1장. Identity Management의 공개 키 인증서
X.509 공개 키 인증서는 IdM(Identity Management)에서 사용자, 호스트 및 서비스를 인증하는 데 사용됩니다. 인증 외에도 X.509 인증서를 사용하면 디지털 서명 및 암호화를 통해 개인 정보 보호, 무결성 및 비회전을 제공할 수 있습니다.
인증서에는 다음 정보가 포함됩니다.
- 인증서가 인증되는 주체입니다.
- 인증서에 서명한 CA인 발급자입니다.
- 인증서 유효성의 시작 및 종료일입니다.
- 인증서의 유효한 사용입니다.
- 주체의 공개 키입니다.
공개 키로 암호화된 메시지는 해당 개인 키로만 암호를 해독할 수 있습니다. 인증서와 공개 키를 공개적으로 사용할 수 있지만 사용자, 호스트 또는 서비스는 개인 키 시크릿을 유지해야 합니다.
1.1. IdM의 인증 기관
인증 기관은 신뢰 계층에서 작동합니다. 내부 인증 기관(CA)이 있는 IdM 환경에서 모든 IdM 호스트, 사용자 및 서비스는 CA에서 서명한 인증서를 신뢰합니다. 이 루트 CA 외에도 IdM은 루트 CA에서 인증서 서명 기능을 부여한 하위 CA를 지원합니다. 이러한 하위 CA가 서명할 수 있는 인증서는 VPN 인증서(예: VPN 인증서)의 인증서입니다. 마지막으로 IdM은 외부 CA 사용을 지원합니다. 아래 표는 IdM에서 개별 유형의 CA를 사용하는 세부 사항을 보여줍니다.
| CA 이름 | 설명 | 사용 | 유용한 링크 |
|---|---|---|---|
|
| Dogtag 업스트림 프로젝트를 기반으로 하는 통합 CA | 통합 CA는 사용자, 호스트 및 서비스에 대한 인증서를 생성, 취소 및 발행할 수 있습니다. | |
| IdM 하위 CA |
|
IdM 하위 CA는 | |
| 외부 CA | 외부 CA는 통합 IdM CA 또는 해당 하위 CA 이외의 CA입니다. | IdM 툴을 사용하여 이러한 CA에서 발행한 인증서를 사용자, 서비스 또는 호스트에 추가하고 이를 제거합니다. |
인증서 보기에서는 자체 서명된 IdM CA에서 서명하고 외부에서 서명할 때 차이가 없습니다.
CA의 역할에는 다음과 같은 용도가 포함됩니다.
- 디지털 인증서를 발급합니다.
- 인증서에 서명하면 인증서에 이름이 지정된 주체가 공개 키가 있음을 인증합니다. 주체는 사용자, 호스트 또는 서비스일 수 있습니다.
- 인증서를 해지할 수 있으며 CRL(Certificate Revocation Lists) 및 OCSCSP(Online Certificate Status Protocol)를 통해 해지 상태를 제공합니다.
추가 리소스
