OCSP와 CRL 간의 장애 조치

정책 서버는 인증서 유효성 검사 메커니즘으로 OCSP와 CRL을 사용할 수 있습니다. 두 메커니즘을 모두 구성할 경우 정책 서버가 두 메커니즘 간에 장애 조치 기능을 사용하도록 구성할 수 있습니다. 장애 조치 기능을 사용하면 두 인증서 유효성 검사 메커니즘 중 하나를 사용할 수 없게 되더라도 인증에 실패하지 않으므로 유용합니다.
casso127kkr
정책 서버는 인증서 유효성 검사 메커니즘으로 OCSP와 CRL을 사용할 수 있습니다. 두 메커니즘을 모두 구성할 경우 정책 서버가 두 메커니즘 간에 장애 조치 기능을 사용하도록 구성할 수 있습니다. 장애 조치 기능을 사용하면 두 인증서 유효성 검사 메커니즘 중 하나를 사용할 수 없게 되더라도 인증에 실패하지 않으므로 유용합니다.
인증서 검사에 대한 장애 조치를 구현하려면 OCSP 구성 파일(SMocsp.conf)에서 기본 유효성 검사 방법을 지정하십시오. 기본 유효성 검사 방법을 사용할 수 없는 경우 정책 서버는 보조 유효성 검사 방법을 사용하여 요청을 완료합니다. 다음 요청에서는 정책 서버가 기본 방법으로 돌아가고, 오류가 발생하지 않는 한 이 방법을 사용합니다.
OCSP를 기본 유효성 검사 방법으로 구성할 경우
기본 방법이 OCSP인데 OCSP 응답자를 사용할 수 없는 경우 정책 서버는 CRL을 사용하여 인증서 유효성 검사를 수행합니다.
OCSP 응답자가
양호
또는
해지됨
응답 표시기를 반환하는 한 장애 조치가 OCSP 기능보다 우선하지 않습니다. 응답 표시기가 "알 수 없음"인 경우에는 CRL 검사로 장애 조치됩니다.
OCSP을 기본 유효성 검사 방법으로 구성할 경우 정책 서버 동작은 다음과 같습니다.
OCSP 인증서 유효성 검사
장애 조치 사용 안 함
장애 조치 사용
유효
사용자 인증됨
사용자 인증이 OCSP 결과만을 기반으로 합니다. CRL 검사는 필요하지 않습니다.
해지됨
사용자가 인증되지 않음
사용자가 인증되지 않습니다. CRL 검사는 필요하지 않습니다.
알 수 없음 또는 응답 없음
사용자가 인증되지 않음
CRL 검사가 수행됩니다.
CRL 검사를 기본 유효성 검사 방법으로 구성할 경우
기본 방법이 CRL 검사인데 CRL을 검색할 수 없으면 정책 서버는 OCSP 응답자로 장애 조치합니다. 이 경우 CRL 디렉터리 서버에 대한 연결을 사용할 수 없으면 정책 서버는 OCSP만 사용합니다. CRL이 유효 응답을 반환할 경우 정책 서버는 OCSP를 사용하지 않습니다.
참고:
장애 조치가 사용되지 않고 CRL 검사와 OCSP가 모두 구성된 경우 정책 서버는 인증서 유효성 검사에 CRL 검사만 사용합니다.
CRL을 기본 유효성 검사 방법으로 구성할 경우 정책 서버 동작은 다음과 같습니다.
CRL 인증서 유효성 검사
장애 조치 사용 안 함
장애 조치 사용
유효
사용자 인증됨
검사가 첫 번째로 유효한 CRL 결과를 기반으로 합니다. 추가 CRL 검사가 필요하지 않습니다.
해지됨
사용자가 인증되지 않음
추가 CRL 또는 OCSP 검사가 필요하지 않습니다.
응답 없음/검색 실패
CDP 확장을 사용할 수 있는 경우 정책 서버는 CRL을 성공적으로 검색할 때까지 각 배포 지점을 순차적으로 시도합니다. 인증서가 유효 또는 해지됨 상태인 경우에는 해당 상태에 대한 설명을 참조하십시오.
모든 사유 코드가 포함된 CRL이 검색되지 않을 경우 정책 서버는 기본적으로 사용자를 인증하지 않습니다.
CDP 확장을 사용할 수 있는 경우 정책 서버는 CRL을 성공적으로 검색할 때까지 각 배포 지점을 순차적으로 시도합니다. 인증서가 유효 또는 해지됨 상태인 경우에는 해당 상태에 대한 설명을 참조하십시오.
모든 사유 코드가 포함된 CRL이 검색되지 않을 경우 OCSP가 사용됩니다.
OCSP와 CRL 간의 장애 조치 구성
정책 서버는 인증서 유효성 검사 메커니즘으로 OCSP와 CRL을 모두 사용할 수 있으며 이 둘 간의 장애 조치 기능이 사용되도록 설정할 수 있습니다. 장애 조치 기능이 사용되도록 설정하기 전에 관리 UI에서 CRL 검사를 구성하고 SMocsp.conf 파일을 생성하여 OCSP를 구성하십시오. 장애 조치가 작동하기 위해서는 CRL 검사와 OCSP 검사가 사용되도록 설정해야 합니다.
다음 단계를 수행하십시오.
  1. SMocsp.conf 파일을 편집기에서 엽니다. 이 파일은
    policy_server_home
    /config 디렉터리에 있습니다.
  2. 각 응답자 레코드에 대해 다음 항목을 추가하거나 수정합니다.
    • EnableFailover
      Single Sign-On
      이 기본 유효성 검사 방법에서 보조 방법으로 장애 조치되도록 설정합니다.
      장애 조치를 사용하려면 이 값을 Yes로 설정하십시오.
      장애 조치가 사용되지 않도록 설정하려면 기본값인 No를 그대로 두십시오. 장애 조치를 구성하지 않을 경우 OCSP 응답자가 유효성 검사를 수행할 수 없으면 트랜잭션이 실패합니다.
      제한:
      YES 또는 NO
      기본값:
      No
    • PrimaryValidationMethod
      정책 서버가 다른 방법을 시도하기 전에 먼저 사용할 인증서 유효성 검사 방법을 나타냅니다.
      EnableFailover가 YES로 설정되고 이 설정의 값이 OCSP인 경우 정책 서버는 OCSP 유효성 검사를 먼저 사용합니다. OCSP 응답자에서 응답이 없거나 응답 표시기가 "알 수 없음"이면 정책 서버는 CRL로 장애 조치합니다.
      이 설정 값이 CRL이면 정책 서버는 OCSP 유효성 검사가 구성되어 있더라도 이를 무시하고 CRL을 사용합니다. CRL을 가져올 수 없거나 CRL이 만료되었으면 정책 서버는 OCSP로 장애 조치합니다.
      제한:
      OCSP, CRL
      기본값:
      OCSP
  3. 변경 내용을 SMocsp.conf 파일에 저장합니다.
  4. 정책 서버를 다시 시작합니다.