TLS(전송 계층 보안) 관리
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10
TLS 암호 그룹 순서 구성
서로 다른 Windows 버전은 서로 다른 TLS 암호화 그룹 및 우선 순위를 지원합니다. 다른 Windows 버전에서 Microsoft Schannel 공급자가 지원하는 기본 순서는 TLS/SSL(Schannel SSP)의 암호 그룹을 참조하세요.
참고 항목
CNG 함수를 사용하여 암호 그룹 목록을 수정할 수도 있습니다. 자세한 내용은 Schannel Cipher Suites 우선 순위를 지정하세요.
TLS 암호 그룹 순서에 대한 변경 내용은 다음 부팅에 적용됩니다. 다시 시작하거나 종료할 때까지 기존 순서가 적용됩니다.
Warning
기본 우선 순위 순서 지정에 대한 레지스트리 설정 업데이트는 지원되지 않으며 서비스 업데이트로 다시 설정될 수 있습니다.
그룹 정책을 사용하여 TLS 암호 그룹 순서 구성
SSL 암호 그룹 주문 그룹 정책 설정을 사용하여 기본 TLS 암호 그룹 순서를 구성할 수 있습니다.
그룹 정책 관리 콘솔에서 컴퓨터 구성>관리영구 템플릿>네트워크>SSL 구성 설정 이동합니다.
SSL 암호 그룹 순서를 두 번 클릭한 다음 사용 옵션을 클릭합니다.
SSL 암호 그룹 상자를 마우스 오른쪽 단추로 클릭하고 팝업 메뉴에서 모두 선택을 선택합니다.
선택한 텍스트를 마우스 오른쪽 단추로 클릭하고 팝업 메뉴에서 복사본을 선택합니다.
텍스트를 notepad.exe와 같은 텍스트 편집기에 붙여넣고 새 암호 그룹 순서 목록으로 업데이트합니다.
참고 항목
TLS 암호 그룹 순서 목록은 엄격한 쉼표로 구분된 형식이어야 합니다. 각 암호 그룹 문자열은 오른쪽에 쉼표(,)로 끝납니다.
또한 암호 그룹 목록은 1,023자로 제한됩니다.
SSL 암호 도구 모음의 목록을 업데이트된 순서가 지정된 목록으로 바꿉니다 .
클릭 확인 또는 적용합니다.
MDM을 사용하여 TLS 암호 그룹 순서 구성
Windows 10 정책 CSP는 TLS 암호화 제품군의 구성을 지원합니다. 자세한 내용은 Cryptography/TLSCipherSuites를 참조 하세요 .
TLS PowerShell Cmdlet을 사용하여 TLS 암호 그룹 순서 구성
TLS PowerShell 모듈은 정렬된 TLS 암호 그룹 목록을 가져오고, 암호 그룹을 사용하지 않도록 설정하고, 암호 그룹을 사용하도록 설정할 수 있도록 지원합니다. 자세한 내용은 TLS 모듈을 참조하세요.
TLS ECC 곡선 순서 구성
Windows 10 및 Windows Server 2016부터 ECC 곡선 순서는 암호 그룹 순서와 독립적으로 구성할 수 있습니다. TLS 암호 그룹 순서 목록에 타원 곡선 접미사가 있는 경우 사용하도록 설정하면 새 타원 곡선 우선 순위 순서로 재정의됩니다. 이렇게 하면 조직에서 그룹 정책 개체를 사용하여 동일한 암호 그룹 순서로 다른 버전의 Windows를 구성할 수 있습니다.
참고 항목
Windows 10 이전에는 암호화 도구 모음 문자열에 타원 곡선이 추가되어 곡선 우선 순위를 결정했습니다.
CertUtil을 사용하여 Windows ECC 곡선 관리
Windows 10 및 Windows Server 2016부터 Windows는 명령줄 유틸리티 certutil.exe를 통해 타원 곡선 매개 변수 관리를 제공합니다. 타원 곡선 매개 변수는 bcryptprimitives.dll에 저장됩니다. 관리자는 certutil.exe를 사용하여 Windows 간 곡선 매개 변수를 각각 추가하고 제거할 수 있습니다. Certutil.exe는 곡선 매개 변수를 레지스트리에 안전하게 저장합니다. Windows는 곡선과 연결된 이름으로 곡선 매개 변수 사용을 시작할 수 있습니다.
등록된 곡선 표시
다음 certutil.exe 명령을 사용하여 현재 컴퓨터에 등록된 곡선 목록을 표시합니다.
certutil.exe –displayEccCurve
그림 1 Certutil.exe 출력은 등록된 곡선 목록을 표시합니다.
새 곡선 추가
조직은 다른 신뢰할 수 있는 엔터티에서 조사한 곡선 매개 변수를 만들고 사용할 수 있습니다. windows에서 이러한 새 곡선을 사용하려는 관리 재배자는 곡선을 추가해야 합니다. 다음 certutil.exe 명령을 사용하여 현재 컴퓨터에 곡선을 추가합니다.
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- curveName 인수는 곡선 매개 변수가 추가된 곡선의 이름을 나타냅니다.
- curveParameters 인수는 추가하려는 곡선의 매개 변수를 포함하는 인증서의 파일 이름을 나타냅니다.
- curveOid 인수는 추가하려는 곡선 매개 변수의 OID가 포함된 인증서의 파일 이름을 나타냅니다(선택 사항).
- curveType 인수는 EC 명명된 곡선 레지스트리에서 명명된 곡선의 10진수 값을 나타냅니다(선택 사항).
그림 2 certutil.exe를 사용하여 곡선 추가
이전에 추가한 곡선 제거
관리istrators는 다음 certutil.exe 명령을 사용하여 이전에 추가된 곡선을 제거할 수 있습니다.
certutil.exe –deleteEccCurve curveName
관리자가 컴퓨터에서 곡선을 제거한 후에는 명명된 곡선을 사용할 수 없습니다.
그룹 정책을 사용하여 Windows ECC 곡선 관리
조직에서는 그룹 정책 및 그룹 정책 기본 설정 레지스트리 확장을 사용하여 엔터프라이즈, 할기본 조인된 컴퓨터에 곡선 매개 변수를 배포할 수 있습니다. 곡선을 배포하는 프로세스는 다음과 같습니다.
Windows 10 및 Windows Server 2016에서 certutil.exe를 사용하여 등록된 새 명명된 곡선을 Windows에 추가합니다.
동일한 컴퓨터에서 GPMC(그룹 정책 관리 콘솔)를 열고, 새 그룹 정책 개체를 만들고, 편집합니다.
컴퓨터 구성으로 이동|기본 설정|Windows 설정|레지스트리. 레지스트리를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 마우스로 가리키고 컬렉션 항목을 선택합니다. 곡선의 이름과 일치하도록 컬렉션 항목의 이름을 바꿉니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters 아래에 각 레지스트리 키에 대해 하나의 레지스트리 컬렉션 항목을 만듭니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName]에 나열된 각 레지스트리 값에 대해 새 레지스트리 항목을 추가하여 새로 만든 그룹 정책 기본 설정 레지스트리 컬렉션을 구성합니다.
그룹 정책 레지스트리 컬렉션 항목이 포함된 그룹 정책 개체를 새 명명된 곡선을 수신해야 하는 Windows 10 및 Windows Server 2016 컴퓨터에 배포합니다.
그림 3 그룹 정책 기본 설정을 사용하여 곡선 분산
TLS ECC 순서 관리
Windows 10 및 Windows Server 2016부터 ECC 곡선 순서 그룹 정책 설정을 사용하여 기본 TLS ECC 곡선 순서를 구성할 수 있습니다. 조직에서는 일반 ECC 및 이 설정을 사용하여 신뢰할 수 있는 고유한 명명된 곡선(TLS에 사용하도록 승인됨)을 운영 체제에 추가한 다음, 곡선 우선 순위 그룹 정책 설정에 명명된 곡선을 추가하여 향후 TLS 핸드셰이크에서 사용할 수 있도록 할 수 있습니다. 정책 설정을 받은 후 다음 다시 부팅에서 새 곡선 우선 순위 목록이 활성화됩니다.
그림 4 그룹 정책을 사용하여 TLS 곡선 우선 순위 관리