DetailPage-MSS-KB

기술 자료

기술 자료: 273856 - 마지막 검토: 2007년 2월 28일 수요일 - 수정: 5.2

 

이 페이지에서

요약

이 문서에서는 Microsoft Windows 2000 타사 인증 EFS (파일 시스템 암호화) 인증서 및 EFS 복구 에이전트 인증서를 발급할 기관 (CA) 지원하는 방법에 대해 설명합니다.

개요

이 문서에서는 다음 두 섹션으로 나뉩니다.
  • EFS 및 공개 키 인프라 사용하여 간단한 설명.
  • 있는 타사 CA 사용할 인증서를 발급하도록 EFS에서 파일 암호화 및 복구 허용되는 방식.

추가 정보

EFS 개요 및 공개 키 인프라

EFS 있는 Windows 2000의 NTFS 파일 시스템 볼륨의 파일을 암호화하기 위한 솔루션입니다. EFS는 Windows 2000에서 Crypto 아키텍처 기능 및 공개 키 인프라 기능을 사용합니다.

인증서 등록

암호화 작업 중에, EFS는 현재 EFS 인증서를 사용합니다. 사용할 수 없는 경우 EFS 개인 저장소에 적절한 인증서를 검색합니다. 자동 EFS 현재 인증서를 찾을 수 없으면 이를 사용하면에 대한 EFS 인증서를 등록할. EFS 템플릿을 지원하는 온라인 Windows 2000 CA EFS 인증서를 발급할 수 있습니다. 온라인 Windows 2000 CA 인증서를 등록할 수 없는 경우 또는 도메인 계정을 사용하는 경우 EFS에서 자체 서명된 인증서가 생성됩니다.

EFS 인증서를 선택한 후에 시스템 사용자 인터페이스를 통해 변경할 수 없습니다. 또한 (자체 EFS는 때 자체 서명된 인증서 및 온라인 Windows 2000 CA에서 EFS 인증서를 등록할 등)는 더 나은 하나를 사용할 때 EFS 인증서를 자동으로 전환하지 않습니다.

EFS를 사용하는 인증서를 변경하려면 다음 두 가지가 있습니다.
  • EFS에 대한 새 인증서를 설정하려면 SetUserFileEncryptionKey Microsoft 개발자 네트워크 (MSDN) 문서화된 API 를 사용하십시오. EFS를 사용하여 새 인증서를 즉시 시작됩니다.
  • 새 인증서 지문 필드에 다음 레지스트리 키에 저장된 인증서 해시 변경:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    값: CertificateHash
    형식: REG_BINARY
    새 인증서의 지문 데이터:
EFS Microsoft Rivest-Shamir-Adelman 자료 (RSABase) CSP (암호화 서비스 공급자) 에 저장된 EFS 인증서에 대한 키 기대하고 있습니다. 인증서의 키 정보 특성이 이 CSP가 가리켜야 합니다. EFS 인증서와 개인 키를 포함하는 MY 인증서 저장소에 찾습니다.

파일 데이터 암호화 및 암호 해독

EFS는 파일 데이터를 암호화하기 위해 임의로 생성된 대칭 키를 사용합니다. 암호화된 파일 각각에 새 키가 생성됩니다. 사용되는 데이터 암호화 알고리즘 DESX (강력한 버전의 데이터 암호화 표준) 입니다. 다른 알고리즘은 구성할 수 있습니다.

그런 다음 파생 EFS 인증서에서 공개 키를 사용하여 대칭 암호화 키가 암호화됩니다. 결과 암호화된 데이터, 표시 이름 및 인증서 해시 EFS 메타데이터가 들어 있는 파일의 명명된 스트림에 저장됩니다. EFS를 사용하여 파일을 해독합니다 때 대칭 암호화 키를 해독하려면 개인 키를 사용합니다. EFS는 다음 데이터를 해독하기 위해 대칭 키를 사용합니다.

네트워크 서버에 파일을 암호화하려면 로밍 프로필이 있는 경우 네트워크의 프로필이 EFS 로드합니다. 로밍 프로필을 있으면 EFS 인증서 및 키를 서버에서 찾을 수 및 사용자 프로필 생성 시도합니다.

네트워크를 통해 EFS 파일을 복사할 때 해독할 및 일반 텍스트로 네트워크를 통해 보내는 것입니다. 네트워크 전송 중인 동안에는 파일을 보호하려면 IP 보안을 사용하십시오.

EFS 인증서 갱신

EFS 인증서가 만료되면 새 키 쌍 사용하여 새 인증서 등록 갱신 EFS 수행합니다. 만료될 때 EFS 자체에 현재 인증서를 갱신하지 않습니다.

EFS 인증서 갱신 및 이전 인증서가 만료되기 전에 보관할 경우 EFS 계속 만료될 때까지 이전 인증서를 사용합니다. EFS 다음 새 인증서 저장소에서 찾을 수 또는 유효한 인증서를 찾을 수 없는 경우 새 얻기 위해 등록 같은 프로세스를 통해 이루어집니다. 새 인증서를 사용하도록 보는 동안 EFS 저장소에 있는 EFS 인증서가 둘 경우 갱신 통해 얻은 것과 다를 인증서를 페치할 수 있습니다.

다른 인증서를 사용하여 이전에 암호화된 파일을 처리할 경우 새 인증서를 사용하도록 EFS 시작된 후에는 새 인증서를 사용하려면 메타데이터 EFS 다시 생성합니다.

해지 확인

EFS 해지 검사를 수행하지 않습니다.

EFS 복구 에이전트

EFS 복구 에이전트 파일을 암호화한 사용자 회사의 벗어날 경우 암호화된 파일을 해독할 수 있습니다. Windows 2000 CA EFS 복구 템플릿을 사용하여 EFS 복구 에이전트 인증서를 등록할 수 있습니다.

전역 도메인 정책에서 EFS 복구 에이전트 인증서를 도메인에 있는 모든 사용자에 대해 설정할 수 있습니다. 로컬 컴퓨터 정책에서 로컬 컴퓨터의 모든 사용자에 대해 이러한 인증서를 설정할 수도 있습니다. 두 정책이 모두 있을 경우 글로벌 정책은 우선합니다.

복구 에이전트 추가 마법사를 열려면 그룹 정책, 공개 키 정책 을 차례로 누른 다음 암호화된 데이터 복구 에이전트 를 클릭하십시오. 이 마법사를 사용하면 복구 에이전트 인증서를 지정할 수 있습니다. 폴더 찾아보기 를 누른 다음 복구 에이전트 인증서를 파일로 직접 가져오려면 인증서 파일을 클릭합니다 수 있습니다. 복구 에이전트 표기법은 알 수 없는 사용자 인증서를 가져옵니다. 이러한 복구 에이전트 인증서를 지정할 타사 CA 인증서를 발생합니다.

디렉터리 (사용자에 대한 EFS 복구 에이전트 인증서 온라인 Windows 2000 CA에 대해 등록할 경우 발생하는) 사용자의 인증서를 게시하는 경우 마법사는 사용자가 복구 에이전트로 직접 가져올 수 있습니다. 디렉터리 찾아보기 및 복구 에이전트로 지정할 사용자를 선택하십시오.

파일 암호화 중에 대칭 암호화 키 복구 에이전트의 공개 키를 암호화할 및 EFS 메타데이터를 포함하는 명명된 스트림에서 정보가 저장됩니다. 암호화된 파일을 복구하려면 EFS 복구 에이전트의 개인 키를 사용하여 대칭 암호화 키를 어떤 EFS 해독한 다음 데이터를 해독합니다.

규칙을 만들어 유효한 EFS 및 EFS 복구 에이전트 사용하는 타사 CA에 대한 인증서

EFS 인증서

인증서를 형성하는 규칙은 다음과 같습니다.
  • 키 암호화 및 데이터 암호화 인증서의 키 용도 확장명을 포함해야 합니다.
  • 인증서의 향상된 키 용도 확장명에는 암호화 파일 시스템 (1.3.6.1.4.1.311.10.3.4) 식별자를 포함해야 합니다.
  • 사용 시 Microsoft RSABase CSP 키를 저장해야 합니다.
  • 인증서의 키 정보 속성을 이 키를 가리켜야 합니다.
오른쪽 KeyUsageEnhancedKeyUsage 값을 포함하도록 올바른 값이 포함되도록 인증서를 발급하도록 타사 인증 기관 사용자 지정해야 할 수도 있습니다.

타사 제품을 사용하여 EFS 인증서 등록 두 가지가 있습니다.
  • 타사 CA에 Microsoft Crypto 아키텍처 독립적인 등록을 제공할 수 있습니다. 이 경우 해당 타사 인증서 및 인증서 관리자 MMC 스냅인을 사용하여 사용자 프로필에 가져올 수 있는 파일로, 인증서와 관련된 개인 키를 내보내야 합니다. Microsoft RSABase CSP에 키를 가져와서 이 CSP가 키 정보 속성을 설정합니다.
  • 타사 CA에 대한 인증서를 등록하려면 Microsoft 클라이언트에 대한 Microsoft XEnroll 컨트롤을 사용하는 웹 기반 등록 절차를 제공합니다. 이 등록 방법을 사용하면 키를 자동으로 Microsoft RSABase CSP 저장되며 키 정보 속성을 설정합니다.
모든 인증서 이전에 사용한 경우, 인증서를 등록한 후 또는 인증서 갱신 후에 EFS에 대한 변경을 알려야 합니다. 새 인증서를 시 가리키는 SetUserFileEncryptionKey 호출하여 설정할 수 있습니다. 모든 EFS 작업 전에 인증서를 만든 경우 호출이 SetUserFileEncryptionKey 위로 설정할 필요가 없습니다. EFS 개인 인증서 저장소에 있는 새 인증서를 찾아 기본 인증서로 설정합니다.

EFS 복구 인증서

인증서를 형성하는 규칙은 다음과 같습니다.
  • 사용 키 = 키 암호화
  • EKU 파일 Recovery(1.3.6.1.4.1.311.10.3.4.1) =
EFS 인증서 "절에서 설명한 것처럼 타사 CA, 인증서 등록 Microsoft 클라이언트와 웹 등록 페이지 제공하거나 타사 CA 인증서와 관련된 개인 키를 Microsoft 클라이언트 프로그램으로 가져올 수 있는 파일로 내보낼 수 있습니다.

만든 후 복구 에이전트는 마법사를 사용하여 인증서를 가져올 수 있습니다.

파일을 복구하는 동안 파일 복구 인증서 및 개인 키를 다음 지침에 따라 파일을 복구하는 데 사용되는 시스템에 가져와야 합니다.
  • Microsoft RSABase CSP가 키 저장해야 합니다.
  • 인증서의 키 정보 속성을 RSABase CSP이 이 키를 가리켜야 합니다. 공급자 이름을 "Microsoft 암호화 공급자 v1.0" 합니다.
사용자가 인증서를 가져오는 인증서 MMC 스냅인에서 인증서 및 개인 키를 가져올 수 있습니다. 중요: 이 문서에 나와 있는 규칙을 EFS 및 EFS 복구 에이전트 발급하도록 선행, 타사 인증 기관 제품을 구성하여 Microsoft에서 유효성이 있던 인증서. EFS (암호화 테스트 팀 및 복구 이러한 인증서를 사용하여 테스트합니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
키워드: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store