인증 기관 역할 서비스란?
이 문서에서는 Windows Server 운영 체제에 배포될 때 Active Directory 인증서 서비스에 대한 인증 기관 역할 서비스에 대한 정보를 제공합니다.
CA(인증 기관)는 사용자, 컴퓨터 및 조직의 ID를 증명할 책임이 있습니다. CA는 디지털 서명 인증서를 발급하여 엔터티를 인증하고 해당 ID를 보증합니다. 또한 CA는 인증서를 관리, 해지 및 갱신할 수 있습니다.
인증 기관은 다음과 같습니다.
- 최종 사용자의 ID를 보증하는 조직입니다.
- 조직에서 인증서를 발급하고 관리하는 데 사용하는 서버입니다.
AD CS(Active Directory 인증서 서비스)의 인증 기관 역할 서비스를 설치하면 CA 역할을 하도록 Windows Server를 구성할 수 있습니다.
인증 기관 유형 이해
Windows Server는 다음과 같은 네 가지 유형의 CA를 지원합니다.
- 엔터프라이즈 루트 CA.
- 엔터프라이즈 하위 CA.
- 독립 실행형 루트 CA.
- 독립 실행형 하위 CA.
엔터프라이즈 및 독립 실행형 인증 기관
엔터프라이즈 CA 는 AD DS(Active Directory 도메인 서비스)와 통합되며, 인증서 및 CRL(인증서 해지 목록)을 AD DS에 게시합니다. 사용자 계정 및 보안 그룹을 포함하여 AD DS에 저장된 엔터프라이즈 CA의 사용 정보를 사용하여 인증서 요청을 승인하거나 거부합니다. 엔터프라이즈 CA는 인증서 템플릿을 사용합니다. 인증서가 발급되면 엔터프라이즈 CA에서 인증서 템플릿에 있는 정보를 사용하여 해당 인증서 종류에 적절한 특성으로 인증서를 생성합니다.
자동화된 인증서 승인 및 사용자 인증서 자동 등록을 사용하도록 설정하려면 엔터프라이즈 CA를 사용하여 인증서를 발급하세요. 이러한 기능은 CA 인프라가 Active Directory와 통합된 경우에 사용할 수 있습니다. 또한 이 프로세스를 사용하려면 스마트 카드 인증서가 Active Directory의 사용자 계정에 자동으로 매핑되어야 하므로 스마트 카드 로그인을 사용할 수 있는 엔터프라이즈 CA만 인증서를 발급할 수 있습니다.
독립 실행형 CA는 AD DS가 필요하지 않으며 인증서 템플릿을 사용하지 않습니다. 독립 CA를 사용하는 경우 요청된 인증서 종류에 대한 모든 정보를 인증서 요청에 포함해야 합니다. 기본적으로 독립 CA에 제출된 모든 인증서 요청은 CA 관리자가 승인할 때까지 보류 중인 큐에 유지됩니다. 요청 시 인증서를 자동으로 발급하도록 독립 실행형 CA를 구성할 수 있지만 보안이 떨어지므로 요청이 인증되지 않으므로 권장되지 않습니다.
비 Microsoft 디렉터리 서비스를 사용하거나 AD DS를 사용할 수 없는 경우 독립 실행형 CA를 사용하여 인증서를 발급해야 합니다. 조직에서 엔터프라이즈 및 독립 실행형 인증 기관을 모두 사용할 수 있습니다.
루트 및 하위 인증 기관
엔터프라이즈 및 독립 CA를 루트 CA 또는 하위 CA로 구성할 수 있습니다. 또한 하위 CA를 중간 CA(정책 CA라고도 함)로 추가 구성할 수 있습니다.
루트 CA는 모든 인증서 체인이 종료되는 인증 계층 구조의 맨 위에 있는 CA입니다. 루트 CA 인증서가 클라이언트에 있으면 루트 CA는 무조건 신뢰할 수 있습니다. 엔터프라이즈 CA를 사용하든 독립 CA를 사용하든 루트 CA를 지정해야 합니다.
루트 CA는 인증 계층 구조에서 상위 CA이므로 인증서의 주체 필드에는 발급자 필드와 동일한 값이 있습니다. 마찬가지로, 인증서 체인은 자체 서명된 CA에 도달하면 종료되므로 자체 서명된 CA는 모두 루트 CA입니다. CA를 신뢰할 수 있는 루트 CA로 지정할지는 개별 IT 관리자가 로컬로 결정하거나 엔터프라이즈 수준에서 결정할 수 있습니다.
루트 CA는 인증 기관 트러스트 모델의 기준이 되는 기초 역할을 하며, 주체의 공개 키가 발급한 인증서의 주체 필드에 표시된 ID 정보에 해당함을 보장합니다. 다른 CA는 다른 표준을 사용하여 이 관계를 확인할 수도 있습니다. 따라서 공개 키를 확인하기 위해 해당 기관을 신뢰하도록 선택하기 전에 루트 인증 기관의 정책과 절차를 이해하는 것이 중요합니다.
루트 CA는 계층 구조에서 가장 중요한 CA입니다. 루트 CA가 손상된 경우 계층 구조의 모든 CA와 루트 CA에서 발급된 모든 인증서가 손상된 것으로 간주됩니다. 네트워크 연결이 끊어진 상태에서 하위 CA를 사용하여 다른 하위 CA 또는 최종 사용자에게 인증서를 발급하면 루트 CA의 보안을 극대화할 수 있습니다. 연결이 끊긴 루트 CA를 오프라인 루트 CA라고도 합니다.
루트 CA가 아닌 CA는 하위 CA로 간주됩니다. 계층 구조의 첫 번째 하위 CA는 루트 CA에서 해당 CA 인증서를 가져옵니다. 이 첫 번째 하위 CA에서는 이 키를 사용하여 다른 하위 CA의 무결성을 확인하는 인증서를 발급할 수 있습니다. 이러한 상위 수준의 하위 CA를 중간 CA라고 합니다. 중간 CA는 루트 CA의 하위 CA이지만 하나 이상의 하위 CA에 대한 상위 인증 기관의 역할을 합니다.
중간 CA는 일반적으로 정책을 통해 구분되는 인증서 클래스를 구분하는 데 사용되기 때문에 정책 CA라고도 합니다. 예를 들어 정책 구분에는 CA에서 제공하는 보증 수준 또는 다양한 최종 엔터티 모집단을 구별하는 CA의 지리적 위치가 포함됩니다. 정책 CA는 온라인 또는 오프라인일 수 있습니다.
인증 기관 프라이빗 키
프라이빗 키는 CA ID의 일부이므로 손상되지 않도록 보호해야 합니다. 많은 조직에서 HSM(하드웨어 보안 모듈)을 사용하여 CA 프라이빗 키를 보호합니다. HSM을 사용하지 않으면 프라이빗 키가 CA 컴퓨터에 저장됩니다.
오프라인 CA는 안전한 위치에 저장해야 하며 네트워크에 연결되어 있지 않아야 합니다. 발급 CA에서는 인증서를 발급할 때 자체 프라이빗 키를 사용하므로 CA가 작동 중인 동안 프라이빗 키에 온라인으로 액세스할 수 있어야 합니다. 어떤 경우든 CA와 CA의 프라이빗 키를 물리적으로 보호해야 합니다.
하드웨어 보안 모듈
HSM(하드웨어 보안 모듈)을 사용하면 CA 및 PKI(프라이빗 키 인프라)의 보안을 강화할 수 있습니다.
HSM은 운영 체제와 별도로 관리되는 전용 하드웨어 디바이스입니다. HSM은 서명 및 암호화 작업을 가속화하는 전용 암호화 프로세서 외에도 CA 키에 대한 보안 하드웨어 저장소를 제공합니다. 운영 체제에서는 CryptoAPI 인터페이스를 통해 HSM을 사용하며 HSM은 CSP(암호화 서비스 공급자) 디바이스 역할을 합니다.
HSM은 일반적으로 PCI 어댑터이지만 네트워크 기반 어플라이언스, 직렬 디바이스 및 USB 디바이스로도 사용할 수 있습니다. 조직에서 둘 이상의 CA를 구현하려는 경우 단일 네트워크 기반 HSM을 설치하고 이를 여러 CA에서 공유할 수 있습니다.
HSM에 저장해야 하는 키를 사용하여 CA를 설정하기 전에 HSM을 설치하고 구성해야 합니다.