Windows PC 에서 루트인증서 자동 업데이트 설정 (레지스트리)

기술자료, 설치/적용 이슈 주요 사례

Windows 환경에서는, 기본값으로 루트인증서를 자동으로 업데이트 하여, 인증서관리자(스토어)에 저장 또는 업데이트하게 되어 있습니다.  그러나, 필요에 의해서 임의 설치된 특정 프로그램에 의해서 이 자동업데이트 기능이 비활성화 되는 경우가 종종 존재합니다. (한국내 PC 가 유독 심함)

루트인증서 자동업데이트가 비활성화 되면, 네이버나 다음등 포털을 포함하여 글로벌 SSL 인증서를 적용한 대부분의 인터넷 HTTPS 웹사이트 접속시, 웹서버 설정에 따라 접속 문제가 발생할 수 있습니다.

예)
ERR_CERT_DATE_INVALID
SEC_ERROR_UNKNOWN_ISSUER
DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_DATE_INVALID


아래와 같은 레지스트리 값을 적용 후 리붓팅을 진행 후, HTTPS 페이지를 다시 접속하게 되면 자동으로 루트인증서를 업데이트 하게 됩니다. 아래 설정은 자동업데이트 차단을 해제하는 설정입니다.

'DisableRootAutoUpdate' 값은 Windows 기본 설치에서는 존재하지 않는 값이므로, 아래 값 변경 적용 대신 해당 레지스트리 값을 삭제하는 방법도 가능합니다. (선택사항)

-----------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot]
"DisableRootAutoUpdate"=dword:00000000

레지스트리파일(.reg) [다운로드] 후 파일명을 DisableRootAutoUpdate.reg 으로 변경 후 > reg 실행 후 (관리자권한, 경고창무시) > 리붓팅
-----------


만약 위와 같이 진행해도 루트인증서가 자동 업데이트되지 않는다면, 해당 PC 자체의 다른 문제이므로 아래의 "루트/체인 인증서를 수동으로 설치" 진행을 해야만 합니다. 위와 관련한 사항은, MS 고객지원 센터 또는 관련 커뮤니티의 도움을 받아서 해결해 보시기 바랍니다.

(본 설정은 마이크로소프트 공식 기술자료에서 설명된 내용이지만, 해당 설정으로 인해서 발생할수 있는 여러가지 문제에 대해서, SecureSign 에서는 일체 보증하지 않습니다. 그러므로 모든 책임은 작업자에게 있습니다)


[관련 MS 기술 자료]

Configure Trusted Roots and Disallowed Certificates
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn265983(v=ws.11)?redirectedfrom=MSDN


[Sectigo 루트인증서 - 3가지 모두 적용 권장]

AAA Certificate Services (Root, 2029/01/01)
USERTrust RSA Certification Authority (Root, 2038/01/19)
COMODO RSA Certification Authority (Root, 2038/01/19)

다운로드 https://asset.securesign.kr/files/Sectigo_Root_CA.zip


[루트/체인 인증서 수동 설치]

certutil.exe 를 이용한 SSL 루트인증서 / 체인인증서 가져오기
https://www.securesign.kr/guides/kb/64

mmc 를 이용한 SSL 루트인증서 / 체인인증서 가져오기
https://www.securesign.kr/guides/kb/65



컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.