Private CA 용어

Classic/VPC 환경에서 이용 가능합니다.

Private CA를 사용하기 위해 반드시 알아두어야 할 몇 가지 용어가 있습니다. 용어와 용어에 대한 설명은 다음과 같습니다.

CA 계층 구조

CA가 인증서 관리 업무를 처리할 때 CA 자신의 인증서를 이용하며, 인증서 발급자(Issuer)는 인증서를 서명한 CA가 되고 CA 인증서 역시 다른 CA로부터 발급될 수 있는데 이 때 형성되는 계층 구조. 상위 계층 CA는 하위 계층 CA 인증서의 발급자 역할 수행

OCSP (Online Certificate Status Protocol)

인증서의 유효성을 검증하기 위해 CRL을 직접 다운로드하여 조회하는 대신 해당 인증서의 상태를 빠르게 조회할 수 있는 온라인 인증서 상태 프로토콜로 특정 CA의 발급 인증서들을 대상으로 만료 여부만을 주기적으로 갱신하여 상태를 유지

X.509

PKI 기반의 인증서 표준. 인증서와 인증서 폐기 목록(CRL)의 기본 필드와 확장 필드로 구성된 프로파일을 정의한 규격

고객 관리 사설 루트 CA

고객이 직접 관리하는 루트 CA. Private CA에 생성되는 중간 CA의 인증서를 고객 소유의 루트 CA 비밀키로 서명하여 등록 가능

공개키 기반 구조 (Public Key Infrastructure, PKI)

인증서는 공개키 암호 시스템을 기반으로 생성된 사용자의 키 쌍(Key pair) 중 공개키로 작성된 인증서 서명 요청(CSR)을 CA가 서명함으로써 발급되고, 안전한 인증 체계를 위해 인증서 발급 외에도 배포와 관리, 저장 및 폐기 등의 과정이 추가로 필요한데 이를 위한 인적 자원, 물리적 자원 뿐 아니라 정책과 절차 등을 포괄적으로 정의한 복합적 보안 시스템 환경. PKI에서 CA는 엄격한 기준에 따라 인증서의 발급 및 폐기를 담당하게 되며 실제로는 인증서 발행을 대행하는 기관인 Registration Authority(RA)가 사용자 신원 확인 및 발급 업무를 대행하는 사례도 존재 <예시> 금융 기관에서 사용자 인증을 위해 공인 인증서를 이용하는 경우 해당 금융 기관은 공인 CA의 RA로써 사용자 공인인증서 발급을 대행

공인 인증서

법적으로 인가받은 공인 CA. 엄격한 절차를 거쳐 발급된 공인 인증서는 별다른 추가 설정 없이 SSL/TLS나 전자 서명을 통한 사용자 인증에 사용 가능

리소스

Private CA에서 CA를 의미

발급자 (Issuer Chain)

인증서를 발급한 주체

발급자 체인 (Issuer Chain)

CA 자신과 자신을 중심으로 상·하위 계층에 위치하는 모든 인증서의 계층 구조

사설 루트 CA

CA 계층 구조에서 최상위 계층에 위치하여 루트의 역할을 수행하는 CA. 중간 CA 인증서 발급 가능

사설 인증서

Private CA에서 관리하는 사설 CA로 발급되는 인증서. 사설 인증서를 이용하여 SSL/TLS나 전자 서명을 사용하려면 사설 CA를 신뢰 체인에 추가하는 등 추가 설정 필요

사설 중간 CA

CA 계층 구조에서 중간 계층에 위치하는 CA. 기능 자체는 루트 CA와 동일하며, CA 인증서를 서명하여 하위 계층 구조 구성 가능

신뢰 체인 (Trust chain)

현존하는 운영체제와 웹 브라우저에서 여러 공인 루트 CA의 인증서를 기본적으로 탑재하고 있는 구조. 신뢰 체인에 포함된 루트 CA(또는 그 하위 CA)로부터 발급된 인증서를 사용한다면 HTTPS(SSL/TLS를 이용한 안전한 웹 서비스를 보장하는 프로토콜) 통신 이용 가능

인증 기관 (Certificate Authority, CA)

인증서 발급 주체. 인증서 소지자의 신원을 보증하는 역할 뿐 아니라 발급한 인증서의 유효성을 지속적으로 관리하기 위하여 갱신 및 폐기 등 전반적인 인증서 관리 역할도 수행

인증서

여러 메시지를 주고받는 네트워크 시스템에서는 다양한 요청과 응답을 처리하기 위해 접속을 시도하는 원격의 사용자에 대한 확인(사용자 인증)과 전송된 메시지에 대한 무결성을 검증(메시지 인증)하는 핸드셰이크 과정에 사용되는 주체. 인증서를 통해 사용자임을 증명하는 전자 서명이 가능하며 안전한 네트워크 암호화 채널(SSL/TLS) 구성 가능

인증서 고유 이름 (Distinguished Names, DN)

X.509 인증서에 명시되는 주체 식별자. 네트워크상에서 특정 주체(사용자, 디바이스, 애플리케이션, 서비스 등)를 식별하기 위해 정의한 표준인 X.500에 기반하며 다음과 같은 항목을 일반 필드로 포함

• Common Name (CN): 주체(발급자)의 일반 이름
• Organization (O): 주체(발급자)가 속한 조직 또는 회사
• Organization Unit (OU): 주체(발급자)가 속한 조직 또는 회사의 부서
• Country (C): 주체(발급자)의 국가
• State/Province (S): 주체(발급자)의 지역(도, 주)
• Locality (L): 주체(발급자)의 도시

인증서 폐기 목록 (Certificate Revocation List, CRL)

인증서의 유효기간 만료로 폐기된 것이 아니라 아닌 다른 사유로 폐기된 인증서 목록. 인증서 폐기 목록은 주기적으로 갱신하여 인증서의 유효성을 검증하는 역할을 수행

주체 대체 이름 (Subject Alternative Name, SAN)

DN 이외에 주체를 식별하는 부가적인 정보로 X.509 인증서의 확장 필드로 구성. DNS 네임이나 IP 주소, 이메일 주소 필드가 포함될 수 있으며 FQDN 형태로 여러 대상(멀티 도메인) 명시 가능