OCSP 구성
"OCSP 구성" 페이지에는 CDS(인증서 데이터 저장소)의 OCSP 응답자 구성이 표시됩니다. 이 페이지에서 OCSP 구성을 추가할 수 있습니다.
casso126kkr
HID_ocsp-list-and-config
"OCSP 구성" 페이지에는 CDS(인증서 데이터 저장소)의 OCSP 응답자 구성이 표시됩니다. 이 페이지에서 OCSP 구성을 추가할 수 있습니다.
2
OCSP 구성 목록
이 대화 상자에는 다음 정보가 포함되어 있습니다.
OCSP 구성 필터링
OCSP 구성 목록에 표시되는 내용을 제한할 수 있습니다. 옵션 집합을 기준으로 필터링하여 검색을 정의할 수 있습니다.
다음을 기준으로 필터링할 수 있습니다.
- 별칭
- 응답자
- 응답자 별칭
- 서명 별칭
검색 필터를 지정하려면
- "OCSP 구성" 대화 상자에서 시작합니다.
- "OCSP 구성 필터링" 섹션에서 다음 지침에 따라 검색을 구성하십시오.
- "검색 대상" 필드에서 검색할 항목을 선택합니다.
- 가운데 필드의 풀다운 메뉴에서 연산자를 선택합니다.
- 세 번째 필드에 따옴표로 묶지 않은 문자열을 입력합니다. 이 문자열은 검색 필터 값입니다.중요!전체 목록을 검색하려면 세 번째 필드를 비워 두십시오. <ANY> 또는 별표(*)를 입력할 수도 있습니다. 별표는 포함된 와일드카드 문자로 사용할 수 없습니다. 예를 들어 별표를 단독으로 입력할 수는 있지만partner*를 값으로 입력할 수 없습니다.
- "실행"을 클릭하여 검색을 시작합니다.
OCSP 구성 목록
이 목록에는 CDS에서 사용할 수 있는 OCSP 응답자가 모두 표시됩니다. 다음 열은 특히 주의하십시오.
- 별칭목록 항목과 연결된 별칭을 표시합니다.
- 응답자OCSP 응답자의 이름을 나열합니다.
목록 항목 보기/수정/삭제
목록에서 선택한 다음 "작업" 메뉴에서 옵션을 선택하여 항목을 보거나 수정하거나 삭제하십시오.
OCSP 응답자 구성
"OCSP 구성 추가" 대화 상자에서는 OCSP 응답자 항목을 CDS에 추가할 수 있습니다.
이 대화 상자에는 다음 설정이 포함되어 있습니다.
- 발급자 별칭OCSP 서비스를 제공하는 인증 기관 인증서의 별칭입니다.
- HTTP 프록시 사용(선택 사항) OCSP 요청을 웹 서버가 아니라 프록시 서버로 전송하도록 정책 서버에 지시합니다. 이 옵션을 선택하면 다음 필드가 나타납니다.
- HTTP 프록시 위치- 프록시 서버의 URL을 지정합니다. 이 값은 HttpProxyEnabled가 YES로 설정된 경우에만 필요합니다. http://로 시작하는 URL을 입력하십시오.참고:https://로 시작하는 URL을 입력하지 마십시오.
- HTTP 프록시 사용자 이름- 프록시 서버에 대한 로그인 자격 증명입니다. 이 사용자 이름은 유효한 프록시 서버 사용자의 이름이어야 합니다. 영숫자 문자열을 입력하십시오.
- HTTP 프록시 암호- 프록시 서버 사용자 이름의 암호입니다. 이 암호는 프록시 사용자 구성에 포함된 유효한 항목이어야 합니다. 영숫자 문자열을 입력하십시오.
- 유예 기간(선택 사항) 인증서 해지 후 무효화를 지연할 기간(일)을 지정합니다. OCSP 유예 기간은 구성이 갑자기 중지되지 않도록 사용자에게 인증서를 업데이트할 시간을 부여합니다. 이 필드를 0으로 설정하면 해지된 인증서가 즉시 무효화됩니다.값을 지정하지 않으면 시스템은 CDS 설정의 기본 해지 유예 기간 설정을 사용합니다.
- 보조 발급자 DN(선택 사항) CA 인증서 발급자에 대한 보조 발급자 DN 또는 리버스 DN을 지정합니다.
- Nonce 확장 무시(선택 사항) 이 확인란을 선택하면 OCSP 요청에 nonce를 포함하지 않도록 시스템에게 지시합니다. nonce(한 번 사용되는 숫자)는 고유한 숫자입니다. 이 숫자는 응답이 재사용되는 것을 방지하기 위해 인증 요청에 가끔 포함됩니다.
- AIA 확장 사용(선택 사항) 시스템이 유효성 검사 정보를 찾기 위해 인증서의 AIA(Authority Information Access) 확장을 사용하는지 여부를 지정합니다."AIA 확장 사용" 또는 "응답자 위치" 설정을 사용할 수 있지만 다음 사항에 유의하십시오.
- "AIA 확장 사용" 설정을 선택할 경우 "응답자 위치"가 구성되지 않았으면 시스템은 인증서의 "AIA 확장"을 유효성 검사에 사용합니다. 확장은 인증서에 있어야 합니다.
- "AIA 확장 사용" 설정 및 "응답자 위치" 설정 모두에 값이 있는 경우 시스템은 유효성 검사에 "응답자 위치"를 사용합니다. "응답자 위치" 설정은 "AIA 확장 사용" 설정보다 우선 순위가 높습니다.
- "AIA 확장 사용" 설정이 선택되지 않으면 시스템은 "응답자 위치" 설정을 사용합니다. AIA 확장이 있으면 시스템은 이를 무시합니다.
- 응답자 위치(선택 사항) OCSP 응답자 서버의 위치를 나타냅니다."응답자 위치" 설정 또는 "AIA 확장 사용" 설정을 사용할 수 있지만 다음 조건에 유의하십시오.
- "응답자 위치" 설정이 비어 있는 경우 "AIA 확장 사용" 설정을 사용하십시오. 또한 AIA 확장이 인증서에 있어야 합니다.
- "응답자 위치" 설정에 값이 있고 "AIA 확장 사용"이 선택된 경우, 시스템은 유효성 검사에 "응답자 위치"를 사용합니다. "응답자 위치" 설정은 "AIA 확장 사용" 설정보다 우선 순위가 높습니다.
- 이 설정에 대해 지정된 OCSP 응답자가 중지되고 "AIA 확장 사용" 설정이 선택된 경우 인증이 실패합니다. 시스템은 인증서의 AIA 확장에 지정된 응답자를 시도하지 않습니다.
응답자 서버의 URL 및 포트 번호를 입력하십시오. - 응답자 인증서 별칭(페더레이션에만 필요). OCSP 응답의 서명을 확인하는 인증서의 별칭 이름을 지정합니다. 시스템이 응답 서명 유효성 검사를 수행하도록 하려면 이 설정에 대한 별칭을 지정하십시오. 그렇게 하지 않으면 CA 발급자가 사용할 수 있는 OCSP 구성이 없습니다.참고:시스템은 X.509 인증서 인증에 이 설정을 사용하지 않습니다.별칭 이름을 지정하는 문자열을 입력하십시오.
- 서명된 요청 사용(선택 사항) 생성된 OCSP 요청에 서명하도록 시스템에게 지시합니다. 서명 기능을 사용하려면 이 확인란을 선택하십시오.이 값은 사용자 인증서 서명과 별개이며 OCSP 요청에만 사용됩니다.이 설정은 OCSP 응답자가 서명된 요청을 요구하는 경우에만 필요합니다. 이 옵션을 선택하면 다음 필드가 나타납니다.
- 서명 별칭- OCSP 응답자에 전송되는 OCSP 요청에 서명하는 키/인증서 쌍의 별칭을 지정합니다. 이 키/인증서 쌍은 CDS에 있어야 합니다. 소문자 ASCII 영숫자 문자를 사용하여 별칭을 입력하십시오.
- 서명 다이제스트선택 사항입니다. 정책 서버가 OCSP 요청에 서명할 때 사용하는 알고리즘을 지정합니다. 이 설정은 대/소문자를 구분하지 않습니다.SHA1, SHA224, SHA256, SHA384, SHA512 중 옵션 하나를 입력하십시오.기본값:SHA1
- 인증서 유효성 장애 조치 사용(선택 사항) OCSP 및 CRL 인증서 유효성 검사 방법 간에 장애 조치를 수행하도록 시스템에 지정합니다. 이 옵션을 선택하면 다음 필드가 표시됩니다.
- 기본 유효성 검사 방법- 정책 서버가 인증서의 유효성을 검사하기 위해 사용할 기본 방법을 OCSP 또는 CRL 중에서 지정합니다. OCSP 또는 CRL을 선택하십시오.기본값:OCSP