SSL(Secure Sockets Layer) 프로토콜을 사용하여 WSUS(Windows Server® Update Services) 배포의 보안을 유지할 수 있습니다. WSUS는 SSL을 사용하여 클라이언트 컴퓨터와 다운스트림 WSUS 서버에서 WSUS 서버를 인증할 수 있도록 합니다. 또한 WSUS는 SSL을 사용하여 클라이언트 컴퓨터와 다운스트림 WSUS 서버 간에 전달되는 메타데이터를 암호화합니다. WSUS는 메타데이터에 대해서만 SSL을 사용하고 콘텐츠에는 사용하지 않습니다. Microsoft Update에서 업데이트를 배포할 때도 이 방법이 사용됩니다.
업데이트는 다음 두 부분으로 이루어져 있습니다.
- 업데이트를 설명하는 메타데이터
- 컴퓨터에 업데이트를 설치할 파일
Microsoft는 각 업데이트에 서명하여 암호화되지 않은 채널을 통해 업데이트 파일을 전송할 때의 위험을 줄입니다. 또한 해시가 계산되어 각 업데이트에 대한 메타데이터와 함께 전송됩니다. 업데이트가 다운로드되면 WSUS에서 디지털 서명과 해시를 확인합니다. 업데이트가 변경된 경우에는 설치되지 않습니다.
WSUS 서버와 WSUS 클라이언트에서 SSL을 구성하는 자세한 단계는 WSUS 배포 가이드(
WSUS SSL 배포 제한
WSUS SSL 배포를 구현하려는 관리자는 다음 두 가지 제한 문제를 고려해야 합니다.
- SSL을 사용하여 WSUS 배포의 보안을 유지하면 서버의 작업이 증가합니다. 네트워크를 통해 전송되는 모든 메타데이터를 암호화하는 추가 비용 때문에 성능의 약 10% 손실을 감안해서 계획해야 합니다.
- 원격 SQL을 사용하는 경우 WSUS 서버와 데이터베이스 실행 서버 간의 연결은 SSL을 사용하여 보안되지 않습니다. 데이터베이스 연결의 보안을 유지해야 하는 경우 다음 권장 사항을 고려합니다.
- 데이터베이스를 WSUS 서버에 배치합니다(기본 WSUS 구성).
- SQL을 실행하는 원격 서버와 WSUS 서버를 개인 네트워크에 배치합니다.
- 네트워크에 IPsec(IP 보안)을 배포하여 네트워크 트래픽의 보안을 유지합니다. 환경에 IPsec을 배포하는 방법에 대한 자세한 내용은 Windows Server 배포 가이드(
https://go.microsoft.com/fwlink/?LinkId=45154(페이지는 영문일 수 있음) )를 참조하십시오.
- 데이터베이스를 WSUS 서버에 배치합니다(기본 WSUS 구성).
추가 참조
CA(인증 기관) 설정, 인증서를 WSUS 웹 사이트에 바인딩 및 클라이언트 컴퓨터를 부트스트랩하여 WSUS 웹 사이트의 인증서 신뢰는 복잡한 관리 작업입니다. 각 작업에 대한 단계별 절차는 이 항목의 범위를 벗어납니다. 그러나 해당 주제에 대한 여러 문서를 사용할 수 있습니다. 인증서를 설치하고 환경을 설정하는 방법에 대한 자세한 내용과 지침은 다음 리소스를 참조하십시오.
-
Windows Server 2003 PKI 운영 가이드(
https://go.microsoft.com/fwlink/?LinkId=83159(페이지는 영문일 수 있음) )에서는 Windows 인증 기관을 구성하고 운영하는 방법에 대한 관리자 가이드를 제공합니다.
-
Microsoft 기술 자료 문서 299875(
https://go.microsoft.com/fwlink/?LinkId=86176(페이지는 영문일 수 있음) )에서는 IIS에 SSL을 구현하는 방법에 대한 단계별 지침을 제공합니다.
-
Windows Server 2003의 인증서 자동 등록(
https://go.microsoft.com/fwlink/?LinkId=17801(페이지는 영문일 수 있음) )에서는 Active Directory와 통합된 Windows Server 2003 Enterprise 환경에 Windows XP를 실행하는 클라이언트 컴퓨터를 자동으로 등록하는 방법에 대한 지침을 제공합니다.
-
고급 인증서 등록 및 관리(
https://go.microsoft.com/fwlink/?LinkId=83160(페이지는 영문일 수 있음) )에서는 다른 환경에 클라이언트 컴퓨터를 자동으로 등록하는 방법에 대한 지침을 제공합니다.