A.2. 인증 기관
A.2.1. 인증 기관 소개
CA는 인증서를 생성하고 관리하기 위한 툴 세트와 생성된 모든 인증서가 포함된 데이터베이스로 구성됩니다. 시스템을 설정할 때는 요구 사항에 충분히 안전한 적절한 CA를 선택하는 것이 중요합니다.
다음 두 가지 유형의 CA를 사용할 수 있습니다.
A.2.2. 상용 인증 기관
A.2.2.1. 인증서에 서명
다양한 상용 CA를 사용할 수 있습니다. 상용 CA를 사용하여 인증서에 서명하는 메커니즘은 선택한 CA에 따라 다릅니다.
A.2.2.2. 상용 CA의 이점
상용 CA의 장점은 종종 많은 수의 사람이 신뢰할 수 있다는 것입니다. 조직 외부의 시스템에서 애플리케이션을 사용할 수 있도록 설계된 경우 상용 CA를 사용하여 인증서에 서명합니다. 애플리케이션이 내부 네트워크 내에서 사용할 경우 개인 CA가 적합할 수 있습니다.
A.2.2.3. CA 선택 기준
상용 CA를 선택하기 전에 다음 기준을 고려하십시오.
- 상용 CA의 인증서 서명 정책은 무엇입니까?
- 애플리케이션이 내부 네트워크에서만 사용할 수 있도록 설계되었습니까?
- 상용 CA에 가입하는 비용에 비해 개인 CA를 설정하는 데 드는 잠재적 비용은 무엇입니까?
A.2.3. 개인 인증 기관
A.2.3.1. CA 소프트웨어 패키지 선택
시스템의 인증서에 서명해야 하는 경우 개인 CA를 설정합니다. 개인 CA를 설정하려면 인증서를 생성하고 서명하기 위한 유틸리티를 제공하는 소프트웨어 패키지에 액세스해야 합니다. 이 유형의 여러 패키지를 사용할 수 있습니다.
A.2.3.2. OpenSSL 소프트웨어 패키지
개인 CA를 설정할 수 있는 소프트웨어 패키지 중 하나는 OpenSSL, http://www.openssl.org 입니다. OpenSSL 패키지에는 인증서를 생성하고 서명하기 위한 기본 명령줄 유틸리티가 포함되어 있습니다. OpenSSL 명령줄 유틸리티에 대한 전체 문서는 http://www.openssl.org/docs 에서 확인할 수 있습니다.
A.2.3.3. OpenSSL을 사용하여 개인 CA 설정
개인 CA를 설정하려면 A.5절. “자체 인증서 생성” 의 지침을 참조하십시오.
A.2.3.4. 개인 인증 기관을 위한 호스트 선택
호스트를 선택하는 것은 개인 CA를 설정하는 데 중요한 단계입니다. CA 호스트와 연결된 보안 수준은 CA에서 서명한 인증서와 관련된 신뢰 수준을 결정합니다.
Red Hat Fuse 애플리케이션 개발 및 테스트에서 사용할 CA를 설정하는 경우 애플리케이션 개발자가 액세스할 수 있는 호스트를 사용합니다. 그러나 CA 인증서 및 개인 키를 생성할 때 보안 중요 애플리케이션이 실행되는 모든 호스트에서 CA 개인 키를 사용하지 마십시오.
A.2.3.5. 보안 예방 조치
배포하려는 애플리케이션의 인증서에 서명하도록 CA를 설정하는 경우 CA 호스트를 최대한 안전하게 설정합니다. 예를 들어 CA를 보호하려면 다음 예방 조치를 취합니다.
- CA를 네트워크에 연결하지 마십시오.
- CA에 대한 모든 액세스를 신뢰할 수 있는 제한된 사용자 세트로 제한합니다.
- radio-frequency 감시로부터 CA를 보호하기 위해 Cryostat-shield를 사용하십시오.