웹 사이트에서 클라이언트 인증서를 필요로 하는 경우 또는 Windows Server 2003에서 IAS를 사용 하는 경우 클라이언트 연결을 만들 수 없습니다.

중요: 이 문서에는 레지스트리 수정 방법에 대한 정보가 있습니다. 수정하기 전에 레지스트리를 백업해야 합니다. 문제가 발생할 경우 레지스트리를 복원하는 방법을 알고 있는지 확인하십시오. 백업, 복원 및 레지스트리 수정 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
256986 Microsoft Windows 레지스트리 설명

증상

다음 시나리오를 고려 하십시오.

시나리오 1

  • 클라이언트 연결 암호화 Secure Sockets Layer (SSL) 프로토콜을 사용 하는 Microsoft 인터넷 정보 서비스 (IIS) 6.0 웹 사이트를 해야 합니다.
  • 후 WebSiteName 속성 대화 상자의 보안 통신 대화 상자에서 클라이언트 인증서 필요 옵션이 선택 되어 있습니다.
이 시나리오에서는 다음과 같은 현상이 발생할 수 있습니다.
  • 웹 사이트에 클라이언트가 성공적으로 연결할 수 없습니다.
  • 웹 사이트를 호스팅하는 Microsoft Windows Server 2003 기반 컴퓨터에서 다음과 유사한 경고 이벤트가 기록 됩니다.
참고: 기본적으로 보안 채널 (샤넬) 경고 이벤트는 기록 되지 않습니다. 샤넬 이벤트 로깅을 구성 하는 방법에 대 한 자세한 내용은 "추가 정보" 절을 참조 하십시오.

시나리오 2

Microsoft 인터넷 인증 서비스 (IAS) 무선 네트워크 인증을 지원 하도록 실행 되는 Microsoft Windows Server 2003 기반 컴퓨터를 사용 합니다. 이 시나리오에서는 다음과 같은 현상이 발생할 수 있습니다.
  • IAS 서버가 클라이언트를 성공적으로 인증할 수 없습니다. 따라서 무선 클라이언트 컴퓨터에 연결할 수 없습니다 무선 네트워크가 성공적으로.
  • IAS 서버에서 다음과 유사한 경고 이벤트가 기록 됩니다.
  • IAS 서버에서 다음과 유사한 경고 이벤트가 유사한 이벤트가 기록 됩니다.
참고: 기본적으로 보안 채널 (샤넬) 경고 이벤트는 기록 되지 않습니다. 샤넬 이벤트 로깅을 구성 하는 방법에 대 한 자세한 내용은 "추가 정보" 절을 참조 하십시오.

원인

이 문제는 웹 서버 또는 IAS 서버 신뢰할 수 있는 루트 인증 목록에 많은 항목이 포함 되어 있는 경우 발생할 수 있습니다. 서버는 다음 조건에 해당 하는 경우 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다.
  • 서버 (TLS (전송 계층 보안)를 사용 하 여 네트워크 트래픽을 암호화 SSL 프로토콜입니다.
  • 클라이언트 인증서는 인증 핸드셰이크 프로세스 동안 인증을 위해 필요 합니다.
신뢰할 수 있는 인증 기관의이 목록을 나타냅니다 서버 클라이언트 인증서를 받아들일 수 있는 기관을. 서버에서 인증에 클라이언트 인증서를 인증서 체인에 있는 루트 인증서 서버의 목록에서 있어야 합니다.

현재 샤넬 보안 패키지를 지 원하는 신뢰할 수 있는 인증 기관 목록에 최대 크기는 12,228 (0x3000) 바이트입니다.

샤넬에 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 검색 하 여 신뢰할 수 있는 인증 기관의 목록을 만듭니다. 클라이언트 인증을 위해 신뢰할 수 있는 모든 인증서 목록에 추가 됩니다. 이 목록의 크기가 12,228 바이트를 초과 하면 Schannel 36885 경고 이벤트 ID를 기록 합니다. 그런 다음 Schannel 신뢰할 수 있는 루트 인증서 목록을 자릅니다 및 클라이언트 컴퓨터에이 잘린된 된 목록을 보냅니다.

클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증서 목록이 잘린된 받으면 클라이언트 컴퓨터가 신뢰할 수 있는 인증서 발급자 체인에 있는 인증서를 없을 수 있습니다. 예를 들어, 클라이언트 컴퓨터의 신뢰할 수 있는 인증 기관 목록에서 Schannel 잘린 신뢰할 수 있는 루트 인증서에 해당 하는 인증서를 있을 수 있습니다. 따라서 IAS 서버가 클라이언트를 인증할 수 없습니다.

핫픽스 16k Schannel 보안 버퍼를 증가합니다. 이 한도 초과 하면이 문서의 현상 절에 설명 된 문제를 계속 해야 합니다. 이 변경 Windows Server 2008 및 Windows Server 2008 r 2에 포함 된 또한. 이 해결 방법을 아래에 설명 된 Windows Server 2008 및 Windows Server 2008 r 2에도 적용 됩니다.


해결 방법

핫픽스 정보

지원 되는 핫픽스를 Microsoft에서 출시 되었습니다. 그러나이 문서에서 설명 하는 문제를 해결 하는 데 사용 됩니다. 이러한 특정 문제가 발생 한 시스템에만 적용 됩니다. 이 핫픽스는 추가 테스트가 필요할 수 있습니다. 따라서이 문제로 심각 하 게 영향을 받지 않습니다이 핫픽스가 포함 된 다음 Windows Server 2003 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결 하려면 핫픽스를 얻으려면 Microsoft 고객 지원 서비스에 문의 합니다. Microsoft 고객 기술 지원부 전화 번호 및 지원 비용에 대 한 정보를 전체 목록은 다음 Microsoft 웹 사이트를 방문.참고: 특별 한 경우에 Microsoft 기술 지원 전문가가 특정 업데이트로 문제를 해결할 수 있는지 결정 하는 경우 일반적으로 지원 요청에 따른 비용이 취소 될 수도 있습니다. 추가 지원 질문과 특정 업데이트가 필요 하지 않은 문제에는 일반 지원 비용이 적용 됩니다.

전제 조건

이 핫픽스를 적용 하려면 Windows Server 2003 서비스 팩 1 (SP1) 또는 Windows Server 2003 서비스 팩 2 (SP2) 컴퓨터에 설치 되어 있어야 합니다. Windows Server 2003 용 최신 서비스 팩을 구하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

889100 는 Windows Server 2003 용 최신 서비스 팩을 구하는 방법

다시 시작 요구 사항

이 핫픽스를 적용한 후 컴퓨터를 다시 시작해야 합니다.

핫픽스 대체 정보

이 핫픽스는 다른 핫픽스를 대체하지 않습니다.

파일 정보

이 핫픽스의 영어 버전은 다음 표에 열거된 파일 특성 (또는 그 이후의 파일 특성)을 가지고 있습니다. 이러한 파일의 시간과 날짜는 협정 세계시(UTC)로 나열되었습니다. 파일 정보를 볼 때는 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 시차는 제어판의 날짜 및 시간 항목에서 표준 시간대 탭을 사용하여 찾을 수 있습니다.
Windows Server 2003 sp1 x86 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼
Schannel.dll5.2.3790.2971144,89610-Jul-200717:27x86
Windows Server 2003 sp2 x86 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼
Schannel.dll5.2.3790.4115147,45610-Jul-200717:51x86
Windows Server 2003 sp1 x64 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼서비스 분기
Schannel.dll5.2.3790.2971254,46410-Jul-200703:15x64적용할 수 없음
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003 s p 2 사용 하 여 x64 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼서비스 분기
Schannel.dll5.2.3790.2971254,46410-Jul-200703:15x64적용할 수 없음
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003 s p 1의 Itanium 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼서비스 분기
Schannel.dll5.2.3790.2971466,43210-Jul-200703:16IA-64적용할 수 없음
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:16x86WOW
Windows Server 2003 s p 2 사용 하 여 Itanium 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼서비스 분기
Schannel.dll5.2.3790.4115466,43210-Jul-200703:24IA-64적용할 수 없음
Wschannel.dll5.2.3790.4115147,45610-Jul-200703:24x86WOW

해결 방법

이 문제를 해결 하려면 상황에 맞게 다음 방법 중 하나를 사용 합니다.

방법 1: 일부 신뢰할 수 있는 루트 인증서를 제거 합니다.

신뢰할 수 있는 루트 인증서 중 일부 사용자 환경에서 사용 되지 않는 제거 웹 서버 또는 IAS 서버에서. 이렇게 하려면, 다음 단계를 수행하십시오.
  1. 시작 실행을 차례로 누르고 mmc입력 한 다음 확인을 누릅니다.
  2. 파일 메뉴에서 스냅인 추가/제거를클릭 한 다음 추가클릭 합니다.
  3. 독립 실행형 스냅인 추가 대화 상자에서 인증서를 클릭 한 다음 추가클릭 합니다.
  4. 컴퓨터 계정을 클릭 하 고 다음, 마침을 클릭 합니다.
  5. 닫기를 누른 다음 확인을 클릭 합니다.
  6. Microsoft 관리 콘솔 (MMC) 스냅인에서 콘솔 루트 인증서 (로컬 컴퓨터) 신뢰할 수 있는 루트 인증 기관확장 한 다음 인증서를 클릭.
  7. 가 없는 신뢰할 수 있는 루트 인증서를 제거 합니다. 이렇게 하려면 인증서를 마우스 오른쪽 단추로 클릭 삭제를 클릭 하 고 를 눌러 인증서의 제거를 확인 합니다.
참고: Windows에 필요한 일부 루트 인증서가 있습니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

Windows Server 2003, Windows XP 및 Windows 2000에서 필요한 293781 신뢰할 수 있는 루트 인증서

방법 2: 로컬 컴퓨터의 신뢰할 수 있는 인증 기관 목록을 무시 하도록 그룹 정책 구성

IAS 서버 또는 웹 서버 도메인의 구성원 인 경우 무시 하려면 서버 정책을 만들 수 있습니다는 로컬 컴퓨터의 신뢰 된 인증 기관의 목록입니다. 이 정책에 적용 하면 영향을 받는 서버와 클라이언트가 엔터프라이즈 루트 인증 기관 저장소에 있는 인증서만 신뢰 합니다. 개별 컴퓨터를 수정할 필요가 없습니다.

참고: 이 메서드는 동일한 Active Directory 디렉터리 서비스 도메인 또는 Active Directory 포리스트의 모든 클라이언트 컴퓨터가 경우에 작동 합니다. 동일한 Active Directory 포리스트에 있지 않은 컴퓨터에 그룹 정책이 적용 되지 않습니다.


이 정책을 만들려면 다음이 단계를 수행 합니다.

1 단계: 그룹 정책 개체 만들기

  1. 도메인 컨트롤러에 로그온 한 다음 Active Directory 사용자 및 컴퓨터 도구를 시작 합니다. 이렇게 하려면 시작, 실행, dsa.msc입력 및 다음 확인을 누릅니다.
  2. 그룹 정책 개체를 구성 하려면 컨테이너를 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다. 예를 들어, 도메인 컨테이너를 마우스 오른쪽 단추로 클릭 하거나 있는 조직 구성 단위 컨테이너를 마우스 오른쪽 단추로 클릭 합니다.
  3. 그룹 정책 탭을 클릭 하 고 새로 만들기를 클릭 합니다.
  4. 정책에 대 한 설명 이름을 입력 하 고 enter 키를 누릅니다.
  5. 그룹 정책 개체 편집기를 시작 하려면 편집 을 클릭 합니다.
  6. 컴퓨터 구성, Windows 설정, 보안 설정공개 키 정책을 클릭 한 다음.
  7. 신뢰할 수 있는 루트 인증 기관마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.
  8. 엔터프라이즈 루트 인증 기관클릭 한 다음 확인을 클릭 합니다.
  9. 그룹 정책 개체 편집기를 종료 합니다.
  10. 개체 이름 속성 대화 상자를 닫으려면 확인 을 클릭 합니다.

2 단계: 루트 인증서를 "신뢰 된 루트 인증 기관" 인증서 저장소에 추가

  1. 해당 서버의 로컬 컴퓨터 저장소에서 필요한 루트 인증서를 내보냅니다. 루트 인증서를 내부 인증 기관 (Ca) 및 조직에 필요한 공용 인증 기관에 대 한 루트 인증서가 포함 됩니다.
  2. 도메인 컨트롤러에 로그온 한 다음 Active Directory 사용자 및 컴퓨터 도구를 시작 합니다.
  3. 만든 그룹 정책 개체를 포함 하는 컨테이너를 마우스 오른쪽 단추로 클릭 하면 "1 단계: 만들기 그룹 정책 개체" 섹션을 누른 다음 속성을 클릭 합니다.
  4. 그룹 정책 탭을 누르고 그룹 정책 개체를 클릭 한 다음 편집을 클릭.
  5. 컴퓨터 구성, Windows 설정, 보안 설정공개 키 정책을 클릭 한 다음.
  6. 신뢰할 수 있는 루트 인증 기관 '마우스 오른쪽 단추로 클릭 한 다음 가져오기를 클릭 합니다.
  7. 루트 인증서 또는 단계 2a에서 내보낸 인증서를 가져오려면 인증서 가져오기 마법사의 단계를 따릅니다.
  8. 그룹 정책 개체 편집기를 종료 합니다.
  9. 개체 이름 속성 대화 상자를 닫으려면 확인 을 클릭 합니다.
참고: Windows에 필요한 일부 루트 인증서가 있습니다. 사용자가 만든 정책에 이러한 인증서를 추가 해야 합니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

Windows Server 2003, Windows XP 및 Windows 2000에서 필요한 293781 신뢰할 수 있는 루트 인증서

TLS/SSL 핸드셰이크 프로세스 동안 신뢰할 수 있는 루트 인증 기관 목록을 더 이상 보낼 Schannel을 구성 하는 방법 3:

경고 레지스트리 편집기를 사용하거나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대한 해결책을 보장할 수 없습니다. 사용자는 스스로 위험을 감수하고 레지스트리를 수정해야 합니다.

IIS를 실행 하는 서버 또는 IAS 서버에이 문제가 발생 하면 다음 레지스트리 항목을 false로 설정 합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

값 이름: SendTrustedIssuerList
값 종류: REG_DWORD
값 데이터: 0 (거짓)
기본적으로이 항목이 레지스트리에 나타나지 않습니다. 기본적으로이 값은 1 (True)입니다. 이 레지스트리 항목은 서버 클라이언트는 신뢰할 수 있는 인증 기관 목록을 보냅니다 여부를 제어 하는 플래그를 제어 합니다. 이 레지스트리 항목을 False로 설정한 경우 서버는 신뢰할 수 있는 인증 기관 목록을 클라이언트에 보내지 않습니다. 이 동작은 클라이언트 인증서 요청에 응답 하는 방식을 영향을 줄 수 있습니다. 예를 들어, Internet Explorer 클라이언트 인증 요청을 받으면, Internet Explorer 서버에서 목록에 있는 인증 기관 중 한 곳의 체인에만 표시 되는 클라이언트 인증서를 표시 합니다. 그러나 서버는 신뢰할 수 있는 인증 기관의 목록을 보내지 않습니다, Internet Explorer 클라이언트 컴퓨터에 설치 된 모든 클라이언트 인증서를 표시 합니다.

이 레지스트리 항목을 설정 하려면 다음과이 같이 하십시오.
  1. 시작 실행을 차례로 누르고 regedit를 입력 한 다음 확인을 누릅니다.
  2. 다음 레지스트리 하위키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 편집 메뉴에서 새로 만들기를 가리키고 DWORD 값을 누릅니다.
  4. SendTrustedIssuerList입력 하 고 enter 키를 눌러 레지스트리 항목의 이름을 지정 합니다.
  5. SendTrustedIssuerList마우스 오른쪽 단추로 클릭 하 고 수정을 클릭 합니다.
  6. 값 데이터 상자에 해당 값을 아직 표시 되지 않은 경우 0 을 입력 한 다음 확인을 누릅니다.
  7. 레지스트리 편집기를 종료합니다.
샤넬 레지스트리 항목에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.

상태

Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.

자세한 내용

Windows Server 2003은 루트 인증서를 업데이트 하는 경우 Microsoft Windows Update 웹 사이트에서 신뢰할 수 있는 인증 기관의 목록을 자동으로 검사 하 하도록 설계 되었습니다. 그런 다음 해당 인증서를 사용자 프로그램에서 확인 한 후 Windows 적절 한 루트 인증서를 설치 합니다.

참고: Windows Server 2003 인증 기관 목록이 12,228 (0x3000)를 초과할 수 없습니다 바이트입니다. 루트 인증서를 업데이트 하는 경우 신뢰할 수 있는 인증 기관의 목록을 크게 증가할 수 있습니다. 따라서 목록 너무 긴 될 수 있습니다. 이 경우 Windows에 목록을 자릅니다. 이 문제는 인증 문제가 발생할 수 있습니다. 이 시나리오에서는 "현상" 절에 설명 되어 있는 문제가 발생할 수 있습니다.

샤넬 이벤트 로깅을 구성 하는 방법

경고 레지스트리 편집기를 사용하거나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대한 해결책을 보장할 수 없습니다. 사용자는 스스로 위험을 감수하고 레지스트리를 수정해야 합니다.

시스템 로그에 경고 이벤트를 기록 하도록 Schannel 구성 하려면 다음 레지스트리 항목을 설정 합니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

값 이름: EventLogging
값 종류: REG_DWORD
값 데이터: 0x3
참고: 0x3 값 Schannel 경고 이벤트 및 오류 이벤트 로그를 구성 합니다.

샤넬 이벤트 로깅을 구성 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

260729 샤넬 이벤트 iis에서 로깅을 활성화 하는 방법

참조

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.

931125 Microsoft 루트 인증서 프로그램 구성원 (2007 년 1 월)

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.

EAP-TLS 또는 PEAP EAP TLS를 사용할 때의 814394 인증서 요구

속성

문서 ID: 933430 - 마지막 검토: 2017. 2. 7. - 수정: 1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

피드백