Transcript Document

’06 CA 서비스 구축하기
•
•
•
•
암호화/전자서명/인증서 이해하기
CA 구축 및 인증서 발급
IIS에서 인증서 사용하기
EFS – 암호화 파일 시스템
암호화 방식 – 비밀키
• 메시지를 암호화해서 보내는 측과 메시지를 받는 측이 모두 동일한
암호키(secret key, 혹은 common key)를 사용.
• 양측이 미리 서로 동의한 키를 가지고 송신측이 데이터를 암호화해서 전송하면
수신측이 동일한 키로 복호화하여 데이터를 복구
• 미리 암호키를 동의하는 방법이 문제
• DES(Data Encryption Standard), 3DES, IDEA, RC2, RC4 등의 알고리즘이 대표적
암호화 방식 – 공개키
• 키 쌍은 일정 알고리즘에 따라서 서로 의존적인 관계로 생성
• 통상 암호화를 위해 사용하는 키를 공개키(Public Key), 개인키로 암호화한 암호문을
복호화하기 위해 사용하는 키를 개인키(Private Key)라고 부른다.
• 개인키는 자신의 개인키를 자신만이 알 수 있도록 보관하며
공개키는 누구나 획득할 수 있도록 공개
• 공개키로 암호화된 암호문은 그 공개키와 한 쌍인 개인키로만 복호화 할 수 있다.
• 비밀키 암호화에서의 키 동의의 문제를 해결
• RSA 알고리즘이 대표적 공개키 암호화 알고리즘
인증서 (Certification)
• 일반적으로 인증서라고 하는 공개 키 인증서는 해당 개인 키를 소유한 사람,
장치 또는 서비스의 ID에 공개 키 값을 바인딩하는 디지털로 서명된 문서
• 일반적으로 사용되는 대부분의 인증서는 X.509v3 인증서 표준을 기준
• 웹 사용자 인증, 웹 서버 인증, S/MIME(Secure/Multipurpose Internet Mail
Extensions)을 사용한 보안 전자 메일, IPSec(인터넷 프로토콜 보안), TLS(Transport
Layer Security) 및 코드 서명과 같은 다양한 기능에 대해 발급
• 인증서에 포함되는 내용
- 주체의 공개 키 값
- 이름 및 전자 메일 주소와 같은 주체 식별자 정보
- 유효 기간(인증서가 유효한 것으로 간주되는 기간)
- 발급자 식별자 정보
- 주체 공개 키와 주체 식별자 정보 사이의 바인딩 유효성을 증명하는
발급자의 디지털 서명
인증 기관(CA)의 종류
엔터프라이즈
루트 CA
인증서 계층 구조에서 최상위 수준 CA. 엔터프라이즈 루트 CA에는 Active Directory 디렉터리 서
비스가 필요. 자신의 CA 인증서에 자체 서명하고 그룹 정책을 사용하여 도메인에 있는 모든 서버
및 워크스테이션의 신뢰할 수 있는 루트 인증 기관 저장소에 해당 인증서를 게시. 일반적으로 엔터
프라이즈 루트 CA는 사용자 및 컴퓨터 인증서에 대해 리소스를 직접 제공하지는 않지만 인증서 계
층 구조의 기본 토대의 역할
엔터프라이즈
하위 CA
엔터프라이즈 하위 CA는 다른 CA로부터 CA 인증서를 받아야 한다. 엔터프라이즈 하위 CA에는
Active Directory가 필요하며 Active Directory, 인증서 템플릿 및 스마트 카드 로그온을 Windows
XP 및 Windows Server 2003 제품군 운영 체제를 실행하는 컴퓨터에서 이용하려면 엔트프라이즈
하위 CA를 사용한다.
독립실행형
루트 CA
독립 실행형 루트 CA는 인증서 계층 구조에서 최상위 수준. 독립 실행형 루트 CA는 도메인의 구성
원일 수도 있고 아닐 수도 있으므로 Active Directory를 필요로 하지 않는다. 그러나 Active
Directory가 있을 경우 이를 사용하여 인증서와 인증서 해지 목록을 게시한다. 독립 실행형 루트
CA는 Active Directory를 필요로 하지 않기 때문에 네트워크에서 손쉽게 제거하여 보안 영역에 배
치할 수 있으며 이는 보안 오프라인 루트 CA를 만들 때 유용합니다.
독립 실행형
하위 CA
독립 실행형 하위 CA는 다른 CA로부터 CA 인증서를 받아야 한다.