파일 암호화 오류 - Recovery policy configured for this system contains invalid recovery certificate
어느 순간부터, 탐색기에서 제공되는 파일 암호화(EFS: Encrypting File System)를 할 때 다음과 같은 오류가 발생하엿습니다.
[그림 1: 파일 암호화 오류]
"
An error occurred applying attributes to the file:
...[폴더 경로]...
Recovery policy configured for this system contains invalid recovery certificate.
파일에 특성을 적용하는 중 오류가 발생했습니다.
...[폴더 경로]...
이 시스템에 대해 구성된 복구 정책에 올바르지 않은 복구 인증서가 포함되어 있습니다.
"
이상하지요... EFS에 사용되는 인증서는 self-signed 유형으로 이미 생성해 놓았고, 해보신 분들은 아시겠지만 비스타가 만들어주는 인증서는 그 만료기간이 무척 길게(100년) 만들어지니 웬만해선 별다른 문제가 있을 수도 없습니다.
할 수 없이, 또 구글링을 하기 시작했고, 도움이 될 만한 토픽을 2가지 정도 발견했습니다.
How do I get EFS working on a domain joined computer?
; http://social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/5c0bf259-a1eb-4cae-b812-b43584007337/
Error message when client computers encrypt a file in a Windows Server 2003 domain: “Recovery policy configured for this system contains invalid recovery certificate”
; http://support.microsoft.com/?kbid=937536
도메인 이야기가 나오길래 떠오르는 것이 있었는데, 최근 무선랜 관련해서 회사에 문제가 있어 모든 컴퓨터를 도메인에 가입한 적이 있었다는 점. 우선, 제 계정에 연결된 EFS 인증서는 문제가 없었기 때문에 도메인 컨트롤러 측의 그룹 정책 편집기를 확인해 보았습니다. 역시나,,, 기본 제공되어 있던 "Administrator" 인증서가 이미 만료된 것이었습니다.
그래서, 위의 2번째 링크에 제공된 KB937536에 제시된 방법을 이용해서 다음과 같이 새로운 인증서를 생성했습니다.
C:\Temp\csp>cipher /r:themyth_file_enc_v2
Please type in the password to protect your .PFX file:
Please retype the password to confirm:
Your .CER file was created successfully.
Your .PFX file was created successfully.
C:\Temp\csp>dir
Volume in drive C has no label.
Volume Serial Number is C6E7-7F99
Directory of C:\Temp\csp
2008-12-23 오전 09:21 <DIR> .
2008-12-23 오전 09:21 <DIR> ..
2008-12-23 오전 09:21 844 themyth_file_enc_v2.CER
2008-12-23 오전 09:21 2,630 themyth_file_enc_v2.PFX
2 File(s) 3,474 bytes
2 Dir(s) 8,988,729,344 bytes free
C:\Temp\csp>
이렇게 생성된 새로운 인증서를 "[그림 2]"에서 보는 것처럼 "Default Domain Policy GPO" 의 "Computer Configuration" / "Windows Settings" / "Security Settings" / "Public Key Policies" / "Encrypting File System" 안에서 "Add Recovery Agent Wizard"를 이용해서 연결했습니다. (한글 윈도우즈의 경우: "컴퓨터 구성" / "Windows 설정" / "보안 설정" / "공개 키 정책" / "암호화 파일 시스템")
[그림 2: "Add Recovery Agent Wizard" 경로]
(위의 이미지는, 보안상 도메인 컨트롤러의 GPO 화면이 아닌, 제 컴퓨터의 GPO 화면을 올렸습니다. 하지만 구성 경로는 동일합니다.)
그리고, "gpupdate /force"를 실행하고, 제 로컬 컴퓨터를 다시 재부팅했습니다.
그걸로 문제 해결 끝!
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]