인증서 해지 목록 유효성 검사

CRL(인증서 해지 목록)은 디지털로 서명된 해지된 인증서 목록으로, 해당 인증서를 발급한 CA(인증 기관)에서 게시합니다. 인증서를 CRL과 비교하면 인증서가 유효한지 여부를 확인할 수 있습니다.
casso127kkr
CRL(인증서 해지 목록)은 디지털로 서명된 해지된 인증서 목록으로, 해당 인증서를 발급한 CA(인증 기관)에서 게시합니다. 인증서를 CRL과 비교하면 인증서가 유효한지 여부를 확인할 수 있습니다.
정책 서버 인증서 매핑에 구성한 각 발급자 DN마다 CRL을 하나씩 사용할 수 있습니다.
정책 서버는 다음 중 한 가지 방법으로 CRL을 가져옵니다.
  • LDAP 디렉터리에서 CRL을 가져옵니다.
    정책 서버는 CRL 구성 시 지정한 LDAP 디렉터리에 대한 연결을 설정할 수 있습니다. 정책 서버는 해당 디렉터리에서 CRL을 가져옵니다.
    LDAP 디렉터리에는 여러 CRL이 있을 수 있지만 각 인증서 매핑은 해당 매핑의 진입점으로 식별된 CRL 하나만 참조할 수 있습니다. 따라서 각 CRL마다 진입점이 달라야 합니다.
    참고:
    정책 서버는 모든 사유 코드가 포함된 CRL만 수락하고 특정 사유 코드만 포함된 CRL은 거부합니다.
  • CRL 배포 지점 확장(CDP)이 지정하는 위치에서 CRL을 검색합니다.
    사용자 인증서에는 배포 지점 확장이 포함될 수 있습니다. CDP 확장은 CRL을 가져올 수 있는 위치를 가리킵니다. 정책 서버는 한 CRL에 대한 단일 항목이나 서로 다른 여러 CRL에 대한 여러 포인터가 있는 배포 지점 확장을 지원합니다.
    배포 지점에서는 HTTP, HTTPS, LDAP 등의 다양한 원본을 사용할 수 있습니다. CDP 확장에 여러 값을 갖는 배포 지점 이름을 사용하는 항목이 포함되어 있는 경우 이러한 값은 모두 동일한 CRL을 가리켜야 합니다.
정책 서버는 CRL을 가져온 후 필요한 검사를 수행할 수 있습니다. 관리 UI에서 CRL 캐싱이 사용되도록 설정한 경우 정책 서버는 CRL을 메모리에 저장할 수 있습니다. 캐싱이 사용되도록 설정하지 않을 경우 정책 서버는 인증 요청이 있을 때마다 외부에서 CRL을 가져와야 합니다.
CRL에 대한 사유 코드 요구 사항
정책 서버는 가능한 모든 사유 코드에 대한 해지 정보가 포함된 CRL만 지원합니다. CRL에 일부 사유 코드와 관련하여 해지된 인증서만 포함된 경우 정책 서버는 오류를 생성하고 해당 CRL을 유효하지 않은 것으로 처리합니다. 정책 서버는 유효하지 않은 CRL을 무시하고 유효한 CRL을 찾을 때까지 사용 가능한 CRL을 계속 찾습니다.
정책 서버는
델타
CRL을 유효하지 않은 CRL로 처리합니다. 델타 CRL에는 CA가 전체 CRL을 발급한 후 해지 상태가 변경된 인증서만 나열됩니다. 정책 서버는 델타 CRL을 무시하고 유효한 CRL을 찾을 때까지 사용 가능한 CRL을 계속 찾습니다.
사용 가능한 모든 CRL을 검색한 후에도 유효한 CRL을 찾지 못할 경우에는 정책 서버가 사용자를 인증하지 않습니다.
CRL 크기 제한
정책 서버는 CRL을 캐시합니다. 정책 서버의 기본 캐시 크기는 최대 2 MB입니다. CRL이 기본 캐시 크기를 초과할 경우 캐시 크기를 최대 1 GB로 늘리십시오. 캐시 크기를 늘리려면 MaxCRLBufferMB 레지스트리 키를 추가합니다.
다음 단계를 수행하십시오.
  1. 정책 서버에 액세스한 후 사용 중인 운영 체제 플랫폼에 해당하는 단계를 수행합니다.
    Windows:
    레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\Software\Netegrity\SiteMinder\CurrentVersion\PolicyServer로 이동합니다.
    UNIX:
    sm.registry 파일을 엽니다. 이 파일의 기본 위치는
    siteminder_home
    /registry입니다.
    siteminder_home
    은 정책 서버 설치 경로입니다.
  2. 레지스트리 값 종류를 REG_DWORD로 지정하여 MaxCrlBufferMB를 추가합니다.
    측정 단위:
    MB
    기준:
    10진수
    기본값
    : 2
    최소값:
    1
    최대값:
    1023
  3. 다음 단계 중 하나를 완료하십시오.
    Windows:
    레지스트리 편집기를 종료합니다.
    UNIX:
    sm.registry 파일을 저장합니다.
  4. 정책 서버를 다시 시작합니다.
CRL 서명 확인
CRL 서명 확인은 CRL 검사의 선택적 기능입니다.
정책 서버는 인증서를 CRL과 비교하기 전에 LDAP 디렉터리에 저장된 CA 인증서를 사용하여 CRL의 서명을 확인합니다. 정책 서버는 관리 UI에서 인증서 매핑에 대해 구성한 CRL 디렉터리의 DN이나 인증서의 발급자 DN을 기반으로 식별된 LDAP 사용자 디렉터리의 특정 항목에서 CA 인증서를 검색합니다.
CA 인증서는 정책 서버가 액세스할 수 있는 LDAP 디렉터리에 저장하십시오. LDAP 디렉터리에서
cacertificate
라는 특성을 가진 특정 디렉터리 항목을 구성합니다. certificate 특성은 하나 이상의 CA 인증서를 저장할 수 있는 다중값 특성입니다. CRL이 분할되고 각 파티션이 서로 다른 CA 키로 서명된 경우 여러 CA 인증서가 필요할 수 있습니다. 정책 서버는 지정된 파티션에 대해 연결된 CA 서명 인증서에 액세스할 수 있는 경우에만 파티션의 서명을 확인할 수 있습니다.
서명 확인을 위해 정책 서버는 다음과 같은 해시 알고리즘을 사용할 수 있습니다.
  • MD5
  • MD2
  • SHA1
  • SHA2 알고리즘(SHA224, SHA256, SHA384 및 SHA512)
참고:
사용되는 서명 알고리즘은 CRL에 지정되어 있습니다.
CA 인증서를 사용할 수 없거나 CRL이 지원되지 않는 알고리즘으로 서명된 경우에는 CRL 확인 프로세스 중에 서명 검사가 사용되지 않도록 설정할 수 있습니다.
중요!
서명 검사가 해제된 경우 CRL이 저장된 리포지토리가 적절하게 보호되는지 확인하십시오.
CRL을 찾기 위한 CRL 배포 지점
CDP(CRL 배포 지점)는 CRL 위치를 가리키는 인증서 확장입니다. 정책 서버는 지정된 위치에서 CRL을 가져와 해지된 인증서가 무엇인지 확인할 수 있습니다.
CDP 확장에 CRL을 찾을 원본을 여러 개 지정할 수 있습니다. 각 원본에는 CRL을 찾는 데 필요한 모든 정보가 있습니다. 정책 서버는 정보를 가져오는 다양한 옵션을 통해 CRL을 쉽게 구할 수 있습니다. CDP 확장에 포함할 수 있는 원본은 다음과 같습니다.
  • LDAP
  • HTTP
  • HTTPS
    HTTPS 배포 지점의 경우 정책 서버는 보안 연결을 생성합니다. 이 보안 연결이 이루어지려면 유효한 CA 인증서 또는 인증서 번들(여러 인증서가 연결되어 하나의 체인을 이루는 파일)이
    policy_server_home
    /config 디렉터리에 있어야 합니다. 유효한 인증서가 없으면 HTTPS 서버에 대한 연결이 실패합니다.
HTTPS 연결용 CA 인증서 파일은 PEM 형식(base64로 인코딩)이어야 하고 이름은
cert.pem
이어야 합니다. 인증서가 PEM 형식이 아니면 OpenSSL 명령줄 유틸리티를 사용하여 변환합니다. cert.pem 파일은 CDP 확장에 구성된 SSL 웹 서버에 대한 발급자 인증서와 각 배포 지점에 대한 트러스트된 CA 인증서를 포함해야 합니다.
참고:
OpenSSL 유틸리티에 대한 자세한 내용은 OpenSSL 설명서를 참조하십시오.
CDP 확장에 항목이 여러 개 있는 경우 정책 서버는 모든 사유 코드를 포함하여 성공적으로 가져온 첫 번째 CRL을 사용하여 인증서 유효성을 검사합니다. CRL을 가져오는 순서는 인증서에 항목이 나열된 순서와 같습니다. CDP 목록의 첫 번째 CRL을 가져올 수 없는 경우 정책 서버는 CRL을 가져올 수 있을 때까지 계속해서 다음 CRL을 가져오려고 시도합니다.
정책 서버가 어떤 원본에서도 유효한 CRL을 가져올 수 없으면 인증이 실패하고 사용자는 액세스가 거부됩니다. CRL과 OCSP 간에 장애 조치가 사용되도록 설정할 경우에는 예외적으로 이 동작이 발생하지 않습니다. CRL 검사가 기본 유효성 검사 방법이고 이 검사가 실패한 경우 정책 서버는 차선책으로 OCSP에 장애 조치됩니다.
참고:
OCSP 구성 파일에서 장애 조치가 사용되도록 설정하십시오.
"인증서 매핑" 대화 상자에서 CRL Checking(CRL 검사) 설정의 일부로 "CRL Distribution Points"(CRL 배포 지점)를 구성합니다.
분할된 CRL의 서명 확인
다양한 CA 키가 CRL의 서로 다른 파티션에 서명할 수 있습니다. 정책 서버는 각 파티션과 연관된 CA 서명 인증서에 액세스할 수만 있으면 모든 CRL 파티션의 서명을 확인할 수 있습니다.
분할된 CRL 사용은 CRL을 찾기 위해 인증서 배포 지점을 사용할 때와 관련이 있습니다. 확장은 다양한 CRL에 대한 여러 연결을 포함할 수 있으며 모든 연결은 서명이 확인되어야 합니다.
정책 서버는 LDAP 디렉터리에 저장된 CA 인증서를 사용하여 CRL의 서명을 확인합니다. 이 LDAP 디렉터리에서
cacertificate
라는 특성을 가진 특정 항목을 구성하십시오. 이 특성은 다중값 특성입니다. 다양한 CA 키로 서명된 분할된 CRL을 확인하려면 여러 CA 인증서가 필요합니다.
인증서 해지 목록 검사 구성
사용자 인증서가 해지되었는지 여부를 확인하도록 CRL 검사를 구성합니다. 이렇게 확인을 하면 클라이언트 인증서가 올바르지 않은 사용자가 보호된 리소스에 액세스하는 것을 방지할 수 있습니다.
CRL은 LDAP 디렉터리 또는 CDP가 지정하는 위치에서 가져올 수 있습니다. 정책 서버가 특성 LDAP 디렉터리에서 CRL을 가져오는 경우 해당 디렉터리에 대한 연결을 구성하십시오. 이 LDAP 디렉터리는 사용자 저장소 및 CRL 저장소의 역할을 할 수 있습니다. CRL 검사를 구성하기 전에 또는 CRL 구성 프로세스 도중에 디렉터리를 구성합니다.
다음 단계를 수행하십시오.
  1. "인프라", "디렉터리"를 차례로 클릭합니다.
  2. "인증서 매핑"을 클릭합니다.
    "인증서 매핑" 페이지가 표시됩니다.
  3. "발급자 DN" 이름을 클릭하여 인증서 매핑을 선택합니다.
    "인증서 매핑 보기" 페이지가 표시됩니다.
  4. "수정"을 클릭합니다.
    설정과 컨트롤이 활성화됩니다.
  5. "CRL 검사 수행"을 선택합니다.
    CRL 특정 필드와 컨트롤이 표시됩니다.
  6. 정책 서버가 CRL을 가져오는 LDAP 디렉터리의 이름을 "CRL 디렉터리" 필드에서 선택합니다.
    디렉터리 이름은 관리 UI의 "사용자 디렉터리" 섹션에서 디렉터리를 구성할 때 할당한 이름입니다. 목록에 사용자 디렉터리가 없는 경우에는 "만들기"를 클릭하여 디렉터리 연결을 추가합니다.
    참고:
    LDAP 디렉터리를 지정하지 않을 경우에는 정책 서버가 CRL을 검색하는 데 사용할 방법으로 "배포 지점 사용"을 선택합니다.
    "CRL 디렉터리" 필드에 대한 선택적 텍스트 문자열 값이 표시되며 해당 문자열은 "인증서 확장에서 가져오기"입니다. CRL 검색을 위해 배포 지점을 사용하려는 경우에만 이 옵션을 선택하십시오.
  7. "CRL 디렉터리"에서 사용자 디렉터리를 지정한 경우 "CRL 디렉터리"의 DN에서 입력 항목에 대한 값을 입력합니다.
    "CRL 디렉터리"의 DN에 지정된 값은 정책 서버가 CRL을 찾기 위해 CRL 디렉터리에서 조회하는 DN입니다. 이 값은 "CRL 디렉터리"로 LDAP 디렉터리를 선택한 경우에만 유효합니다. CRL을 찾기 위한 배포 지점이 사용되도록 설정한 경우 이 필드를 비워 두십시오.
  8. (선택 사항) CRL의 서명을 확인하려면 "서명 확인"을 선택하십시오.
    CRL의 서명 확인에 필요한 인증서를 검색하기 위해 정책 서버에는 액세스 가능한 LDAP 호스트가 필요합니다. 관리 UI에서 LDAP 호스트를 사용자 디렉터리 연결로 구성했는지 확인하십시오.
    정책 서버는 CRL 배포 지점을 사용하여 CRL을 찾을 수 있습니다. 이 배포 지점이 LDAP URI인 경우 정책 서버는 CRL 서명을 확인할 수 있습니다. 배포 지점이 HTTP URI인 경우에는 인증서를 검색할 위치로 LDAP 호스트를 사용할 수 없기 때문에 "서명 확인" 옵션을 선택하지 마십시오.
  9. (선택 사항) "배포 지점 사용"을 선택하여 CRL을 찾는 데 CDP 확장을 사용합니다. CRL 디렉터리를 지정하는 대신 이 옵션을 사용할 수 있습니다.
    "배포 지점 사용"을 선택하고 "CRL 디렉터리"에 디렉터리를 입력하면 정책 서버는 배포 지점만 사용하여 CRL을 찾습니다. 배포 지점은 CRL 디렉터리보다 우선 순위가 높습니다.
  10. 필요에 따라 나머지 설정을 지정하고 "제출"을 클릭합니다.
    인증서 해지 목록 검사가 활성화됩니다.
HTTP 프록시를 통해 CRL 액세스
CRL 요청은 HTTP 연결을 통해 이루어지며, 인증서 유효성 검사를 위해 CRL을 검색하려면 HTTP GET 요청이 필요합니다.
많은 엔터프라이즈 환경에서 HTTP 트래픽은 HTTP 프록시를 거칩니다. 정책 서버가 HTTP 프록시를 통해 CRL을 검색할 수 있도록 하려면 정책 서버가 있는 시스템에서 http_proxy 환경 변수를 설정하십시오. 예를 들면 다음과 같습니다.
set http_proxy=http://username:[email protected]:8080 export http_proxy
포트 번호를 지정하지 않을 경우
Single Sign-On
은 기본적으로 포트 1080을 사용합니다.
username
프록시 서버의 로그인 사용자 이름입니다. 이 이름은 프록시 서버 구성에 포함된 유효한 사용자여야 합니다.
password
프록시 서버의 로그인 암호입니다. 이 암호는 프록시 사용자 구성에 포함된 유효한 항목이어야 합니다.
참고:
프록시를 통해 OCSP 응답자에 액세스하기 위해 이 환경 변수를 사용할 수는 없습니다.