OCSP 구성

"OCSP 구성" 페이지에는 CDS(인증서 데이터 저장소)의 OCSP 응답자 구성이 표시됩니다. 이 페이지에서 OCSP 구성을 추가할 수 있습니다.
casso127kkr
HID_ocsp-list-and-config
"OCSP 구성" 페이지에는 CDS(인증서 데이터 저장소)의 OCSP 응답자 구성이 표시됩니다. 이 페이지에서 OCSP 구성을 추가할 수 있습니다.
2
OCSP 구성 목록
이 대화 상자에는 다음 정보가 포함되어 있습니다.
OCSP 구성 필터링
OCSP 구성 목록에 표시되는 내용을 제한할 수 있습니다. 옵션 집합을 기준으로 필터링하여 검색을 정의할 수 있습니다.
다음을 기준으로 필터링할 수 있습니다.
  • 별칭
  • 응답자
  • 응답자 별칭
  • 서명 별칭
검색 필터를 지정하려면
  1. "OCSP 구성" 대화 상자에서 시작합니다.
  2. "OCSP 구성 필터링" 섹션에서 다음 지침에 따라 검색을 구성하십시오.
    1. "검색 대상" 필드에서 검색할 항목을 선택합니다. 
    2. 가운데 필드의 풀다운 메뉴에서 연산자를 선택합니다.
    3. 세 번째 필드에 따옴표로 묶지 않은 문자열을 입력합니다. 이 문자열은 검색 필터 값입니다.
      중요!
      전체 목록을 검색하려면 세 번째 필드를 비워 두십시오. <ANY> 또는 별표(*)를 입력할 수도 있습니다. 별표는 포함된 와일드카드 문자로 사용할 수 없습니다. 예를 들어 별표를 단독으로 입력할 수는 있지만
      partner*
      를 값으로 입력할 수 없습니다.
  3. "실행"을 클릭하여 검색을 시작합니다.
OCSP 구성 목록
이 목록에는 CDS에서 사용할 수 있는 OCSP 응답자가 모두 표시됩니다. 다음 열은 특히 주의하십시오.
  • 별칭
    목록 항목과 연결된 별칭을 표시합니다.
  • 응답자
    OCSP 응답자의 이름을 나열합니다.
목록 항목 보기/수정/삭제
목록에서 선택한 다음 "작업" 메뉴에서 옵션을 선택하여 항목을 보거나 수정하거나 삭제하십시오.
OCSP 응답자 구성
"OCSP 구성 추가" 대화 상자에서는 OCSP 응답자 항목을 CDS에 추가할 수 있습니다. 
이 대화 상자에는 다음 설정이 포함되어 있습니다.
  • 발급자 별칭
    OCSP 서비스를 제공하는 인증 기관 인증서의 별칭입니다.
     
  • HTTP 프록시 사용
    (선택 사항) OCSP 요청을 웹 서버가 아니라 프록시 서버로 전송하도록 정책 서버에 지시합니다. 이 옵션을 선택하면 다음 필드가 나타납니다.
    • HTTP 프록시 위치
      - 프록시 서버의 URL을 지정합니다. 이 값은 HttpProxyEnabled가 YES로 설정된 경우에만 필요합니다. http://로 시작하는 URL을 입력하십시오. 
      참고:
      https://로 시작하는 URL을 입력하지 마십시오. 
    • HTTP 프록시 사용자 이름
      - 프록시 서버에 대한 로그인 자격 증명입니다. 이 사용자 이름은 유효한 프록시 서버 사용자의 이름이어야 합니다. 영숫자 문자열을 입력하십시오.
    • HTTP 프록시 암호
      - 프록시 서버 사용자 이름의 암호입니다. 이 암호는 프록시 사용자 구성에 포함된 유효한 항목이어야 합니다. 영숫자 문자열을 입력하십시오. 
  • 유예 기간
    (선택 사항) 인증서 해지 후 무효화를 지연할 기간(일)을 지정합니다. OCSP 유예 기간은 구성이 갑자기 중지되지 않도록 사용자에게 인증서를 업데이트할 시간을 부여합니다. 이 필드를 0으로 설정하면 해지된 인증서가 즉시 무효화됩니다.
    값을 지정하지 않으면 시스템은 CDS 설정의 기본 해지 유예 기간 설정을 사용합니다.
     
  • 보조 발급자 DN 
    (선택 사항) CA 인증서 발급자에 대한 보조 발급자 DN 또는 리버스 DN을 지정합니다.
     
  • Nonce 확장 무시
    (선택 사항) 이 확인란을 선택하면 OCSP 요청에 nonce를 포함하지 않도록 시스템에게 지시합니다. nonce(한 번 사용되는 숫자)는 고유한 숫자입니다. 이 숫자는 응답이 재사용되는 것을 방지하기 위해 인증 요청에 가끔 포함됩니다.
     
  • AIA 확장 사용
    (선택 사항) 시스템이 유효성 검사 정보를 찾기 위해 인증서의 AIA(Authority Information Access) 확장을 사용하는지 여부를 지정합니다.
    "AIA 확장 사용" 또는 "응답자 위치" 설정을 사용할 수 있지만 다음 사항에 유의하십시오.
    • "AIA 확장 사용" 설정을 선택할 경우 "응답자 위치"가 구성되지 않았으면 시스템은 인증서의 "AIA 확장"을 유효성 검사에 사용합니다. 확장은 인증서에 있어야 합니다.
    • "AIA 확장 사용" 설정 및 "응답자 위치" 설정 모두에 값이 있는 경우 시스템은 유효성 검사에 "응답자 위치"를 사용합니다. "응답자 위치" 설정은 "AIA 확장 사용" 설정보다 우선 순위가 높습니다.
    • "AIA 확장 사용" 설정이 선택되지 않으면 시스템은 "응답자 위치" 설정을 사용합니다. AIA 확장이 있으면 시스템은 이를 무시합니다.
       
  • 응답자 위치
    (선택 사항) OCSP 응답자 서버의 위치를 나타냅니다. 
    "응답자 위치" 설정 또는 "AIA 확장 사용" 설정을 사용할 수 있지만 다음 조건에 유의하십시오.
    • "응답자 위치" 설정이 비어 있는 경우 "AIA 확장 사용" 설정을 사용하십시오. 또한 AIA 확장이 인증서에 있어야 합니다.
    • "응답자 위치" 설정에 값이 있고 "AIA 확장 사용"이 선택된 경우, 시스템은 유효성 검사에 "응답자 위치"를 사용합니다. "응답자 위치" 설정은 "AIA 확장 사용" 설정보다 우선 순위가 높습니다.
    • 이 설정에 대해 지정된 OCSP 응답자가 중지되고 "AIA 확장 사용" 설정이 선택된 경우 인증이 실패합니다. 시스템은 인증서의 AIA 확장에 지정된 응답자를 시도하지 않습니다.
    위치를 입력하는 경우 값을 responder_server_url:port_number의 형식으로 입력하십시오.
    응답자 서버의 URL 및 포트 번호를 입력하십시오.
     
  • 응답자 인증서 별칭 
    (페더레이션에만 필요). OCSP 응답의 서명을 확인하는 인증서의 별칭 이름을 지정합니다. 시스템이 응답 서명 유효성 검사를 수행하도록 하려면 이 설정에 대한 별칭을 지정하십시오. 그렇게 하지 않으면 CA 발급자가 사용할 수 있는 OCSP 구성이 없습니다.
    참고:
    시스템은 X.509 인증서 인증에 이 설정을 사용하지 않습니다.
    별칭 이름을 지정하는 문자열을 입력하십시오.
     
  • 서명된 요청 사용
    (선택 사항) 생성된 OCSP 요청에 서명하도록 시스템에게 지시합니다. 서명 기능을 사용하려면 이 확인란을 선택하십시오. 
    이 값은 사용자 인증서 서명과 별개이며 OCSP 요청에만 사용됩니다.
    이 설정은 OCSP 응답자가 서명된 요청을 요구하는 경우에만 필요합니다. 이 옵션을 선택하면 다음 필드가 나타납니다.
    • 서명 별칭
      - OCSP 응답자에 전송되는 OCSP 요청에 서명하는 키/인증서 쌍의 별칭을 지정합니다. 이 키/인증서 쌍은 CDS에 있어야 합니다. 소문자 ASCII 영숫자 문자를 사용하여 별칭을 입력하십시오.
       
    • 서명 다이제스트
      선택 사항입니다. 정책 서버가 OCSP 요청에 서명할 때 사용하는 알고리즘을 지정합니다. 이 설정은 대/소문자를 구분하지 않습니다.
      SHA1, SHA224, SHA256, SHA384, SHA512 중 옵션 하나를 입력하십시오.
      기본값:
      SHA1
       
  • 인증서 유효성 장애 조치 사용
    (선택 사항) OCSP 및 CRL 인증서 유효성 검사 방법 간에 장애 조치를 수행하도록 시스템에 지정합니다. 이 옵션을 선택하면 다음 필드가 표시됩니다.
    • 기본 유효성 검사 방법
      - 정책 서버가 인증서의 유효성을 검사하기 위해 사용할 기본 방법을 OCSP 또는 CRL 중에서 지정합니다. OCSP 또는 CRL을 선택하십시오.
      기본값:
       OCSP