KB 931125 설치한 후 SSL/TLS 통신 문제

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:2801679
현상
2012 년 12 월 11 일 이후에 장애 TLS 기반 인증에 의존 하는 작업과 응용 프로그램 실패할 수 있습니다 갑자기 명백한 구성을 변경 하지 않고 있지만. 응용 프로그램 및 오류가 발생할 수 있는 작업 중 일부는 포함 되지만 다음에 국한 되지는 않습니다.
  • 인증서 기반 인증을 사용 하는 무선 네트워크 액세스
  • 인증서 기반 인증을 사용 하 여 유선된 네트워크 액세스
  • Office Communications Server 또는 Lync 클라이언트 연결
  • Exchange Server 통합 메시징을 함께 사용 하는 음성 메일
  • SSL 사용 웹 사이트 액세스
  • Outlook 로그온
  • 운영 체제 부팅 지연 (느린 부팅)
  • 사용자 로그온 지연 (느린 로그온)
범위 또는이 문서에서 설명 하는 증상을 확실히 확인 하 고 Windows 또는 특정 응용 프로그램 이벤트 로그에 기록 되는 이벤트 등이 있지만 다음 표에 나열 된 이벤트에 국한 되지는 않습니다.
이벤트 로그이벤트 소스이벤트 ID이벤트 텍스트
시스템샤넬36885클라이언트 인증을 요구할 때이 서버는 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다. 클라이언트가이 목록을 사용 하 여 서버에서 신뢰할 수 있는 클라이언트 인증서를 선택 합니다. 현재이 서버는 목록 너무 긴 커졌습니다 많은 인증 기관을 신뢰 합니다. 이 목록은 잘려졌습니다. 이 컴퓨터의 관리자는 클라이언트 인증을 위한 신뢰할 수 있는 인증 기관을 검토 하 고 신뢰할 수 실제로 필요 하지 않은 제거 해야 합니다.
시스템샤넬36887다음과 같은 심각한 경고를 받았습니다: 47
시스템NapAgent39네트워크 액세스 보호 에이전트는 Hra에서 상태 인증서 요청을 확인할 수 없습니다. 네트워크 변경 하거나 GP를 구성한 경우 구성 변경 됩니다 추가 상태 인증서를 획득 하려고 합니다. 그렇지 않으면 더 이상 시도 됩니다. 자세한 내용은 HRA 관리자에 게 문의 합니다.
시스템원격 액세스20225지점간 프로토콜 모듈 포트 다음 오류가 발생 했습니다: VPN2 509, 사용자 이름: <username>. RAS/VPN 서버에 구성 된 정책 때문에 연결 하지 못했습니다. 특히 사용자 이름 및 암호를 확인 하기 위해 서버에서 사용 하는 인증 방법이 연결 프로필에 구성 된 인증 방법을 일치 하지. RAS 서버의 관리자에 게 문의 하 고이 오류를 알리십시오. </username>
시스템원격 액세스20271<username>사용자 <IP address="">에서 연결 되어 있지만 다음과 같은 이유로 인해 인증 시도가 실패 했습니다: RAS/VPN 서버에 구성 된 정책 때문에 연결 하지 못했습니다. 특히 사용자 이름 및 암호를 확인 하기 위해 서버에서 사용 하는 인증 방법이 연결 프로필에 구성 된 인증 방법을 일치 하지. RAS 서버의 관리자에 게 문의 하 고이 오류를 알리십시오. </IP></username>


원인
이 문제는 사용 하 여 루트 Certication 기관 KB 931125 2012 년 12 월 업데이트 패키지 다른 공급 업체를 업데이트 하는 경우 발생할 수 있습니다. 2012 년 12 월 11 일에 게시 된 KB 931125 패키지 클라이언트 Sku만 되어있습니다. 그러나 또한 제공한 서버 Sku에 대 한 Windows 업데이트 및 WSUS에서 짧은 시간 동안.

이 패키지에는 330 개 이상의 타사 루트 Certication 기관 설치. 현재 샤넬 보안 패키지를 지 원하는 신뢰할 수 있는 인증 기관 목록에 최대 크기는 16 킬로바이트 (KB)입니다. 많은 양의 제 루트 Certication 기관이 16 k 논 한 것을 제한 하 고 문제가 있을 수 TLS/SSL 통신.
해결 방법
WSUS를 사용 하 고 설치 하지 않은 경우 KB 931125 2012 년 12 월 업데이트에서 WSUS 서버를 동기화 하 고를 서버에서 업데이트를 설치 하지 않으면 다음의 만료를 승인 해야 합니다.

2012 년 12 월 KB 931125 업데이트 패키지를 설치한 다음 해결 이제 많은 양의 제 루트 Certication 기관이 모든 서버에 추가로 제 루트 Certication 기관 제거 하려면 기울여야.

참고: 이 솔루션에는 모든 타사 루트 Certication 기관 제거합니다. 서버에는 Windows Update에 대 한 연결을 경우 KB 931125 설명도 같이 필요할 때 다시 제 루트 Certication 기관 자동으로 추가 됩니다. 서버 격리 되어 있거나 인터넷에서 disonnected를 해야 수동으로 필요한 타사 루트 Certication 기관을 과거에서 수행 했던 것 처럼 다시 추가 합니다. 또는, 그룹 정책을 사용 하 여 설치할 수 있습니다.

저희가이 문제를 해결 하려면 이동은 "쉽게 고칠 수는 다음과 같습니다."섹션입니다. 이 문제를 직접 해결 하려면 이동은 "직접 문제 해결"섹션입니다.

쉽게 고칠 수는 다음과 같습니다.

자동으로이 문제를 해결 하려면 다운로드 단추를 클릭 합니다. 파일 다운로드 대화 상자에서 실행 또는 열기를 클릭 한 다음 간단한 문제 해결 마법사의 단계를 따릅니다.
  • 시스템에 어떤 변경 하기 전에 백업 하 고 영향을 받는 모든 키의 레지스트리를 확인 하는 있는지 확인 하십시오.
  • 이 마법사는 영어로만 제공될 수 있습니다. 그러나 자동 수정은 다른 언어 버전의 Windows에서도 작동합니다.
  • 현재 문제가 있는 컴퓨터에 아닌 경우 간단한 문제 해결 솔루션을 플래시 드라이브 또는 CD에 저장 한 다음 문제가 있는 컴퓨터에서 실행 합니다.

직접 문제 해결

쉽게 fix50974

다음 레지스트리 키를 삭제 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

이렇게 하려면, 다음 단계를 수행하십시오.
  1. 레지스트리 편집기를 시작 합니다.
  2. 다음 레지스트리 하위 키를 찾습니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 마우스 오른쪽 단추로 클릭 한 다음 "인증서" 라고 하는 키를 삭제
참고: 시스템에 어떤 변경 하기 전에 백업을 레지스트리 및 영향을 받는 키를 확인 하 고 있는지 확인 하십시오.
추가 정보
TLS/SSL 서버에 신뢰할 수 있는 루트 인증 목록에 많은 항목이 포함 된 경우에 이러한 문제가 발생할 수 있습니다. 서버는 다음 조건에 해당 하는 경우 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다.
  • 서버 (TLS (전송 계층 보안)를 사용 하 여 네트워크 트래픽을 암호화 SSL 프로토콜입니다.
  • 클라이언트 인증서는 인증 핸드셰이크 프로세스 동안 인증을 위해 필요 합니다.

신뢰할 수 있는 인증 기관의이 목록을 나타냅니다 서버 클라이언트 인증서를 받아들일 수 있는 기관을. 서버에서 인증에 클라이언트 인증서를 인증서 체인에 있는 루트 인증서 서버의 목록에서 있어야 합니다. 즉, 클라이언트 인증서는 최종-엔터티 인증서 체인의 끝에 항상. 클라이언트 인증서 체인의 일부가 아닙니다.

현재 샤넬 보안 패키지를 지 원하는 신뢰할 수 있는 인증 기관 목록에 최대 크기는 Windows Server 2008, Windows Server 2008 R2 및 Windows Server 2012 16KB입니다.

샤넬에 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 검색 하 여 신뢰할 수 있는 인증 기관의 목록을 만듭니다. 클라이언트 인증을 위해 신뢰할 수 있는 모든 인증서 목록에 추가 됩니다. 이 목록의 크기가 16 KB를 초과 하면 경고 이벤트 ID 36855 Schannel 기록 합니다. 그런 다음 Schannel 신뢰할 수 있는 루트 인증서 목록을 자릅니다 및 클라이언트 컴퓨터에이 잘린된 된 목록을 보냅니다.

클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증서 목록이 잘린된 받으면 클라이언트 컴퓨터가 신뢰할 수 있는 인증서 발급자 체인에 있는 인증서를 없을 수 있습니다. 예를 들어, 클라이언트 컴퓨터의 신뢰할 수 있는 인증 기관 목록에서 Schannel 잘린 신뢰할 수 있는 루트 인증서에 해당 하는 인증서를 있을 수 있습니다. 따라서 서버는 클라이언트를 인증할 수 없습니다.
fixit fixme 수정

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 2801679 - 마지막 검토: 09/25/2015 23:39:00 - 수정: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtko
피드백