클라이언트에서의 TLS 1.2 사용 설정 방법How to enable TLS 1.2 on clients

적용 대상: Configuration Manager(현재 분기)Applies to: Configuration Manager (Current Branch)

Configuration Manager 환경에 대해 TLS 1.2를 사용 설정할 때는 먼저 클라이언트가 사용 가능하며 TLS 1.2를 사용하도록 올바로 구성되었는지 확인한 다음 사이트 서버와 원격 사이트의 시스템에서 TLS 1.2를 사용 설정하고 오래된 프로토콜은 사용하지 않도록 설정합니다.When enabling TLS 1.2 for your Configuration Manager environment, start by ensuring the clients are capable and properly configured to use TLS 1.2 before enabling TLS 1.2 and disabling the older protocols on the site servers and remote site systems. 클라이언트에서의 TLS 1.2 사용 설정에는 다음 세 가지 작업이 필요합니다.There are three tasks for enabling TLS 1.2 on clients:

  • Windows 및 WinHTTP 업데이트Update Windows and WinHTTP
  • TLS 1.2가 운영 체제 수준의 SChannel용 프로토콜로서 사용 설정되었는지의 여부 확인Ensure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level
  • TLS 1.2 지원을 위한 .NET Framework 업데이트 및 구성Update and configure the .NET Framework to support TLS 1.2

특정 Configuration Manager 기능 및 시나리오의 종속성에 대한 자세한 내용은 TLS 1.2 사용 설정 소개를 참조하세요.For more information about dependencies for specific Configuration Manager features and scenarios, see About enabling TLS 1.2.

Windows 및 WinHTTP 업데이트Update Windows and WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 및 후속 버전의 Windows는 기본적으로 WinHTTP를 통한 클라이언트-서버 통신을 위해 TLS 1.2를 지원합니다.Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016, and later versions of Windows natively support TLS 1.2 for client-server communications over WinHTTP.

이전 버전의 Windows(예: Windows 7 또는 Windows Server 2012)는 WinHTTP를 사용하는 보안 통신에서 기본적으로 TLS 1.1 또는 TLS 1.2를 사용 설정하지 않습니다.Earlier versions of Windows, such as Windows 7 or Windows Server 2012, don't enable TLS 1.1 or TLS 1.2 by default for secure communications using WinHTTP. 이전 버전의 Windows의 경우에는 업데이트 3140245를 설치해 아래의 레지스트리 값을 활성화하는데, 이를 통해 WinHTTP의 기본 보안 프로토콜 목록에 TLS 1.1과 TLS 1.2를 추가하도록 설정할 수 있습니다.For these earlier versions of Windows, install Update 3140245 to enable the registry value below, which can be set to add TLS 1.1 and TLS 1.2 to the default secure protocols list for WinHTTP. 패치가 설치되면 다음 레지스트리 값을 생성합니다.With the patch installed, create the following registry values:

중요

이전 버전의 Windows에서 실행 중인 모든 클라이언트에서 이 설정을 활성화한 다음 Configuration Manager 서버에서 TLS 1.2를 사용 설정하고 오래된 프로토콜은 사용하지 않도록 설정합니다.Enable these settings on all clients running earlier versions of Windows before enabling TLS 1.2 and disabling the older protocols on the Configuration Manager servers. 그렇지 않으면 클라이언트를 실수로 분리할 수 있습니다.Otherwise, you can inadvertently orphan them.

다음과 같이 DefaultSecureProtocols 레지스트리 설정 값을 확인합니다.Verify the value of the DefaultSecureProtocols registry setting, for example:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

이 값을 변경한 경우 컴퓨터를 다시 시작합니다.If you change this value, restart the computer.

위의 예제는 WinHTTP DefaultSecureProtocols 설정의 0xAA0 값을 보여 줍니다.The example above shows the value of 0xAA0 for the WinHTTP DefaultSecureProtocols setting. KB 3140245: Windows의 WinHTTP에서 TLS 1.1 및 TLS 1.2를 기본 보안 프로토콜로 사용하도록 설정하기 위한 업데이트에는 각 프로토콜에 대한 16진수 값이 표시됩니다.KB 3140245: Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows lists the hexadecimal value for each protocol. 기본적으로 Windows에서 WinHTTP에 대해 SSL 3.0 및 TLS 1.0을 사용하도록 설정하려면 이 값이 0x0A0이어야 합니다.By default in Windows, this value is 0x0A0 to enable SSL 3.0 and TLS 1.0 for WinHTTP. 위의 예제에서는 이러한 기본값을 유지하며, WinHTTP에 대해 TLS 1.1 및 TLS 1.2를 사용하도록 설정합니다.The above example keeps these defaults, and also enables TLS 1.1 and TLS 1.2 for WinHTTP. 이와 같이 구성하면 해당 변경 내용이 여전히 SSL 3.0 또는 TLS 1.0에 의존할 수 있는 다른 애플리케이션을 중단하지 않게 됩니다.This configuration ensures that the change doesn't break any other application that might still rely on SSL 3.0 or TLS 1.0. TLS 1.1 및 TLS 1.2만 사용하도록 설정하려면 0xA00 값을 사용할 수 있습니다.You can use the value of 0xA00 to only enable TLS 1.1 and TLS 1.2. Configuration Manager는 Windows가 두 디바이스 간에 협상하는 가장 안전한 프로토콜을 지원합니다.Configuration Manager supports the most secure protocol that Windows negotiates between both devices.

SSL 3.0 및 TLS 1.0을 완전히 사용하지 않도록 설정하려는 경우 Windows에서 SChannel 해제 프로토콜 설정을 사용합니다.If you want to completely disable SSL 3.0 and TLS 1.0, use the SChannel disabled protocols setting in Windows. 자세한 내용은 Schannel.dll에서 특정 암호화 알고리즘 및 프로토콜의 사용을 제한하는 방법을 참조하세요.For more information, see How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll.

TLS 1.2가 운영 체제 수준의 SChannel용 프로토콜로서 사용 설정되었는지의 여부 확인Ensure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level

기본적으로 TLS 1.2가 사용하도록 설정됩니다.TLS 1.2 is enabled by default. 따라서 이 프로토콜을 사용 설정하기 위해 이러한 키를 변경할 필요는 없습니다.Therefore, no change to these keys is needed to enable it. 아티클에 제공된 나머지 지침을 수행하고 TLS 1.2가 사용 설정될 때만 작업 환경이 작동하는지 확인한 후에 Protocols에서 설정을 변경해 TLS 1.0 및 TLS 1.1을 사용하지 않도록 설정할 수 있습니다.You can make changes under Protocols to disable TLS 1.0 and TLS 1.1 after you've followed the rest of the guidance in these articles and you've verified that the environment works when only TLS 1.2 enabled.

.NET Framework를 사용하는 TLS(전송 계층 보안) 모범 사례에 표시된 대로 \SecurityProviders\SCHANNEL\Protocols 레지스트리 하위 키 설정을 확인합니다.Verify the \SecurityProviders\SCHANNEL\Protocols registry subkey setting, as shown in Transport layer security (TLS) best practices with the .NET Framework.

TLS 1.2 지원을 위한 .NET Framework 업데이트 및 구성Update and configure the .NET Framework to support TLS 1.2

.NET 버전 확인Determine .NET version

먼저 설치된 .NET 버전을 확인합니다.First, determine the installed .NET versions. 자세한 내용은 설치된 Microsoft .NET Framework의 버전 및 서비스 팩 수준을 확인하는 방법을 참조하세요.For more information, see How to determine which versions and service pack levels of the Microsoft .NET Framework are installed.

.NET 업데이트 설치Install .NET updates

강력한 암호화 지원을 위해 .NET 업데이트를 설치합니다.Install the .NET updates so you can enable strong cryptography. 일부 버전의 .NET Framework에서는 강력한 암호화를 위해 업데이트가 필요할 수 있습니다.Some versions of .NET Framework might require updates to enable strong cryptography. 다음 지침을 따르세요.Use these guidelines:

  • .NET Framework 4.6.2 이상은 TLS 1.1 및 TLS 1.2를 지원합니다.NET Framework 4.6.2 and later supports TLS 1.1 and TLS 1.2. 레지스트리 설정을 확인하지만 추가 변경은 필요하지 않습니다.Confirm the registry settings, but no additional changes are required.

  • TLS 1.1 및 TLS 1.2를 지원하도록 NET Framework 4.6 및 이전 버전을 업데이트합니다.Update NET Framework 4.6 and earlier versions to support TLS 1.1 and TLS 1.2. 자세한 내용은 .NET Framework 버전 및 종속성을 참조하세요.For more information, see .NET Framework versions and dependencies.

  • Windows 8.1 또는 Windows Server 2012에서 .NET Framework 4.5.1 또는 4.5.2를 사용하는 경우 관련 업데이트 및 세부 정보도 다운로드 센터에서 다운로드할 수 있습니다.If you're using .NET Framework 4.5.1 or 4.5.2 on Windows 8.1 or Windows Server 2012, the relevant updates and details are also available from the Download Center.

강력한 암호화를 위해 구성Configure for strong cryptography

강력한 암호화를 지원하도록 .NET Framework를 구성합니다.Configure .NET Framework to support strong cryptography. SchUseStrongCrypto 레지스트리 설정을 DWORD:00000001로 설정합니다.Set the SchUseStrongCrypto registry setting to DWORD:00000001. 이 값은 RC4 스트림 암호를 사용하지 않도록 설정하며, 값을 적용하기 위해 시스템을 다시 시작해야 합니다.This value disables the RC4 stream cipher and requires a restart. 이 설정에 대한 자세한 내용은 Microsoft 보안 공지 296038을 참조하세요.For more information about this setting, see Microsoft Security Advisory 296038.

네트워크를 통해 TLS 1.2 지원 시스템과 통신하는 모든 컴퓨터에서 다음 레지스트리 키를 설정해야 합니다.Make sure to set the following registry keys on any computer that communicates across the network with a TLS 1.2-enabled system. 그 예로는 Configuration Manager 클라이언트와 사이트 서버에 설치되지 않은 원격 사이트 시스템 역할, 사이트 서버 자체를 들 수 있습니다.For example, Configuration Manager clients, remote site system roles not installed on the site server, and the site server itself.

32비트 OS에서 실행되는 32비트 애플리케이션과 64비트 OS에서 실행되는 64비트 애플리케이션의 경우 다음 하위 키 값을 업데이트합니다.For 32-bit applications that are running on 32-bit OSs and for 64-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64비트 OS에서 실행되는 32비트 애플리케이션의 경우 다음 하위 키 값을 업데이트합니다.For 32-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

참고

SchUseStrongCrypto 설정을 지정하면 .NET에서 TLS 1.1 및 TLS 1.2를 사용할 수 있습니다.The SchUseStrongCrypto setting allows .NET to use TLS 1.1 and TLS 1.2. SystemDefaultTlsVersions 설정을 지정하면 .NET에서 OS 구성을 사용할 수 있습니다.The SystemDefaultTlsVersions setting allows .NET to use the OS configuration. 자세한 내용은 .NET Framework에 대한 TLS 모범 사례를 참조하세요.For more information, see TLS best practices with the .NET Framework.

다음 단계Next steps