Windows Server 2016에서 사용자 지정 암호 그룹 순서를 배포하는 방법
이 문서에서는 Windows Server 2016에서 Schannel에 대한 사용자 지정 암호 그룹 주문을 배포하는 데 도움이 되는 정보를 제공합니다.
적용 대상: Windows Server 2016
원래 KB 번호: 4032720
요약
Windows에서 Schannel에 대한 고유한 암호 그룹 순서를 배포하려면 먼저 나열하여 HTTP/2와 호환되는 암호 그룹 우선 순위를 지정해야 합니다. HTTP/2(RFC 7540) 블록 목록에 있는 암호 그룹은 목록 맨 아래에 표시되어야 합니다. 예시:
CBC(암호화 블록 체인) 모드 암호 그룹:
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
비 PFS (완벽한 앞으로 비밀) 암호 제품군 :
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
차단 목록에 있는 암호 그룹이 목록 맨 위에 나열된 경우 HTTP/2 클라이언트와 브라우저는 HTTP/2 호환 암호 그룹을 협상할 수 없습니다. 이로 인해 프로토콜을 사용하지 못했습니다.
예를 들어 Chrome을 사용하는 경우 오류 ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY 받을 수 있습니다.
Windows Server 2016의 기본 순서는 HTTP/2 암호 그룹 기본 설정과 호환됩니다. 또한 이 순서는 가장 강력한 보안 특성을 가진 암호 그룹을 선호하므로 HTTP/2보다 좋습니다. 따라서 기본 순서를 지정하면 Windows Server 2016의 HTTP/2에 브라우저 및 클라이언트와 암호화 도구 모음 협상 문제가 발생하지 않습니다.
해결 방법
Important
이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 신중하게 수행해야 합니다. 추가 보호를 위해 레지스트리를 수정하기 전에 백업합니다. 그러면 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하십시오.
프로토콜을 사용하지 못하는 경우 암호 그룹을 다시 정렬하는 동안 일시적으로 HTTP/2를 사용하지 않도록 설정해야 합니다.
HTTP/2를 사용하도록 설정하고 사용하지 않도록 설정하려면 다음 단계를 수행합니다.
- regedit를 시작합니다(레지스트리 편집기).
- 다음 하위 키
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters로 이동합니다. - DWORD 형식 값 EnableHttp2Tls를 다음 값으로 설정합니다.
- HTTP/2를 사용하지 않도록 설정하려면 0으로 설정합니다.
- HTTP/2를 사용하도록 설정하려면 값을 1로 설정합니다.
- 컴퓨터를 다시 시작합니다.