none
Windows OS 인증기관 Root 인증서 배포(다운로드) 관련 문의 RRS feed

  • 질문

  • 안녕하세요 

    Windows OS PC 의 Root 인증서 배포(다운로드) 관련 문의 드립니다.

    Windows OS 일반 사용자들이 https://~ 접속 시, Windows OS에 내장된 여러 인증기관들(CAs)의 Root 인증서 중 신뢰에 사용될 수 있는 Root 인증서를 택하여 신뢰여부를 확인하고 접속이 되는 것으로 알고 있습니다.

    반대로 https://~ 접속 시 Web서버에 적용된 TLS 인증서를 발급한 Root CA 인증서가 Windows OS에 내장되어 있지 않은 경우, 보안경고를 발생하게 되는데요,,(ex : 이 웹 사이트에서 제시한 보안 인증서는 신뢰할 만한 인증 기관에서 발급한 것이 아닙니다. 등.. )


    이를 해결 하고자 인터넷 검색 결과, Root 인증서 대한 배포(다운로드)는 Windows Updates (보안업데이트 포함..)통해 진행되는 것으로 알고 있습니다.

    이에 따라 Windows OS 제품 별(ex : Windows 7, 8, 10..) Root 인증서 대한 배포(다운로드)에 관련 되어 있는 특정 Windows Updates(KBXXXXXXXX) 확인이 필요합니다.

    Root 인증서 배포(다운로드)에  대한 내용 + 관련 특정 Windows Updates 를 알고 싶습니다.

    위 내용 중, 제가 잘못 알고 있는 내용에 대한 피드백 또한 부탁드립니다.

    "최신 Windows Updates 유지"등의 대한 답변을 원하지 않습니다..

    감사합니다.


     

    2018년 8월 8일 수요일 오전 2:50

모든 응답

  • 안녕하세요,

    인증서가 Windows Update를 통해 업데이트되는 것은 맞지만 특정 KB를 통해서 업데이트 되는 것은 아닌 것으로 알고 있습니다. 자동 업데이트 매커니즘을 통해 인터넷을 통해 Windows Update 사이트에 연결 후 자동으로 업데이트 됩니다(보통의 경우 일주일에 한번). 따라서, Windows 보안 업데이트 등 여타 Windows의 업데이트처럼 가시적인 방법으로 업데이트 되는 것은 아니라 특정 KB를 말하기는 조금 어렵습니다.

    Microsoft Trusted Root Certificate: Program Requirements 의 How Root Certificate Distribution Works 절
    https://technet.microsoft.com/en-us/library/cc751157.aspx

    Configure Trusted Roots and Disallowed Certificates
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn265983(v=ws.11)

    어떤 환경에서 어떤 구성을 하시길 원하시는지는 알기 어렵지만 상기 기술 문서(Configure Trusted Roots and Disallowed Certificates)에 각 환경에 대한 구성 방법이 기술되어 있으니 참고해보시면 도움이 될 것 같습니다.

    감사합니다.


    2018년 8월 8일 수요일 오전 4:38
    중재자
  • 안녕하세요

    답변 주신 부분에 대한 감사 말씀드립니다.

    작성해주신 내용 보고 추가 질문 드립니다.

    "자동 업데이트 메커니즘" 통해 Windows Update 사이트에 접속 후 Root 인증서 배포(다운로드)가 이루어 지는 부분 이해되었습니다.

    인터넷 검색 결과, 이때 사용되는 Windows Update 사이트 주소는 아래  주소로 예상이 되며, 맞는지 확인 부탁드립니다.

    "http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab"

    (출처 : https://support.microsoft.com/ko-kr/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window)


    다만 특이한 점은 Windows OS PC 상에 등록된 특정 Root 인증서를 삭제(MMC를 통해 특정 Root 인증서 삭제-현재사용자, 로컬컴퓨터 대상에 내장되어 있는..  (레지스트리 상으로도 지워지는 부분 확인하였습니다.) ) 및 인터넷을 차단한 환경에서, 특정 Root 인증서로 발급된 SSL(TLS) 인증서를 적용한 Web 서버 접속 TEST 시, 정상 접속 되는 부분이 확인되었으며, 자동으로  MMC 상에 import 되는 것을 또한 확인되었습니다.

    즉, 인터넷이 차단된 환경이기에 Windows Update 사이트를 접속하는 것은 아닌 것으로 예상됩니다.

    그렇다면, Windows OS 로컬에 Hidden 되어 있는 특정 Storage 가 있는 것인지 문의 드립니다.

    감사합니다.

    2018년 8월 9일 목요일 오전 1:28
  • 안녕하세요,

    인증서 저장소 이외에 Windows에 숨겨져 있는 특정 저장소가 있는지 등에 대한 내용은 확인하기가 어려웠으며, 가능성은 낮다고 생각합니다. 웹서버 접속 시 어떤 통제된 환경이었는지 알기가 어려워서 테스트 결과에 대해서도 명확히 말씀드리기가 어려우며 테스트 진행도 쉽지 않을 것 같습니다. 클라이언트가 도메인에 속해 있을 가능성 정도를 생각해볼 수 있지만, 그런 것도 아니라면 마이크로소프트 기술 지원 엔지니어의 조언이나 도움을 받아 보시는 것도 좋겠습니다.

    감사합니다.

    2018년 8월 9일 목요일 오전 3:46
    중재자