Private CA 개념

Classic/VPC 환경에서 이용 가능합니다.

현대 암호 시스템에서 공개키 기반의 인증서 시스템은 다양한 방면에서 활용되고 있습니다. 암호화 통신인 HTTPS 웹 서비스를 위한 기반 기술인 SSL/TLS는 공개키 기반 인증서 시스템의 대표적인 예입니다. 또한 금융 서비스나 전자 결재 시 본인 인증을 위한 전자 서명 기술도 있습니다.
이렇게 다방면으로 사용되는 인증서는 발급과 사용에는 지속적으로 유효성을 보장하고 관리하는 기능이 필수적으로 요구됩니다. 이 역할은 인증 기관 (Certificate Authority, CA)이 담당합니다. CA는 안전한 인증서 관리를 위한 다양한 표준과 권고 사항에 대한 요구를 만족시킬 수 있어야 하며 인증서 발급과 조회, 폐기 등에 대한 다양한 기능을 제공할 수 있어야 합니다.
범용적인 네트워크 환경에서 이용되는 공인 인증서와는 달리 제한적인 범위 내에서는 사설 인증서를 사용하는 것이 효율적이고 보안에도 유리합니다. 네트워크 신뢰 범위 (Network Trust Boundary)를 정의할 때 사설 인증서를 이용하면 손쉽게 신뢰 범위 내 개체를 식별하고 인증할 수 있습니다. 전용 가상 네트워크 내 서버나 IoT 디바이스의 암호화된 채널에서도 효과적으로 사용될 수 있습니다. 다만 앞서 언급한 것과 같이 인증서를 발급하고 관리하는 CA는 다양한 요구사항을 충족할 수 있어야 하기 때문에 사설 인증서를 안전하게 활용하기 위한 사설 CA의 구축과 운영은 다소 까다로울 수 밖에 없습니다.
하지만 아무리 까다로운 과정일지라도 네이버 클라우드 플랫폼의 Private CA를 사용한다면 표준에 기반한 사설 CA 구축과 운영을 큰 비용 없이 안정적으로 진행할 수 있습니다.

Private CA는 손쉽게 계층적인 사설 CA 구조를 구축할 수 있습니다. 또한 CA 개인키는 Key Management Service를 통해 안전하게 보호됩니다. 사설 인증서를 쉽게 발급하고 폐기 목록을 관리할 수 있는 기능과 인증서를 확인하고 조회할 수 있는 다양한 기능도 제공합니다.

Private CA 리소스 구조

Private CA에 대한 이해를 돕도록 Private CA의 리소스인 CA 계층 구조를 살펴 보겠습니다. CA 계층 구조는 크게 사설 루트 CA, 사설 중간 CA, 사설 인증서 등으로 구성됩니다. Private CA에서는 생성한 CA를 관리하고 운영합니다. CA 리소스 구조를 도식화하여 각 구성 항목별로 설명하면 다음과 같습니다.

• 사설 루트 CA: 최상위 계층에 위치하여 루트 CA의 역할을 수행하는 CA이며, 중간 CA 인증서를 발급할 수 있습니다.
• 고객 관리 사설 루트 CA: 고객이 직접 관리하는 루트 CA를 이용할 수 있습니다. 이 경우 Private CA에 생성되는 중간 CA의 인증서를 고객 소유의 루트 CA 비밀키로 서명하여 등록할 수 있습니다. 자세한 내용은 Private CA 사용의 사설 CA 생성에서 중간 CA를 직접 서명 방식으로 생성하는 방법을 참고해 주십시오.
• 사설 중간 CA: 중간 계층의 CA입니다. 기능은 루트 CA와 동일하기 때문에 CA 인증서를 서명하여 하위 계층 구조를 구성할 수 있습니다.
• 사설 인증서: Private CA에서 관리되는 CA로 발급되는 인증서입니다.

Private CA 상태

Private CA의 리소스인 CA는 생성부터 최종 폐기까지 일련의 상태를 가지며 동작합니다. CA 상태에 따라 Private CA에서 사용할 수 있는 기능도 달라집니다. CA 각 상태를 도식화하여 각 상태별로 설명하면 다음과 같습니다.

• 활성: CA의 모든 기능을 사용할 수 있는 정상 운영 상태입니다.
• 비활성: CA의 조회 기능을 제외한 모든 기능 이용이 중지된 상태입니다. 발급된 인증서에 대한 유효성 검증은 처리할 수 있지만 새로운 인증서를 발급을 포함하여 CA 체인 요청이나 CRL, OCSP 등의 모든 기능은 일시적으로 사용할 수 없습니다.
• 등록 대기: 직접 서명 방식으로 생성한 CA에 인증서가 등록되기 전 상태입니다. 생성 시점으로부터 24시간 내에 서명된 인증서가 등록되지 않으면 CA는 자동 삭제됩니다.
• 만료됨: CA 인증서 유효 기간이 종료된 상태입니다. 만료된 CA는 더 이상 사용할 수 없으며 사용자 확인 후 영구 삭제가 가능합니다.
• 삭제 예정: 사용자에 의해 삭제 요청이 인입되어 자동으로 완전 삭제되기까지 72시간 동안 대기 중인 상태입니다. 삭제 예정은 취소가 가능하며, 대기 시간 없이 바로 삭제도 가능합니다.
• 완전 삭제: Private CA에서 완전하게 폐기 처리된 상태입니다. 개인키가 영구 삭제됐으므로 복구가 불가능합니다.

Private CA 권한 관리

Private CA 리소스 구조를 체계적으로 설계하고 CA 상태를 이해했더라도 철저한 보안에 입각하여 관리·운영되지 않는다면 의미가 없습니다. 사설 CA와 인증서는 보안을 유지하여 안전하게 운영되어야 하는 만큼 Private CA에서는 네이버 클라우드 플랫폼의 Sub Account에서 제공하는 서브 계정과 Private CA의 개별 사용자 권한 관리 기능을 활용하여 관리자 및 사용자 권한을 설정할 수 있습니다. 설정한 권한 범위 내에서 관리자와 사용자는 Private CA가 제공하는 기능을 이용하게 됩니다.
관리자 권한은 Private CA 내 CA 리소스 전체를 사용하고 관리할 수 있으며, Sub Account에서 설정합니다. 개별 사용자 권한은 할당된 CA만 사용하고 관리할 수 있으며, Private CA에서 [권한 관리] 버튼을 클릭하여 설정합니다. Private CA 권한 관리 내용을 도식화하면 다음과 같습니다.

다음 단계

Private CA 사용을 위한 개념 이해 과정을 모두 완료했습니다. Private CA 시나리오로 이동하여 Private CA가 제공하는 다양한 기능을 사용하는 전체 순서를 학습해 보십시오.

• 추천 경로
  • Private CA 사용 순서를 확인하려는 경우: Private CA 시나리오로 이동
  • Private CA 개념 이해를 보완하려는 경우: Private CA 용어로 이동