Windows Server 2012 또는 Windows 8에서 SSL/TLS 클라이언트 인증서 인증이 작동 하지 않는다

증상

다음 시나리오를 고려하십시오.

• Windows 또는 Windows Server 2012 실행 하는 컴퓨터에서 Secure Sockets Layer / 전송 계층 보안 (SSL/TLS) 클라이언트 인증서 인증을 사용 합니다.

• 겉보기 SSL/TLS 클라이언트 인증서 인증에 관련 된 작업이 수행 됩니다. 그러나 작업 하면 16 킬로바이트 (KB) 제한을 초과 하는 신뢰할 수 있는 루트 저장소. 예를 들어, 다음 작업 중 하나가 수행 됩니다.

  • 원격 세션에서 인증 되지 않은 사용자는 신뢰할 수 있는 루트 소설에 연결 하는 클라이언트 인증서를 사용 하 여 SSL 끝점 서버를 조사 합니다. 그런 다음 암호화 응용 프로그래밍 인터페이스 (CAPI) 기발한 신뢰할 수 있는 루트 자동으로 설치합니다.

  • 사용자는 컴퓨터에 로그온 하 고 가상 루트는 보호 되는 SSL/TLS 웹 사이트를 탐색 합니다.

  • CAPI 기존 설치 된 루트를 자동으로 업데이트 됩니다. 이 인해 크기를 늘리려면 루트 또는 열거형 순서를 변경 합니다.

  • 인증서 열거 순서 코드에서 발생 하는 변경 (예를 들어, 인증서 저장소 코드를 변경 하거나 테이블 정렬 변경 하는 핫픽스를 설치할).

  • 사용자는 인증서를 사용 하 여 전환 합니다.

  • 관리자가 신뢰할 수 있는 루트 저장소에 새 인증서를 설치 합니다.

이 시나리오에서는 클라이언트 인증서 인증을 더 이상 작동합니다.

참고: SendTrustedIssuerList 레지스트리 항목의 값에 관계 없이이 문제가 발생합니다. 즉, SendTrustedIssuerList 레지스트리 항목의 값을 설정 하 여이 문제를 해결 수 없습니다. SendTrustedIssuerList 레지스트리 항목은 다음 레지스트리 하위 키 아래에 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

원인

신뢰할 수 있는 루트 인증 기관 목록 서버 측에서 제대로 잘리지는이 문제가 발생 합니다. 기본적으로 서버 보내지 않습니다 목록에 클라이언트 측 클라이언트 인증서 유효성 검사 시. 따라서 잘라내기를 필요 하지 않습니다.

해결 방법

이 핫픽스 목록에서 제공 됩니다.

상태

Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.

자세한 내용

TLS 패킷을 네트워크를 통해 전송 되는 최대 크기는 16 KB입니다. 이 문서에 설명 되어 있는 문제를 서버 사용할 수 있는 인증 기관에 대 한 고유 이름의 목록을 작성 하 고 목록을 클라이언트로 보냅니다. 적합 인증서 수 (예: 인증서를 300 개 이상의) 많은 경우 TLS 패킷 크기가 16 KB 제한을 초과할 수 있습니다. 따라서 서버 목록을 클라이언트에 보낼 목록을 16 kb를 자릅니다.

소프트웨어 업데이트 용어에 대한 자세한 내용을 보려면, 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인하십시오.

Microsoft 소프트웨어 업데이트를 설명 하는 데 사용 되는 표준 용어에 대 한 824684 설명