Azure Key Vault 인증서 정보
Azure Key Vault 인증서 지원은 x509 인증서 및 다음 동작의 관리를 위해 제공됩니다.
인증서 소유자는 Key Vault 만들기 프로세스 또는 기존 인증서의 가져오기를 통해 인증서를 만들 수 있습니다. 가져온 인증서에는 자체 서명된 인증서와 CA(인증 기관)에서 생성된 인증서가 모두 포함됩니다.
Key Vault 인증서 소유자는 프라이빗 키 자료와 상호 작용하지 않고 X.509 인증서의 안전한 스토리지 및 관리를 구현할 수 있습니다.
인증서 소유자는 인증서의 수명 주기를 관리하도록 Key Vault를 지시하는 정책을 만들 수 있습니다.
인증서 소유자가 만료 및 갱신의 수명 주기 이벤트에 대한 알림 연락처 정보를 제공할 수 있습니다.
선택한 발급자(Key Vault 파트너 X.509 인증서 공급자 및 CA)로 자동 갱신을 지원합니다.
참고 항목
비파트너 공급자 및 기관도 허용되지만 자동 갱신을 지원하지 않습니다.
인증서 만들기에 대한 자세한 내용은 인증서 만들기 방법을 참조하세요.
인증서 컴퍼지션
Key Vault 인증서가 만들어지면 주소 지정 가능한 키와 암호도 동일한 이름으로 만들어집니다. Key Vault 키를 사용하면 키 작업을 수행할 수 있고, Key Vault 비밀을 사용하면 인증서 값을 비밀로 검색할 수 있습니다. Key Vault 인증서에는 공용 x509 인증서 메타데이터도 포함됩니다.
인증서의 식별자 및 버전은 키 및 암호의 식별자 및 버전과 비슷합니다. Key Vault 인증서 버전으로 만든 특정 버전의 주소 지정 가능한 키와 암호는 Key Vault 인증서 응답에서 사용할 수 있습니다.
내보내기 가능/불가능 키
Key Vault 인증서가 만들어지면 PFX 또는 PEM 형식의 프라이빗 키를 사용하여 주소 지정 가능한 비밀에서 해당 인증서를 검색할 수 있습니다. 인증서를 만드는 데 사용된 정책은 키를 내보낼 수 있다고 표시해야 합니다. 정책에서 내보낼 수 없는 키를 표시하는 경우 프라이빗 키는 비밀로 검색될 때 값에 포함되지 않습니다.
주소 지정이 가능한 키는 내보낼 수 없는 Key Vault 인증서와 더 관련이 있습니다. 주소 지정이 가능한 Key Vault 키의 작업은 Key Vault 인증서를 만드는 데 사용되는 Key Vault 인증서 정책의 keyusage 필드에서 매핑됩니다.
지원되는 키 유형의 전체 목록은 키 정보: 키 유형 및 보호 방법을 참조 하세요. 내보내기 가능한 키는 RSA 및 EC에서만 허용됩니다. HSM 키는 내보낼 수 없습니다.
인증서 특성 및 태그
Key Vault 인증서에는 인증서 메타데이터, 주소 지정 가능한 키 및 주소 지정 가능한 비밀 외에도 특성 및 태그가 포함됩니다.
특성
인증서 특성은 Key Vault 인증서를 만들 때 생성되는 주소 지정 가능한 키와 비밀의 특성으로 미러됩니다.
Key Vault 인증서에 포함되는 특성은 다음과 같습니다.
enabled: 이 부울 특성은 선택 사항입니다. 기본값은true입니다. 인증서 데이터를 비밀로 검색할 수 있는지 또는 키로 작동할 수 있는지 여부를 나타내도록 지정할 수 있습니다.이 특성은
nbf와exp사이에서 작업이 발생할 때nbf및exp와 함께 사용되지만enabled가true로 설정된 경우에만 사용됩니다.nbf및exp창 외부의 작업은 자동으로 허용되지 않습니다.
응답에는 다음과 같이 추가적인 읽기 전용 특성이 포함됩니다.
created:IntDate는 이 버전의 인증서가 생성된 시기를 나타냅니다.updated:IntDate는 이 버전의 인증서를 업데이트한 시점을 나타냅니다.exp:IntDateX.509 인증서의 만료 날짜 값을 포함합니다.nbf:IntDateX.509 인증서의 "이전이 아님" 날짜의 값을 포함합니다.
참고 항목
Key Vault 인증서가 만료되는 경우에도 인증서를 검색할 수 있지만 인증서 만료의 유효성을 검사하는 TLS 보호와 같은 시나리오에서 인증서를 작동하지 않을 수 있습니다.
태그
인증서에 대한 태그는 키 및 비밀의 태그와 마찬가지로 키/값 쌍의 클라이언트 지정 사전입니다.
참고 항목
호출자는 해당 개체 유형(키, 비밀 또는 인증서)에 대한 list 또는 get 권한이 있는 경우 태그를 읽을 수 있습니다.
인증서 정책
인증서 정책에는 Key Vault 인증서의 수명 주기를 만들고 관리하는 방법에 대한 정보가 포함됩니다. 프라이빗 키가 있는 인증서를 키 자격 증명 모음으로 가져오면 Key Vault 서비스는 X.509 인증서를 읽어 기본 정책을 만듭니다.
Key Vault 인증서를 처음부터 새로 만드는 경우 정책을 제공해야 합니다. 정책은 이 Key Vault 인증서 버전 또는 그 다음 Key Vault 인증서 버전을 만드는 방법을 지정합니다. 정책이 설정되면 이후 버전에 대한 연속 만들기 작업에는 해당 정책이 필요하지 않습니다. Key Vault 인증서의 모든 버전에 대한 정책 인스턴스는 하나만 있습니다.
크게 보자면, 인증서 정책에 다음 정보가 포함됩니다.
제목 이름, 제목 대체 이름 및 X.509 인증서 요청을 만드는 데 사용되는 기타 속성을 포함하는 X.509 인증서 속성입니다.
키 형식, 키 길이, 내보내기 가능 및
ReuseKeyOnRenewal필드를 포함하는 키 속성입니다. 이러한 필드는 키를 생성하는 방법을 Key Vault에 지시합니다.지원되는 키 유형은 RSA, RSA-HSM, EC, EC-HSM 등입니다.
인증서를 비밀로 검색하기 위한 비밀 값을 생성하도록 주소 지정 가능한 비밀의 콘텐츠 형식과 같은 비밀 속성입니다.
Key Vault 인증서에 대한 수명 작업입니다. 각 수명 작업에 포함되는 항목은 다음과 같습니다.
- 트리거: 만료 이전 잔존 일 수 또는 수명 범위 백분율을 통해 지정됩니다.
- 작업:
emailContacts또는autoRenew입니다.
인증서 유효성 검사 유형: DigiCert 및 GlobalSign 발급자에 대한 조직 유효성 검사(OV-SSL) 및 확장 유효성 검사(EV-SSL).
x509 인증서를 발급하는 데 사용할 인증서 발급자에 대한 매개 변수입니다.
정책과 연결된 특성입니다.
자세한 내용은 Set-AzKeyVaultCertificatePolicy를 참조하세요.
X.509 사용량을 주요 작업에 매핑
다음 표에서는 X.509 키 사용 정책과 Key Vault 인증서 만들기의 일부로 만들어진 키의 효과적인 키 작업을 매핑하고 있습니다.
| X.509 키 사용 플래그 | Key Vault 키 작업 | 기본 동작 |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
해당 없음 |
DecipherOnly |
decrypt |
해당 없음 |
DigitalSignature |
sign, verify |
인증서를 만들 때 사용하도록 지정하지 않은 Key Vault 기본값 |
EncipherOnly |
encrypt |
해당 없음 |
KeyCertSign |
sign, verify |
해당 없음 |
KeyEncipherment |
wrapKey, unwrapKey |
인증서를 만들 때 사용하도록 지정하지 않은 Key Vault 기본값 |
NonRepudiation |
sign, verify |
해당 없음 |
crlsign |
sign, verify |
해당 없음 |
인증서 발급자
Key Vault 인증서 개체에는 선택한 인증서 발급자 공급자와 통신하여 X.509 인증서를 요청하는 데 사용되는 구성이 있습니다.
Key Vault와 제휴 관계에 있는 TLS/SSL 인증서에 대한 인증서 발급자 공급자는 다음과 같습니다.
| 공급자 이름 | 위치 |
|---|---|
| DigiCert | 퍼블릭 클라우드 및 Azure Government의 모든 Key Vault 서비스 위치에서 지원됩니다. |
| GlobalSign | 퍼블릭 클라우드 및 Azure Government의 모든 Key Vault 서비스 위치에서 지원됩니다. |
키 자격 증명 모음에서 인증서 발급자를 만들려면 먼저 관리자가 다음 필수 구성 요소 단계를 수행해야 합니다.
하나 이상의 CA 공급자를 사용하여 조직을 온보딩합니다.
Key Vault에 대한 요청자 자격 증명을 만들어 TLS/SSL 인증서를 등록(및 갱신)합니다. 이 단계에서는 키 자격 증명 모음에서 공급자의 발급자 개체를 만들기 위한 구성을 제공합니다.
인증서 포털에서 발급자 개체를 만드는 방법에 대한 자세한 내용은 Key Vault 팀 블로그를 참조하세요.
Key Vault를 사용하면 서로 다른 발급자 구성으로 여러 발급자 개체를 만들 수 있습니다. 발급자 개체가 만들어지면 하나 또는 여러 개의 증명서 정책에서 해당 이름을 참조할 수 있습니다. 발행자 개체를 참조하면 인증서를 만들고 갱신하는 동안 CA 공급자로부터 X.509 인증서를 요청할 때 발행자 개체에서 지정한 대로 구성을 사용하도록 Key Vault에 지시합니다.
발급자 개체는 자격 증명 모음에 만들어집니다. 동일한 자격 증명 모음의 Key Vault 인증서에서만 사용할 수 있습니다.
참고 항목
공개적으로 신뢰할 수 있는 인증서는 등록 중에 Azure 경계 외부의 CA 및 CT(인증서 투명성) 로그로 전송됩니다. 해당 엔터티의 GDPR 정책이 적용됩니다.
인증서 연락처
인증서 연락처에는 인증서 수명 이벤트에서 트리거된 알림을 보내도록 연락처 정보가 포함됩니다. 키 자격 증명 모음의 모든 인증서는 연락처 정보를 공유합니다.
알림은 키 자격 증명 모음의 모든 인증서에 대한 이벤트에 대해 지정한 모든 연락처로 보내집니다. 인증서 연락처를 설정하는 방법에 대한 자세한 내용은 Azure Key Vault 인증서 갱신을 참조하세요.
인증서 액세스 제어
Key Vault는 인증서에 대한 액세스 제어를 관리합니다. 이러한 인증서를 포함하는 Key Vault는 액세스 제어를 제공합니다. 인증서에 대한 액세스 제어 정책은 동일한 Key Vault의 키 및 비밀에 대한 액세스 제어 정책과 다릅니다.
사용자는 인증서를 보관할 하나 이상의 자격 증명 모음을 만들어서 시나리오를 적절하게 세분화하고 인증서를 관리할 수 있습니다. 자세한 내용은 인증서 액세스 제어를 참조하세요.
인증서 사용 사례
보안 통신 및 인증
TLS 인증서는 인터넷을 통한 통신을 암호화하고 웹 사이트의 ID를 설정합니다. 이 암호화를 사용하면 진입점과 통신 모드가 더욱 안전해집니다. 또한 공용 CA에서 서명한 체인된 인증서를 사용하면 인증서를 보유하는 엔터티가 합법적인지 확인하는 데 도움이 될 수 있습니다.
예를 들어 다음은 인증서를 사용하여 통신을 보호하고 인증을 사용하도록 설정하는 몇 가지 사용 사례입니다.
- 인트라넷/인터넷 웹 사이트: 인트라넷 사이트에 대한 액세스를 보호하고 TLS 인증서를 사용하여 인터넷을 통해 암호화된 데이터 전송을 보장합니다.
- IoT 및 네트워킹 디바이스: 인증 및 통신용 인증서를 사용하여 디바이스를 보호합니다.
- 클라우드/다중 클라우드: 온-프레미스, 클라우드 간 또는 클라우드 공급자의 테넌트에 있는 클라우드 기반 애플리케이션을 보호합니다.