인증서 및 공개 키
Certificate Services는 정보를 보호하고 인증하는 수단을 제공하는 PKI(공개 키 인프라)의 한 가지 기반입니다. 인증서 소유자, 인증서 소유자의 ID 및 인증서 소유자의 공개 키 간의 관계는 PKI의 중요한 부분입니다. 이 인프라는 다음 부분으로 구성됩니다.
- 퍼블릭/프라이빗 키 쌍
- 인증서 요청
- 인증 기관
- 인증서
- 인증서 해지 목록
- 암호화에 사용되는 공개 키
- 서명 확인에 사용되는 공개 키
- Microsoft Certificate Services 역할
퍼블릭/프라이빗 키 쌍
PKI를 사용하려면 퍼블 릭/프라이빗 키 쌍을 사용해야 합니다. 퍼블릭/프라이빗 키 쌍의 수학은 이 설명서의 scope 벗어나지만 퍼블릭 키와 프라이빗 키 간의 기능 관계를 유의하는 것이 중요합니다. PKI 암호화 알고리즘은 암호화된 메시지 수신자의 공개 키를 사용하여 데이터를 암호화하고 관련 프라이빗 키와 관련 프라이빗 키 만 사용하여 암호화된 메시지의 암호를 해독합니다.
마찬가지로 아래에 자세히 설명된 콘텐츠의 디지털 서명 은 서명자의 프라이빗 키를 사용하여 만들어집니다. 모든 사용자가 사용할 수 있는 해당 공개 키는 이 서명을 확인하는 데 사용됩니다. 프라이빗 키가 손상된 후 프레임워크가 떨어져 있기 때문에 프라이빗 키의 비밀을 유지해야 합니다.
충분한 시간과 리소스가 제공되면 퍼블릭/프라이빗 키 쌍을 손상할 수 있습니다. 즉, 프라이빗 키를 검색할 수 있습니다. 키가 길수록 무차별 암호 대입을 사용하여 프라이빗 키를 검색하기가 더 어려워집니다. 실제로 강력한 키를 사용하여 프라이빗 키를 적시에 확인할 수 없도록 하여 공개 키 인프라를 실행 가능한 보안 메커니즘으로 만들 수 있습니다.
프라이빗 키는 보호된 형식으로 디스크에 저장할 수 있습니다. 이 경우 다른 컴퓨터로 물리적으로 이동하지 않는 한 특정 컴퓨터에서만 사용할 수 있습니다. 대안은 스마트 카드 판독기 및 지원 소프트웨어가 있는 경우 다른 컴퓨터에서 사용할 수 있는 스마트 카드 키를 사용하는 것입니다.
디지털 인증서의 주체에 대한 프라이빗 키가 아닌 공개 키가 인증서 요청의 일부로 포함됩니다. (따라서 인증서를 요청하기 전에 퍼블릭/프라이빗 키 쌍이 있어야 합니다.) 해당 공개 키는 발급된 인증서의 일부가 됩니다.
인증서 요청
인증서를 발급하기 전에 인증서 요청을 생성해야 합니다. 이 요청은 최종 사용자, 컴퓨터 또는 애플리케이션과 같은 하나의 엔터티에 적용됩니다. 토론의 경우 엔터티가 본인이라고 가정합니다. ID의 세부 정보는 인증서 요청에 포함됩니다. 요청이 생성되면 CA( 인증 기관 )에 제출됩니다. 그런 다음 CA는 ID 정보를 사용하여 요청이 인증서 발급에 대한 CA의 기준을 충족하는지 여부를 확인합니다. CA가 요청을 승인하면 요청에서 명명된 엔터티로 인증서를 발급합니다.
인증 기관
인증서를 발급하기 전에 CA는 사용자의 ID를 확인합니다. 인증서가 발급되면 ID가 공개 키를 포함하는 인증서에 바인딩됩니다. 인증서에는 CA의 디지털 서명도 포함되어 있습니다(인증서를 받은 사람은 누구나 확인할 수 있음).
인증서에는 발급 CA의 ID가 포함되어 있으므로 이 CA를 신뢰하는 이해 당사자는 해당 트러스트를 인증서로 확장할 수 있습니다. 인증서 발급은 신뢰를 설정하지 않지만 트러스트를 전송합니다. 인증서 소비자가 발급 CA를 신뢰하지 않는 경우 인증서를 신뢰하지 않거나 적어도 신뢰하지 않아야 합니다.
서명된 인증서 체인을 사용하면 트러스트도 다른 CA로 전송할 수 있습니다. 이렇게 하면 다른 CA를 사용하는 당사자가 인증서를 계속 신뢰할 수 있습니다(체인에 공통 CA가 있는 경우, 즉 양 당사자가 신뢰하는 CA인 경우).
인증서
발급된 인증서에는 공개 키 및 발급 CA의 ID 외에도 키 및 인증서의 목적에 대한 정보가 포함됩니다. 또한 CA의 해지된 인증서 목록에 대한 경로를 포함하고 인증서 유효 기간(시작 및 종료 날짜)을 지정합니다.
인증서 소비자가 인증서의 발급 CA를 신뢰한다고 가정하면 인증서 소비자는 인증서의 시작 날짜와 종료 날짜를 현재 시간과 비교하고 CA의 해지된 인증서 목록에 없는지 확인하여 인증서가 여전히 유효한지 여부를 결정해야 합니다.
인증서 해지 목록
인증서가 유효한 기간에 사용되고 인증서 소비자가 발급 CA를 신뢰한다고 가정하면 인증서를 사용하기 전에 인증서 소비자가 검사 항목은 CRL(인증서 해지 목록)입니다. 인증서 소비자는 CA의 CRL(인증서에 확장으로 포함된 경로)을 확인하여 인증서가 해지된 인증서 목록에 없는지 확인합니다. CRL은 인증서가 만료되지 않았지만 더 이상 신뢰할 수 없는 경우가 있기 때문에 존재합니다. CA는 주기적으로 업데이트된 CRL을 게시합니다. 인증서 소비자는 신뢰할 수 있는 인증서를 고려하기 전에 인증서를 현재 CRL과 비교할 책임이 있습니다.
암호화에 사용되는 공개 키
보낸 사람에게 보내기 전에 메시지를 암호화하려는 경우 보낸 사람 먼저 인증서를 검색합니다. 보낸 사람에서 CA가 신뢰할 수 있고 인증서가 유효하고 해지되지 않았다고 판단한 후 발신자는 암호화 알고리즘과 함께 공개 키(인증서의 일부임)를 사용하여 일반 텍스트 메시지를 암호 텍스트로 암호화합니다. 암호 텍스트를 받으면 프라이빗 키를 사용하여 암호 해독합니다.
타사에서 암호 텍스트 전자 메일 메시지를 가로채면 타사에서 프라이빗 키에 액세스하지 않고는 암호를 해독할 수 없습니다.
여기에 나열된 대부분의 활동은 사용자가 직접 처리하는 것이 아니라 소프트웨어에 의해 처리됩니다.
서명 확인에 사용되는 공개 키
디지털 서명은 메시지가 변경되지 않았다는 확인과 메시지 보낸 사람의 ID 확인으로 사용됩니다. 이 디지털 서명은 프라이빗 키 및 메시지 내용에 따라 달라집니다. 메시지를 입력 및 프라이빗 키로 사용하여 암호화 알고리즘은 디지털 서명을 만듭니다. 메시지의 내용은 서명 프로세스에 의해 변경되지 않습니다. 받는 사람은 공개 키를 사용하여(인증서의 유효성을 확인한 후 CA 발급 및 해지 상태) 서명이 메시지 내용에 해당하는지 여부를 확인하고 사용자가 메시지를 보냈는지 여부를 확인할 수 있습니다.
제3자가 의도한 메시지를 가로채고 변경하고(약간이라도) 받는 사람에게 원래 서명을 전달하면 받는 사람은 메시지와 서명을 검사할 때 메시지가 의심되는지 확인할 수 있습니다. 마찬가지로, 타사에서 메시지를 만들고 사용자가 보낸 것으로 가장하여 가짜 디지털 서명으로 보내는 경우 수신자는 공개 키를 사용하여 메시지와 서명이 서로 일치하지 않는지 확인할 수 있습니다.
비준수 는 디지털 서명에서도 지원됩니다. 서명된 메시지의 보낸 사람이 메시지 전송을 거부하는 경우 받는 사람은 서명을 사용하여 해당 클레임을 반박할 수 있습니다.
여기에 나열된 대부분의 활동도 사용자가 직접 처리하는 것이 아니라 소프트웨어에 의해 처리됩니다.
Microsoft Certificate Services 역할
Microsoft Certificate Services는 인증서 요청자의 ID를 보장하는 정책 모듈의 지시에 따라 인증서를 발급하거나 인증서 요청을 거부하는 역할을 합니다. 인증서 서비스는 인증서를 해지하고 CRL을 게시하는 기능도 제공합니다. 인증서 서비스는 발급된 인증서를 중앙에서 배포(예: 디렉터리 서비스)할 수도 있습니다. CRL 게시와 함께 인증서를 발급, 배포, 해지 및 관리하는 기능은 공개 키 인프라에 필요한 기능을 제공합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기