다음을 통해 공유

TLS(전송 계층 보안) 관리

TLS 암호화 그룹 순서 구성

서로 다른 Windows 버전은 서로 다른 TLS 암호화 그룹 및 우선 순위를 지원합니다. 다른 Windows 버전에서 Microsoft Schannel 공급자가 지원하는 기본 순서는 TLS/SSL(Schannel SSP)의 암호 그룹을 참조하세요.

참고 항목

CNG 함수를 사용하여 암호 그룹 목록을 수정할 수도 있습니다. 자세한 내용은 Schannel 암호화 그룹 우선 순위 지정을 참조하세요.

TLS 암호화 그룹 순서에 대한 변경 내용은 다음 부팅 시 적용됩니다. 재시작하거나 종료할 때까지 기존 순서가 적용됩니다.

Warning

기본 우선 순위 순서 지정에 대한 레지스트리 설정 업데이트는 지원되지 않으며 서비스 업데이트와 다시 설정될 수 있습니다.

그룹 정책을 사용하여 TLS 암호화 그룹 순서 구성

SSL 암호화 그룹 주문 그룹 정책 설정을 사용하여 기본 TLS 암호화 그룹 순서를 구성할 수 있습니다.

  1. 그룹 정책 관리 콘솔에서 컴퓨터 구성>관리 템플릿>네트워크>SSL 구성 설정으로 이동합니다.

  2. SSL 암호 그룹 순서를 두 번 클릭한 다음 사용 옵션을 클릭합니다.

  3. SSL 암호화 그룹 상자를 마우스 오른쪽 단추로 클릭하고 팝업 메뉴에서 모두 선택을 선택합니다.

    그룹 정책 설정

  4. 마우스 오른쪽 단추로 클릭하고 팝업 메뉴에서 복사를 선택합니다.

  5. 텍스트를 notepad.exe와 같은 텍스트 편집기에 붙여넣고 새로운 암호화 그룹 순서 목록으로 업데이트합니다.

    참고 항목

    TLS 암호화 그룹 순서 목록은 쉼표로 구분된 엄격한 형식이어야 합니다. 각 암호화 그룹 문자열은 오른쪽에 쉼표(,)로 끝납니다.

    또한 암호화 그룹 목록은 1,023자로 제한됩니다.

  6. SSL 암호화 그룹의 목록을 순서가 지정된 업데이트된 목록으로 변경합니다.

  7. 클릭 확인 또는 적용합니다.

MDM을 사용하여 TLS 암호화 그룹 순서 구성

Windows 10 정책 CSP는 TLS 암호화 그룹의 구성을 지원합니다. 자세한 내용은 Cryptography/TLSCipherSuites를 참조하세요.

TLS PowerShell Cmdlet을 사용하여 TLS 암호화 그룹 순서 구성

TLS PowerShell 모듈은 정렬된 TLS 암호화 그룹 목록 가져오기, 암호화 그룹 미사용 설정, 암호화 그룹 사용 설정을 지원합니다. 자세한 내용은 TLS 모듈을 참조하세요.

TLS ECC 곡선 순서 구성

Windows 10 및 Windows Server 2016부터 ECC 곡선 순서는 암호화 그룹 순서와 독립적으로 구성할 수 있습니다. TLS 암호화 그룹 순서 목록에 타원 곡선 접미사가 있는 경우 사용하도록 설정하면 새 타원 곡선 우선 순위 순서로 재정의됩니다. 이렇게 하면 조직에서 그룹 정책 개체를 사용하여 동일한 암호화 그룹 순서로 다른 버전의 Windows를 구성할 수 있습니다.

참고 항목

Windows 10 이전에는 암호 그룹 문자열에 타원 곡선이 추가되어 곡선 우선순위를 결정했습니다.

CertUtil을 사용하여 Windows ECC 곡선 관리

Windows 10 및 Windows Server 2016부터 Windows는 명령줄 유틸리티 certutil.exe를 통해 타원 곡선 매개 변수 관리를 제공합니다. 타원 곡선 매개 변수는 bcryptprimitives.dll에 저장됩니다. certutil.exe를 사용하여 관리자는 Windows에 각각 곡선 매개 변수를 추가 및 제거할 수 있습니다. Certutil.exe는 곡선 매개 변수를 레지스트리에 안전히 저장합니다. Windows는 곡선과 관련된 이름으로 곡선 매개 변수 사용을 시작할 수 있습니다.

등록된 곡선 표시

다음 certutil.exe 명령을 사용하여 현재 컴퓨터에 등록된 곡선의 목록을 표시합니다.

certutil.exe –displayEccCurve

Certutil 표시 곡선

그림 1은 등록된 곡선의 목록을 표시하는 Certutil.exe 출력입니다.

새 곡선 추가

조직은 신뢰할 수 있는 다른 엔터티에서 연구한 곡선 매개 변수를 만들고 사용할 수 있습니다. 이러한 새 곡선을 Windows에서 사용하려는 관리자는 곡선을 추가해야 합니다. 다음 certutil.exe 명령을 사용하여 곡선을 현재 컴퓨터에 추가합니다.

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • curveName 인수는 곡선 매개 변수가 추가된 곡선의 이름을 나타냅니다.
  • curveParameters 인수는 추가하려는 곡선의 매개 변수를 포함하는 인증서의 파일 이름을 나타냅니다.
  • curveOid 인수는 추가하려는 곡선 매개 변수의 OID가 포함된 인증서의 파일 이름을 나타냅니다(선택 사항).
  • curveType 인수는 EC 명명된 곡선 레지스트리에서 명명된 곡선의 10진수 값을 나타냅니다(선택 사항).

Certutil 곡선 추가

그림 2 certutil.exe를 사용하여 곡선 추가

이전에 추가한 곡선 제거

관리자는 다음 certutil.exe 명령을 사용하여 이전에 추가한 곡선을 제거할 수 있습니다.

certutil.exe –deleteEccCurve curveName

관리자가 곡선을 컴퓨터에서 제거한 후에는 명명된 곡선을 사용할 수 없습니다.

그룹 정책을 사용해서 Windows ECC 곡선 관리

조직에서는 그룹 정책 및 그룹 정책 기본 설정 레지스트리 확장을 사용하여 엔터프라이즈, 도메인 조인, 컴퓨터에 곡선 매개 변수를 배포할 수 있습니다. 곡선을 배포하는 프로세스는 다음과 같습니다.

  1. Windows 10 및 Windows Server 2016에서 certutil.exe를 사용하여 등록된 새 명명된 곡선을 Windows에 추가합니다.

  2. 동일한 컴퓨터에서 GPMC(그룹 정책 관리 콘솔)를 열고 새 그룹 정책 개체를 만들어 편집합니다.

  3. 컴퓨터 구성|기본 설정|Windows 설정|레지스트리로 이동합니다. 레지스트리를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 마우스로 가리키고 컬렉션 항목을 선택합니다. 컬렉션 항목의 이름이 곡선의 이름과 일치하도록 변경합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters 아래에서 각 레지스트리 키에 대해 하나의 레지스트리 컬렉션 항목을 만듭니다.

  4. 레지스트리 항목HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] 아래에 나열된 각 레지스트리 값에 대해 추가하여 새로 만든 그룹 정책 기본 설정 레지스트리 컬렉션을 구성합니다.

  5. 그룹 정책 레지스트리 컬렉션 항목을 포함한 그룹 정책 개체를 새 명명된 곡선을 수신해야 하는 Windows 10 및 Windows Server 2016 컴퓨터에 배포합니다.

    그룹 정책 관리 편집기의 기본 설정 탭 스크린샷입니다.

    그림 3 그룹 정책 기본 설정을 사용하여 곡선 분산

TLS ECC 순서 관리

Windows 10 및 Windows Server 2016부터 ECC 곡선 순서 그룹 정책 설정을 사용해서 기본 TLS ECC 곡선 순서를 구성할 수 있습니다. 일반 ECC 및 이 설정을 사용하여 조직에서는 신뢰할 수 있는 고유한 명명된 곡선(TLS에 사용하도록 승인됨)을 운영 체제에 추가한 다음, 곡선 우선 순위 그룹 정책 설정에 명명된 곡선을 추가하여 향후 TLS 핸드셰이크에서 사용할 수 있도록 할 수 있습니다. 정책 설정을 수신한 후 다음 재부팅에서 새 곡선 우선 순위 목록이 활성화됩니다.

EEC 곡선 순서 대화 상자의 스크린샷입니다.

그림 4 그룹 정책을 사용하여 TLS 곡선 우선 순위 관리