID: 13, 길이: 6, 형식: 13, TLS Blob 길이: 0. 플래그:

[1072] 15:47:57:702: EapTlsSMakeMessage

[1072] 15:47:57:702: BuildPacket

[1072] 15:47:57:702: << 보내기 요청(코드: 1) 패킷: ID: 14, 길이: 1498, 형식: 13, TLS Blob 길이: 0. 플래그: M

[1072] 15:47:57:718:

[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:718: >> 수신된 응답(코드: 2) 패킷: ID: 14, 길이: 6, 형식: 13, TLS Blob 길이: 0. 플래그:

[1072] 15:47:57:718: EapTlsSMakeMessage

[1072] 15:47:57:718: BuildPacket

[1072] 15:47:57:718: << 송신 요청(코드: 1) 패킷: ID: 15, 길이: 900, 형식: 13, TLS Blob 길이: 0. 플래그:

[1072] 15:48:12:905:

[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)

[1072] 15:48:12:905: >> 수신된 응답(코드: 2) 패킷: ID: 15, 길이: 6, 형식: 13, TLS Blob 길이: 0. 플래그:

[1072] 15:48:12:905: EapTlsSMakeMessage

[1072] 15:48:12:905: MakeReplyMessage

[1072] 15:48:12:905: SecurityContextFunction

[1072] 15:48:12:905: 상태가 SentFinished으로 변경되었습니다. 오류: 0x80090318

[1072] 15:48:12:905: 협상 실패

[1072] 15:48:12:905: BuildPacket

[1072] 15:48:12:905: << 송신 실패(코드: 4) 패킷: ID: 15, 길이: 4, 형식: 0, TLS Blob le

원인

이 문제는 다음 조건이 모두 충족되는 경우에 발생할 수 있습니다.

  • IAS 또는 라우팅 및 원격 액세스 서버는 도메인 멤버이지만 자동 인증서 요청 기능(자동 등록)은 도메인에 구성되지 않습니다. 또는 IAS 또는 라우팅 및 원격 액세스 서버가 도메인 멤버가 아닙니다.
  • IAS 또는 라우팅 및 원격 액세스 서버에 대한 새 인증서를 수동으로 요청하고 받습니다.
  • IAS 또는 라우팅 및 원격 액세스 서버에서 만료된 인증서를 제거하지 않습니다. 만료된 인증서가 IAS 또는 라우팅 및 원격 액세스 서버에 유효한 새 인증서와 함께 있으면 클라이언트 인증이 성공하지 못합니다. 클라이언트 컴퓨터의 이벤트 로그에 표시되는 "오류 0x80090328" 결과는 "만료된 인증서"에 해당합니다.

해결 방법

이 문제를 해결하려면 만료된(보관된) 인증서를 제거합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. IAS 서버에서 인증서 저장소를 관리하는 MMC(Microsoft Management Console) 스냅인을 엽니다. 인증서 저장소를 볼 수 있는 MMC 스냅인이 아직 없는 경우 만듭니다. 방법은 다음과 같습니다.

    1. 시작을 선택하고 실행을 선택하고 열기 상자에 mmc를 입력한 다음 확인을 선택합니다.

    2. 콘솔 메뉴(Windows Server 2003의 파일 메뉴)에서 스냅인 추가/제거를 선택한 다음, 추가를 선택합니다.

    3. 사용 가능한 독립 실행형 스냅인 목록에서 인증서, 추가, 컴퓨터 계정, 다음, 마침을 차례로 선택합니다.

      참고

      사용자 계정 및 서비스 계정에 대한 인증서 스냅인을 이 MMC 스냅인에 추가할 수도 있습니다.

    4. 닫기를 선택하고 확인을 선택합니다.

  2. 콘솔 루트에서 인증서(로컬 컴퓨터)를 선택합니다.
  3. 보기 메뉴에서 옵션을 선택합니다.
  4. 보관된 인증서 검사 상자를 클릭하여 선택한 다음 확인을 선택합니다.
  5. 개인을 확장한 다음 인증서를 선택합니다.
  6. 만료된(보관된) 디지털 인증서를 마우스 오른쪽 단추로 클릭하고 삭제를 선택한 다음 예를 선택하여 만료된 인증서 제거를 확인합니다.
  7. MMC 스냅인을 종료합니다. 이 절차를 완료하기 위해 컴퓨터 또는 서비스를 다시 시작할 필요가 없습니다.

추가 정보

Microsoft는 organization 디지털 인증서를 갱신하도록 자동 인증서 요청을 구성하는 것이 좋습니다. 자세한 내용은 Windows XP의 인증서 자동 등록을 참조하세요.