X.509 클라이언트 인증서 인증 체계

X.509 V3 클라이언트 인증서를 구성할 수 있습니다. 클라이언트에 인증서가 설치되어 있으면 이 인증서를 사용하여 리소스를 요청하는 사용자의 아이덴티티를 확인할 수 있습니다. 인증서 인증에는 SSL 통신이 사용되며 인증서 인증과 기본 인증을 함께 사용하면 보다 높은 수준의 액세스 보안이 가능합니다.
sm1252sp1kkr
X.509 V3 클라이언트 인증서를 구성할 수 있습니다. 클라이언트에 인증서가 설치되어 있으면 이 인증서를 사용하여 리소스를 요청하는 사용자의 아이덴티티를 확인할 수 있습니다. 인증서 인증에는 SSL 통신이 사용되며 인증서 인증과 기본 인증을 함께 사용하면 보다 높은 수준의 액세스 보안이 가능합니다.
참고:
인증서 전용 인증 체계의 경우 인증 및 권한 부여 시도에 실패하면 웹 에이전트가 HTTP 오류 403(액세스 거부됨/사용 권한 없음)을 반환합니다. 웹 에이전트에서는 사용자에게 새 인증서를 요청할 수 없기 때문입니다.
X.509 클라이언트 인증서 인증 체계는 인증서 인증을 구현합니다. X.509 클라이언트 인증서 인증을 사용하려면 사용 환경에서 SSL 통신을 처리할 수 있어야 합니다. 즉, 클라이언트 브라우저, 웹 서버 및 사용자 인증서가 인증서 인증을 수락하고 이를 수행하도록 구성되어 있어야 합니다. 이러한 태스크는 정책 서버 구성 범위를 벗어납니다.
필요한 SSL 구성 요소가 올바르게 설정된 후 X.509 인증 체계를 구성하십시오. 구성 태스크는 다음을 포함합니다.
  • 웹 에이전트 구성 마법사를 실행할 때 고급 SSL 인증 체계를 선택합니다.
  • 관리 UI를 사용하여 X.509 인증 체계 중 하나를 구성합니다.
X.509 클라이언트 인증서 인증 체계는 다음 태스크를 수행합니다.
  • 클라이언트 인증서 정보를 수집합니다.
  • 사용자 인증서의 정보를 기반으로 디렉터리의 사용자를 식별합니다. 이 프로세스를
    인증서 매핑
    이라고 합니다.
  • 필요한 경우 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜)를 사용하여 인증서가 유효한지 여부를 확인합니다.
2
인증서 인증을 위한 인증서 추출
사용자가 보호된 리소스를 요청할 경우 웹 에이전트는 먼저 정책 서버에 연결하여 해당 리소스를 보호하는 데 사용되고 있는 인증 체계를 확인합니다. X.509 인증 체계로 리소스를 보호하고 있는 경우 웹 에이전트는 구성된 인증 체계에 해당하는 자격 증명 수집기로 사용자의 브라우저를 리디렉션합니다. 자격 증명 수집기의 경로는 인증 체계 구성에 정의되어 있습니다.
자격 증명 수집기에 대한 연결은 SSL 보안 연결이며 웹 서버는 클라이언트 인증서를 요청하도록 구성되어 있습니다. 따라서 인증을 위해서는 브라우저가 클라이언트 인증서를 제출해야 합니다. 자격 증명 수집기 URL의 끝에 있는 리소스 이름 및 확장명은 웹 에이전트가 웹 서버에서 사용자 인증서를 추출하도록 지시합니다. 그러면 웹 에이전트는 인증 체계에서 사용할 수 있도록 인증서를 정책 서버에 전달합니다.
CA Single Sign-on
이 인증서 데이터를 사용하여 사용자를 식별하는 방식
웹 에이전트는 인증서 정보를 수집한 후 확인을 위해 이 데이터를 정책 서버에 전달합니다. 그러면 정책 서버는 인증서 매핑을 수행합니다. 인증서 매핑의 목적은 사용자 인증서의 주체 이름으로 사용자를 찾는 데 있습니다.
먼저 정책 서버는 정책 저장소에서 적절한 인증서 매핑을 조회합니다. 정책 서버는 인증서 발급자 DN을 사용하여 이 매핑을 찾습니다. 발급자 DN은 인증서 매핑 구성의 일부입니다. 정책 서버는 매핑을 찾은 후 인증서의 주체 이름을 가져오고 매핑을 적용하여 사용자 디렉터리에서 사용자 항목을 찾습니다.
정책 서버는 다음 저장소에 저장된 사용자 인증서에만 액세스할 수 있습니다.
  • LDAP/AD 사용자 디렉터리
  • ODBC 저장소
중요!
모든 X.509 클라이언트 인증서 인증 체계에 대해 인증서 매핑을 구성해야 합니다.
X.509 클라이언트 인증 체계 사전 요구 사항
X.509 클라이언트 인증서 인증 체계를 구성하기 전에 다음 사전 요구 사항을 충족하십시오.
  • SSL 웹 서버에 X.509 서버 인증서를 설치합니다. 인증서가 만료되지 않았는지 확인합니다.
    참고:
    정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
  • 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원하는지 확인합니다.
  • 클라이언트 브라우저용 X.509 클라이언트 인증서가 설치되어 있는지 확인합니다. 인증서가 만료되지 않았는지 확인합니다.
X.509 인증서 인증 체계 구성
SSL 환경 설정 외에, 다음 프로세스를 완료하여 인증서 인증을 구성합니다.
  1. SSL 통신을 처리하도록 사용자 환경을 설정합니다. 클라이언트 브라우저, 웹 서버 및 모든 사용자 인증서가 인증서 인증을 허용하고 수행하도록 구성합니다.
  2. 설치된 웹 에이전트가 SSL 인증을 처리할 수 있는지 확인합니다.
  3. 관리 UI에서 X.509 인증 체계를 구성합니다.
  4. 클라이언트 인증서의 정보를 기반으로 하는 사용자를 식별하기 위한 인증서 매핑을 정의합니다.
  5. (선택 사항) CRL 또는 OCSP를 사용하여 인증서 유효성 검사를 구성합니다.
    참고:
    다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
    "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  4. "확인"을 클릭합니다.
  5. 이름 및 보호 수준을 입력합니다. 
  6. "인증 체계 유형" 목록에서 "X.509 클라이언트 인증서 템플릿"을 선택합니다. 
  7. SSL 자격 증명 수집기에 대한 서버 이름 및 대상 정보를 입력합니다. 
  8. (선택 사항) "체계 설정"에서 "인증 세션 변수 유지"를 선택합니다. 이 옵션은 인증 컨텍스트 데이터를 나중에 인증 결정에 사용할 수 있도록 세션 저장소에 저장하도록 지정합니다.
  9. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.
X.509 인증서 인증 체계가 관리 UI에 구성되었습니다. 이제 인증서 매핑을 설정합니다.