인증서에 신뢰할 수 있는 루트 CA 인증 경로가 여러 개인 경우 인증서 유효성 검사 실패

  • 아티클

이 문서에서는 신뢰할 수 있는 루트 CA 인증 경로가 여러 개인 경우 웹 사이트에서 제공하는 보안 인증서가 발급되지 않는 문제의 해결 방법을 제공합니다.

적용 대상: Windows 7 Service Pack 1, Windows Server 2012 R2
원본 KB 번호: 2831004

증상

사용자가 보안 웹 사이트에 액세스하려고 하면 웹 브라우저에서 다음 경고 메시지가 표시됩니다.

이 웹 사이트의 보안 인증서에 문제가 있습니다.

이 웹 사이트에서 제시한 보안 인증서는 신뢰할 만한 인증 기관에서 발급한 것이 아닙니다.

사용자가 이 웹 사이트를 계속 탐색합니다(권장하지 않음)을 클릭하면 사용자는 보안 웹 사이트에 액세스할 수 있습니다.

원인

이 문제는 웹 사이트 인증서에 웹 서버에서 신뢰할 수 있는 인증 경로가 여러 개이기 때문에 발생합니다.

예를 들어 사용 중인 클라이언트 컴퓨터가 루트 CA(인증 기관) 인증서(2)를 신뢰한다고 가정합니다. 또한 웹 서버는 루트 CA 인증서(1)루트 CA 인증서(2)를 신뢰합니다. 또한 인증서에는 웹 서버에서 신뢰할 수 있는 루트 CA에 대한 다음 두 가지 인증 경로가 있습니다.

  1. 인증 경로 1: 웹 사이트 인증서 - 중간 CA 인증서 - 루트 CA 인증서(1)
  2. 인증 경로 2: 웹 사이트 인증서 - 중간 CA 인증서 - 루트 CA 인증서 간 - 루트 CA 인증서(2)

컴퓨터가 인증서 유효성 검사 프로세스 중에 신뢰할 수 있는 인증 경로를 여러 개 찾으면 Microsoft CryptoAPI는 각 체인의 점수를 계산하여 최상의 인증 경로를 선택합니다. 점수는 인증서 경로가 제공할 수 있는 정보의 품질과 수량을 기준으로 계산됩니다. 여러 인증 경로에 대한 점수가 같으면 가장 짧은 체인이 선택됩니다.

인증 경로 1과 인증 경로 2의 품질 점수가 같으면 CryptoAPI는 더 짧은 경로(인증 경로 1)를 선택하고 클라이언트에 경로를 보냅니다. 그러나 클라이언트 컴퓨터는 루트 CA 인증서(2)에 연결되는 더 긴 인증 경로를 사용하여 인증서를 확인할 수 있습니다. 따라서 인증서 유효성 검사가 실패합니다.

해결 방법

이 문제를 해결하려면 다음 단계를 수행하여 사용하지 않으려는 인증 경로에서 인증서를 삭제하거나 사용하지 않도록 설정합니다.

  1. 웹 서버에 시스템 관리자로 로그온합니다.

  2. 다음 단계에 따라 Microsoft 관리 콘솔에 인증서 스냅인을 추가합니다.

    1. 시작>실행을 차례로 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
    2. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
    3. 인증서를 선택하고, 추가를 클릭하고, 컴퓨터 계정을 선택한 다음, 다음을 클릭합니다.
    4. 로컬 컴퓨터(이 콘솔이 실행되고 있는 컴퓨터)를 선택한 다음 마침을 클릭합니다.
    5. 확인을 클릭합니다.

  3. 관리 콘솔에서 인증서(로컬 컴퓨터)를 확장한 다음 사용하지 않으려는 인증서 경로에서 인증서를 찾습니다.

    참고

    인증서가 루트 CA 인증서인 경우 신뢰할 수 있는 루트 인증 기관에 포함됩니다. 인증서가 중간 CA 인증서인 경우 중간 인증 기관에 포함됩니다.

  4. 다음 방법 중 하나를 사용하여 인증서를 삭제하거나 사용하지 않도록 설정합니다.

    • 인증서를 삭제하려면 인증서를 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.
    • 인증서를 사용하지 않도록 설정하려면 인증서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 이 인증서의 모든 용도를 사용 안 함을 선택한 다음 확인을 클릭합니다.

  5. 문제가 여전히 발생하는 경우 서버를 다시 시작합니다.

또한 서버에서 루트 인증서 자동 업데이트 기능을 사용 안 함 그룹 정책 설정이 비활성화되거나 구성되지 않은 경우 다음 체인 빌드가 발생할 때 사용하지 않으려는 인증 경로의 인증서를 사용하거나 설치할 수 있습니다. 그룹 정책 설정을 변경하려면 다음 단계를 따르세요.

  1. 시작>실행을 차례로 클릭하고 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 컴퓨터 구성>관리 템플릿>시스템>인터넷 통신 관리를 확장한 다음 인터넷 통신 설정을 클릭합니다.

  3. 루트 인증서 자동 업데이트 기능을 사용 안 함을 두 번 클릭하고 사용 설정을 선택한 다음 확인을 클릭합니다.

  4. 로컬 그룹 정책 편집기를 닫습니다.

상태

이것은 의도적으로 설계된 동작입니다.