Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
windows 2008 r2에서 ms-sql 2008 서버사용시 tls문제점 [링크 복사], [링크+제목 복사],
조회: 19169
글쓴 사람
임종복 (limjongbok at hanafos.com)
홈페이지
첨부 파일
 
(연관된 글이 2개 있습니다.)

안녕하세요?
오랜만에 글을 써봅니다.
제목처럼 windows 2008 r2에서 ms-sql 2008 서버사용시 tls문제점이란 내용이며

windows 2008 r2의 tls1.0을 비활성화하면(통신 보안채널-schannel)
ms-sql 2008 서비스가 동작을 하지 않습니다.
(사용환경은 iis 7.5를 통한 asp.net 웹서비스를 제공하는 용도의 DB, 또한 https만 사용)

아래는 MSSQL 에러로그 내용입니다.

1. 인증서사용을 강제하지 않는 경우의 tls1.0 사용 여부의 경우

--> tls1.0을 활성화한 후 정상일경우
A self-generated certificate was successfully loaded for encryption.

--> tls1.0을 해제한 후 비정상일경우 : 오류발생
The server could not load the certificate it needs to initiate an SSL connection....

2. 인증서사용을 강제할 경우의 tls1.0 사용 여부의 경우

--> tls1.0을 활성화한 후 정상일경우
..The certificate [Cert Hash(sha1) "0D5.....BB84F572"] was successfully loaded for encryption.

--> tls1.0을 해제한 후 비정상일경우 : 오류발생
..Unable to load user-specified certificate [Cert Hash(sha1) "0D50F0F....BB84F572"]. The server will not accept a connection. You should verify that the certificate is correctly installed. See "Configuring Certificate for Use by SSL" in Books Online.

ㅇ 궁굼한 점
tls1.0을 사용하지 않고 MS-SQL 서비스를 작동하여 https(443)서비스를 할 수 있는 방법이 없을까요?

또한 MS에 문의를 해보니 별도의 기술지원이 필요한 것으로 질문에 대한 해결 여부또는 알려주지 않는군요

한해의 마지막 날인데 이것때문에 몇일밤을 고생하네요.
좋은 답변 부탁드립니다.

[연관 글]





[최초 등록일: ]
[최종 수정일: 12/31/2014]

비밀번호
댓글 작성자
 


2015-01-01 02시55분
좀 더 정보가 필요할 것 같습니다. 그러니까, 오류가 MSSQL과 IIS 간에 발생한다는 것인가요? 그리고, 인증서를 MSSQL 측에 설치했다는 것인가요? 해당 현상을 재현할 수 있도록 좀 더 자세한 절차를 기술해 주세요. ^^
정성태
2015-01-02 05시11분
[임종복] 1. 테스트 환경은
  - WINDOWS 2008 R2
  - iis 7.5에서 https 구성 : openssl 1.0.1j로 CA 인증서(AES256-SHA256 설정, tls1.2 충족) 및 서버 인증서 설정
  - MSSQL 2008 R2(openssl 인증서를 이용하여, 구성관리자>SQL네트워크구성>MSSQL서버에대한프로토콜>우클릭>속성>플래그>암호화적용:yes,인증서 선택)

2. 시험 목적
  - iis에서 tls1.2 보안채널만 활성화하여 웹서비스 가능
  - 클라이언트(사용자의 PC)에서 브라우저를 접근할 때 서버는 ssl/tls 보안채널 가운데 tls1.2(ssl 3.2)만 활성화 되어야 보안상 취약하지 않다고 합니다.

3. 오류 내용
  - 보안채널 가운데 tls1.0이 비활성화 되면 구성관리자(SQL 서버 서비스)의 기본 서비스가 시작되지 않음, 수동으로 시작하면 ssl 오류가 발생

4. 오류의 원인
  - MSSQL과 WINDOWS 2008간의 문제로 MSSQL 서비스가 시작되지 않으므로 웹서비스를 할 수 없음

5. 오류 설명
OS는 보안채널을 사용하는데
레지스트리(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0 ..... TLS 1.2)에 채널 설정이 있습니다.
IIS에 https로 구성한 뒤 보안채널을 tls 1.2 만 사용가능 하게 한 후 OS를 재시작하게 되면 MSSQL의 기본 서비스가 기동이 안되는 현상입니다.

6. 오류 원인 유추
- MSSQL 서버 서비스는 Os 및 IIS의 보안채널을 기본적으로 공유하는 것 같습니다.
- 또한 MSSQL 서버 서비스는 기본적으로 TLS1.0 보안채널만 사용하는 것 같습니다.
- 그리고 TLS1.0 보안채널은 OS의 RDP 서비스와도 연관이 있으므로 TLS1.0을 비활성화(disable)하면 원격서비스가 중지됩니다.

7. 기타 참고
- TLS1.0을 비활성화하면서 MSSQL 서버 서비스를 기동시키는 방법은
 실행>gpedit.msc(로컬그룹정책편집기)>로컬그룹정책>컴퓨터구성>보안설정>로컬정책>보안옵션 선택 후 우측의
"시스템 암호화: 암호화, 해시 및 서명 알고리즘을 포함한 FIPS 140 호환 암호화 알고리즘 사용" 을 활성화

방법이 존재하나 이는 TLS1.0을 기본으로 사용하는 것 같고
또한 활성화하면 asp.net 프로그램에 영향을 주어 web.config를 수정하면서 조절해야하나
웹 기능이 정상적으로 작동하지 않습니다. (또한 사이트를 조사해보니 MS조차도 이를 권장하지 않는다...고 하네요)

환경설정에 도움이 되셨으면 하고
좋은 결과가 있으면 좋겠네요.
[guest]
2015-01-03 08시48분
문제 재현을 했고 제 경우에도 SQL 서버는 TLS 1.0 또는 SSL 3.0을 반드시 활성화시켜야만 정상 서비스가 되었습니다. 대신, IIS 서비스는 TLS 1.2를 강제하면서 SQL 서비스는 1.0으로 잘 동작하는 레지스트리 구성이 있는데... 그런 식으로 우회해야 하지 않을까 싶습니다. 이에 관해서는 다음의 정리된 글을 참고하세요.

System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!
; http://www.sysnet.pe.kr/2/0/1833

TLS 1.2를 적용한 IIS 웹 사이트 구성
; http://www.sysnet.pe.kr/2/0/1834

SQL 서버 역시 SSL 3.0/TLS 1.0만을 지원하는 듯!
; http://www.sysnet.pe.kr/2/0/1835

임종복 님의 상황이 지금 어떤지는 자세하게 알 수 없으나, "클라이언트(사용자의 PC)에서 브라우저를 접근할 때 서버는 ssl/tls 보안채널 가운데 tls1.2(ssl 3.2)만 활성화 되어야 보안상 취약하지 않다고 합니다."라는 점을 감안했을 때, 제가 제시한 방법이 나쁘진 않을 듯 싶습니다. 어차피 주요 보안 사항이 웹 서버와 브라우저 간이므로.
정성태
... 16  17  [18]  19  20  21  22  23  24  25  26  27  28  29  30  ...
NoWriterDateCnt.TitleFile(s)
5485이재원4/17/20216333교재 315페이지 내용 질문 [3]
5484Syong4/16/20219883윈폼 기반의 응용프로그램 dll 참조와 32,64bit 빌드 관련 문의 [4]
5483한예지 donator4/15/20215373익명 형식과 var 관계 질문 있습니다. [2]
5482질문4/13/20217169WPF를 위한 MVVM toolkit 선택과 관련한 문의드립니다. [4]
5480한예지 donator4/5/20217488GetHashCode 질문있습니다! [2]
5479한예지 donator4/4/20216562Equals를 닷넷에서 어떻게 구현했는지 보고 싶을 떄는 어떻게 해야 될까요? [2]
5478갑자기C#3/23/20219014C# Winform에서 TextBox없이 입력 받을 수 있나요? [7]
5477달팽이3/18/20216000c# 도형을 그린후 편집하는 방법이 궁금합니다. [2]파일 다운로드1
5475dimo...3/2/20217023POH가 .NET 5에 추가된 것으로 알고 있습니다. POH가 유용한 경우는 어떤 경우가 있을까요? [1]
5474Syong2/26/20216560사용자 지정 컨트롤 생성시 Invalidate, Update, Refresh의 차이점 [2]
5473한예지 donator2/25/20216430디자인 타임이 뭔지 궁금합니다!! [5]
5472dimo...2/24/20217213등록하지 않고 ocx를 사용하는 `키움`관련 포스팅을 따라가다 질문드립니다. [9]
5471남산2/21/20215852MarshalDirectiveException 에 대한 질문입니다. [1]
5470한예지 donator2/7/20215798yield 질문있습니다!! [2]
5469유호성2/6/20215341Parallel + Task.Run 동시 실행 환경에서 간헐적으로 Task.Run()에서 null이 리턴됩니다. [3]파일 다운로드1
5467hero...2/4/20215734실행 환경에 따른 Thread.Sleep 딜레이 차이 질문 [8]
5466pr1/29/20215605c# winform load시 작업표시줄에 뜨지 않는 현상을 겪으신적이 있으신가요? [4]파일 다운로드1
5465영귤1/28/20215977두 번째 await 부터는 스레드 개수만 늘어나는 것이 아닌가요 [1]
5464민우1/26/20216236C# 빌드시 코드 치환되는걸 확인하는 방법 문의 [2]
5463한예지 donator1/24/20216996Parameters.AddWithValue 와 Parameters.Add 의 차이점이 궁금합니다. [2]
5462C#초보1/22/20217381사용자 정의 메시지 전달이 가능한가요? [2]
5461한예지 donator1/22/20216780AsEnumerable() 메서드 질문 있습니다! [2]
5459한예지 donator1/21/20216112typeof와 GetType의 차이점 질문있습니다. [2]
5458진우1/20/20217015C# DataTable 에 SQL 쿼리문을 실행하는 방법 문의 (LINQ 사용하지 않고) [6]
5456성민1/17/202174199.0 출간 계획이 있으신가요? [2]
5455한예지 donator1/16/20216439교재 194페이지 콜백메서드 질문 있습니다! [5]
... 16  17  [18]  19  20  21  22  23  24  25  26  27  28  29  30  ...