인증서 해지 관리

  • 14분

인증서 수명 주기를 관리하는 과정에서 인증서 발급을 제어하고 인증서 사용을 추적하고 필요할 때마다 인증서 해지를 적용해야 합니다. 이는 인증서 기반 보안의 손상 가능성을 줄이고 문제를 해결하는 데 매우 중요합니다.

인증서 해지란?

해지는 하나 이상의 인증서의 유효성을 사용하지 않도록 설정하는 프로세스입니다. 해지 프로세스를 시작하여 해당 CRL에 인증서 지문을 게시합니다. 이는 특정 인증서가 더 이상 유효하지 않음을 나타냅니다.

중요

모든 인증서에는 고유한 유효 기간이 지정되어 있으며, 해당 기간 이후에는 인증서가 더 이상 유효하지 않은 것으로 간주됩니다. 예를 들면 인증서 손상을 수정하기 위해 해지를 사용하여 해당 기간이 지나기 전에 인증서를 무효화할 수 있습니다.

인증서 해지에 초점을 맞춘 몇 가지 CA 수명 주기 단계.

해지 프로세스는 일반적으로 다음과 같은 일련의 단계로 구성됩니다.

  1. 인증서를 해지하고 이유 및 목표 날짜와 시간을 제공합니다. CA 콘솔에서 이 작업을 수행할 수 있습니다.
  2. CRL을 게시합니다. CA 콘솔에서 게시를 트리거하거나 정기적으로 자동 게시를 예약할 수 있습니다. AD DS, 공유 폴더 또는 웹 사이트에 CRL을 게시할 수 있습니다.
  3. 운영 체제, 애플리케이션 또는 서비스에서 인증서 사용과 관련된 보안 작업을 시작하는 경우 발급 CA 및 해당 CDP 위치를 쿼리하여 해당 인증서의 해지 상태를 자동으로 확인하는 작업을 트리거합니다. 이 프로세스는 인증서가 해지되었는지 여부를 확인합니다.

중요

인증서 해지 상태 자동 검사 지원은 운영 체제, 애플리케이션 또는 서비스의 구현 방식에 따라 달라집니다. 최신 상용 소프트웨어는 이 기능을 지원합니다.

Windows 운영 체제에는 인증서 해지 및 상태 확인 프로세스를 담당하는 CryptoAPI가 포함됩니다. CryptoAPI는 인증서 확인 프로세스에서 다음 단계를 사용합니다.

  • 인증서 검색. CA 인증서, 발급된 인증서의 AIA 정보 및 인증서 등록 프로세스에 대한 세부 정보를 수집하는 단계입니다.
  • 경로 유효성 검사. 루트 CA 인증서에 도달할 때까지 CA 체인 또는 경로를 통해 인증서를 확인하는 프로세스입니다.
  • 해지 확인. 인증서 체인에서 해지된 인증서가 없는지 각 인증서를 확인합니다.
  • 네트워크 검색 및 캐싱. 네트워크 검색은 OCSP를 사용하여 수행됩니다. CryptoAPI는 먼저 로컬 캐시에서 해지 정보를 확인하고, 일치하는 항목이 없는 경우 발급된 인증서가 제공하는 URL을 기반으로 한 OCSP를 사용하여 호출을 수행합니다.

온라인 응답기 서비스란?

온라인 응답기 서비스는 인증서 해지 상태를 확인하는 더 효율적인 방법을 제공합니다. 온라인 응답기 서비스는 OCSP를 사용하여 인증서의 해지 상태를 확인합니다. OCSP는 HTTP를 사용하여 인증서 상태 요청을 제출합니다.

클라이언트는 CRL에 액세스하여 인증서의 해지 상태를 확인합니다. CRL 크기가 대용량이어서 클라이언트가 이러한 CRL을 검색하는 데 상당한 시간이 걸릴 수 있습니다. 온라인 응답기 서비스는 이러한 CRL을 통해 클라이언트를 동적으로 검색하고 요청한 인증서의 상태가 있는 클라이언트에 응답할 수 있습니다. 단일 온라인 응답기를 사용하여 단일 CA 또는 여러 CA에서 발급한 인증서에 대한 해지 상태 정보를 확인할 수 있습니다. 또한 CA 해지 요청을 배포하도록 여러 온라인 응답기를 구현할 수 있습니다.

발급된 인증서의 AIA 확장에 온라인 응답기의 URL을 포함하도록 CA를 구성해야 합니다. OCSP 클라이언트가 이 URL을 사용하여 인증서 상태의 유효성을 검사합니다. 또한 OCSP 응답 서명 인증서 템플릿을 발급해야 하므로 온라인 응답기가 해당 인증서를 등록할 수 있습니다.

데모

다음 비디오에서는 다음과 같은 방법을 설명합니다.

  • CRL 게시를 구성합니다.
  • CDP 위치를 구성합니다.

프로세스의 주요 단계는 다음과 같습니다.

  1. AD DS 환경을 생성합니다. 단일 도메인 AD DS 포리스트를 생성합니다.
  2. 엔터프라이즈 루트 CA를 배포합니다.
  3. CRL 게시를 구성합니다. 인증 기관 콘솔을 사용하여 CRL 게시를 구성합니다.
  4. CDP 위치를 구성합니다. 인증 기관 콘솔을 사용하여 CDP 위치를 구성합니다.

지식 점검

1.

인증 기관 콘솔을 사용하여 파일 공유에 CRL을 게시하는 데 필요한 것은 무엇입니까?