다음을 통해 공유

업데이트 Publisher에 대한 인증서 및 보안 관리

  • 아티클

적용 대상: Configuration Manager(현재 분기)

다음 절차는 업데이트 서버에서 인증서 저장소를 구성하고, 클라이언트 컴퓨터에서 자체 서명 인증서를 구성하고, 컴퓨터의 Windows 업데이트 에이전트가 게시된 업데이트를 검색할 수 있도록 그룹 정책 구성하는 데 도움이 될 수 있습니다.

업데이트 서버에서 인증서 저장소 구성

업데이트 게시자는 디지털 인증서를 사용하여 게시하는 카탈로그의 업데이트에 서명합니다. 카탈로그를 업데이트 서버에 게시하려면 먼저 해당 인증서가 업데이트 서버의 인증서 저장소와 해당 컴퓨터가 업데이트 서버에서 원격인 경우 업데이트 Publisher 컴퓨터의 인증서 저장소에 있어야 합니다.

다음 절차는 업데이트 서버의 인증서 저장소에 인증서를 추가할 수 있는 몇 가지 방법 중 하나입니다.

인증서 저장소를 구성하려면

  1. 업데이트 Publisher 컴퓨터와 업데이트 서버 모두에 액세스할 수 있는 컴퓨터에서 시작을 클릭하고 실행을 클릭하고 텍스트 상자에 MMC를 입력한 다음 확인을 클릭하여 MMC(Microsoft 관리 콘솔)를 엽니다.

  2. 파일을 클릭하고 스냅인 추가/제거를 클릭하고 추가, 인증서, 추가, 컴퓨터 계정을 차례로 클릭한 다음 다음을 클릭합니다.

  3. 다른 컴퓨터를 선택하고 업데이트 서버의 이름을 입력하거나 찾아보기를 클릭하여 업데이트 서버 컴퓨터를 찾은 다음 마침, 닫기를 차례로 클릭한 다음 확인을 클릭합니다.

  4. 인증서(서버 이름 업데이트)를 확장하고 WSUS를 확장한 다음 인증서를 클릭합니다.

  5. 결과 창에서 원하는 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 내보내기를 클릭합니다.

  6. 인증서 내보내기 마법사에서 기본 설정을 사용하여 마법사에 지정된 이름과 위치로 내보내기 파일을 만듭니다. 이 파일은 다음 단계로 진행하기 전에 업데이트 서버에서 사용할 수 있어야 합니다.

  7. 신뢰할 수 있는 게시자를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 가져오기를 클릭합니다. 6단계에서 내보낸 파일을 사용하여 인증서 가져오기 마법사를 완료합니다.

  8. WSUS 게시자 자체 서명과 같은 자체 서명된 인증서를 사용하는 경우 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 가져오기를 클릭합니다. 6단계에서 내보낸 파일을 사용하여 인증서 가져오기 마법사를 완료합니다.

  9. 인증서(서버 이름 업데이트)를 마우스 오른쪽 단추로 클릭하고 다른 컴퓨터에 연결을 클릭하고 업데이트 Publisher 컴퓨터의 컴퓨터 이름을 입력한 다음 확인을 클릭합니다.

  10. 업데이트 게시자가 업데이트 서버에서 원격인 경우 7~9단계를 반복하여 인증서를 업데이트 Publisher 컴퓨터의 인증서 저장소로 가져옵니다.

클라이언트 컴퓨터에서 자체 서명 인증서 구성

클라이언트 컴퓨터에서 WUA(Windows 업데이트 에이전트)는 카탈로그의 업데이트를 검색합니다. 에이전트가 로컬 컴퓨터의 신뢰할 수 있는 게시자 저장소에서 해당 디지털 인증서를 찾을 수 없는 경우 이 프로세스는 업데이트를 설치하지 못합니다. 자체 서명된 인증서를 사용하여 WSUS 게시자 자체 서명과 같은 업데이트 카탈로그를 게시한 경우 에이전트가 인증서의 유효성을 확인할 수 있도록 인증서가 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에도 있어야 합니다.

그룹 정책 및 인증서 가져오기 마법사를 사용하거나 Certutil 도구 및 소프트웨어 배포를 사용하는 등 클라이언트 컴퓨터에서 인증서를 구성하는 여러 방법 중 하나를 사용할 수 있습니다.

다음은 클라이언트 컴퓨터에서 서명 인증서를 구성하는 방법의 한 가지 예제로 제공됩니다.

클라이언트 컴퓨터에서 자체 서명 인증서를 구성하려면

  1. 업데이트 서버에 액세스할 수 있는 컴퓨터에서 시작을 클릭하고 실행을 클릭하고 텍스트 상자에 MMC를 입력한 다음 확인을 클릭하여 MMC(Microsoft 관리 콘솔)를 엽니다.

  2. 파일을 클릭하고 스냅인 추가/제거를 클릭하고 추가, 인증서, 추가, 컴퓨터 계정을 차례로 클릭한 다음 다음을 클릭합니다.

  3. 다른 컴퓨터를 선택하고 업데이트 서버의 이름을 입력하거나 찾아보기를 클릭하여 업데이트 서버 컴퓨터를 찾은 다음 마침, 닫기를 차례로 클릭한 다음 확인을 클릭합니다.

  4. 인증서(서버 이름 업데이트)를 확장하고 WSUS를 확장한 다음 인증서를 클릭합니다.

  5. 결과 창에서 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 내보내기를 클릭합니다. 기본 설정을 사용하여 인증서 내보내기 마법사 를 완료하여 마법사에 지정된 이름과 위치를 사용하여 인증서 내보내기 파일을 만듭니다.

  6. 다음 방법 중 하나를 사용하여 WUA를 사용하여 카탈로그의 업데이트를 검색하는 각 클라이언트 컴퓨터에 업데이트 카탈로그에 서명하는 데 사용되는 인증서를 추가합니다. 다음과 같이 클라이언트 컴퓨터에 인증서를 추가합니다.

    • 자체 서명된 인증서의 경우: 신뢰할 수 있는 루트 인증 기관 및 신뢰할 수 있는 게시자 인증서 저장소에 인증서를 추가합니다.

    • CA(인증 기관)에서 발급한 인증서의 경우: 신뢰할 수 있는 게시자 인증서 저장소에 인증서를 추가합니다.

    참고

    또한 WUA는 인트라넷에서 서명된 콘텐츠 허용 Microsoft 업데이트 서비스 위치 그룹 정책 설정이 로컬 컴퓨터에서 사용하도록 설정되어 있는지 확인합니다. WUA가 업데이트 Publisher에서 만들고 게시한 업데이트를 검색하려면 이 정책 설정을 사용하도록 설정해야 합니다. 이 그룹 정책 설정을 사용하도록 설정하는 방법에 대한 자세한 내용은 클라이언트 컴퓨터에서 그룹 정책 구성하는 방법을 참조하세요.

컴퓨터의 WUA에서 게시된 업데이트를 검색할 수 있도록 그룹 정책 구성

컴퓨터의 WUA(Windows 업데이트 에이전트)가 업데이트 Publisher를 사용하여 만들고 게시한 업데이트를 검색하기 전에 인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 콘텐츠를 허용하도록 정책 설정을 사용하도록 설정해야 합니다. 정책 설정을 사용하도록 설정하면 업데이트가 로컬 컴퓨터의 신뢰할 수 있는 게시자 인증서 저장소에 로그인된 경우 WUA는 인트라넷 위치를 통해 받은 업데이트를 수락합니다. 환경의 컴퓨터에서 그룹 정책 구성하는 방법에는 여러 가지가 있습니다.

도메인에 없는 컴퓨터의 경우 인트라넷 Microsoft 업데이트 서비스 위치의 서명된 콘텐츠를 허용하는 레지스트리 키 설정을 구성할 수 있습니다.

다음 절차에서는 도메인의 컴퓨터에 대한 그룹 정책 구성하고 도메인에 없는 컴퓨터의 레지스트리 키 값을 구성하는 데 사용할 수 있는 기본 단계를 제공합니다.

WUA가 게시된 업데이트를 검색할 수 있도록 그룹 정책 구성하려면

  1. 그룹 정책 구성할 적절한 보안 권한이 있는 사용자와 함께 MMC(그룹 정책 개체 편집기 Microsoft 관리 콘솔) 스냅인을 엽니다.

  2. 찾아보기를 클릭하고 구성된 그룹 정책 원하는 클라이언트 컴퓨터에 전파되는 사이트에 연결된 도메인, OU 또는 GPO를 선택합니다. 확인을 클릭하고 마침을 클릭하고 닫기를 클릭한 다음 확인을 클릭합니다.

  3. 콘솔 트리에서 선택한 정책 설정을 확장하고 컴퓨터 구성, 관리 템플릿, Windows 구성 요소를 차례로 확장한 다음 Windows 업데이트 클릭합니다.

  4. 결과 창에서 인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 콘텐츠 허용을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 사용을 클릭한 다음 확인을 클릭합니다.