PKI(Public-Key Infrastructure)
이 항목에서는 공개 키 인프라의 개요를 설명하고 다음 섹션을 포함합니다.
PKI 소개
PKI(공개 키 인프라)는 디지털 인증서를 사용하여 원격 사이트의 ID를 확인하는 방법을 제공합니다. PKI는 인증 기관(CA)을 사용하여 정보의 유효성을 검사하고 디지털 서명으로 서명하여 정보나 서명을 수정할 수 없도록 합니다. 서명이 완료되면 해당 정보는 디지털 인증서로 바뀝니다. 디지털 인증서를 받는 장치는 공개 키 암호화를 사용하여 서명의 유효성을 검사하여 인증서의 정보를 확인할 수 있습니다.
PKI(공개 키 인프라)는 디지털 인증서 관리를 위한 인프라를 제공하며 다음으로 구성됩니다.
엔터티의 ID를 확인하고, 인증서 요청에 권한을 부여하고, 고유한 비대칭 키 쌍을 생성하는 RA(등록 기관)(사용자의 인증서 요청에 이미 공개 키가 포함되어 있지 않은 경우)
CA(인증 기관)는 요청 엔터티에 해당하는 디지털 인증서를 발급합니다.
더 이상 유효하지 않은 인증서를 식별하는 CRL(인증서 해지 목록)입니다. CA의 인증 공개 키를 소유한 각 엔터티는 해당 CA에서 발급한 인증서를 확인할 수 있습니다.
디지털 인증서
디지털 인증서는 온라인으로 교환되는 데이터를 보호하기 위해 인증서 소유자의 신원을 확인하는 전자 파일입니다. 디지털 인증서는 인증 기관(CA)이라는 신뢰할 수 있는 타사를 통해 사용자를 인증하는 방법을 제공합니다. CA는 인증서 소유자의 ID를 확인하고 인증서가 위조 또는 변경되지 않았음을 증명하기 위해 인증서에 "서명"합니다. 또는 자체 서명된 인증서를 사용하여 ID를 증명할 수 있습니다.
키 쌍은 디지털 인증서 구현의 중요한 요소입니다. 공개 키는 로컬 디지털 인증서에 포함되며 개인 키는 피어로부터 받은 데이터의 암호를 해독하는 데 사용됩니다.
인증서의 수명은 한정되어 있으며 시작 시간과 종료 시간으로 정의됩니다. 수명이 만료되면 인증서가 무효화됩니다. 인증서가 만료되면 인증서 갱신 또는 새 인증서 요청이 필요합니다.
인증 기관
CA는 디지털 인증서를 생성, 등록, 유효성 검사 및 해지하는 신뢰할 수 있는 타사 조직입니다. CA는 사용자의 ID를 보장하고 메시지 암호화 및 암호 해독(코딩 및 디코딩)을 위한 공개 키와 개인 키를 발급합니다. 또한 CA는 해지된 인증서의 목록인 CRL(인증서 해지 목록)을 생성합니다.
개인/공개 키 쌍
PKI를 설정할 때 쌍으로 생성되고 수학적으로 연결된 공개 키와 개인 키를 포함해야 합니다.
인증서를 요청할 때 인증서 등록 요청에 공개 키를 포함해야 합니다. 공개 키는 부여된 인증서에 포함되며 개인 키는 요청 디바이스에 보관됩니다. 공개 키로 암호화된 메시지는 해당 개인 키를 사용하여 해독할 수 있습니다. 프라이빗-퍼블릭 키 쌍은 디지털 서명을 만드는 데에도 사용됩니다.
인증서 등록 옵션
CA 디지털 인증서는 온라인 또는 수동으로 요청할 수 있습니다.
수동 인증서 등록 - 이 프로세스에는 PKCS10 요청 생성, 인증 기관(CA)에 제출, 서명된 인증서 검색, 로컬 인증서로 Junos OS 디바이스에 인증서 수동 로드가 포함됩니다.
온라인 인증서 등록 - 온라인 인증서 등록에 CMPv2(Certificate Management Protocol version 2) 또는 SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 있습니다.
인증서 해지 옵션
인증서 해지 목록(또는 CRL) - 인증 기관(CA)은 인증서 해지 목록(CRL)을 사용하여 해지된 인증서 목록을 주기적으로 게시합니다. CRL에는 만료 날짜 전에 취소된 일련 번호가 있는 디지털 인증서 목록이 포함되어 있습니다.
OCSP(Online Certificate Status Protocol) - OCSP는 X509 인증서의 해지 상태를 확인하는 데 사용됩니다. OCSP는 인증서에 대한 해지 상태를 실시간으로 제공하며 은행 거래 및 주식 거래와 같이 시간에 민감한 상황에서 유용합니다
인증서 요청 유형
PKI(Public Key Infrastructure)를 통해 사용자는 CA에서 발급한 디지털 인증서를 사용하여 서로 인증할 수 있습니다. PKI는 X.509, PKCS(Public Key Cryptography Standards)를 사용하여 인증서 및 인증서 사용에 대한 표준 형식을 정의합니다. PKI에서 신청자는 인증서 서명 요청(CSR)을 사용하여 인증 기관(CA)에 디지털 인증서를 신청합니다. 요청은 다음 표준 중 하나일 수 있습니다.
PKCS#(Public-Key Cryptography Standard #)(PKCS7, PKCS10, PKCS11, PKCS12)
x509-signaturere입니다.
인증서 서명 및 확인
디지털 인증서는 인증 기관(CA)이라고 하는 신뢰할 수 있는 제3자를 통해 사용자의 신원을 확인하기 위한 전자적 수단입니다. 또는 자체 서명된 인증서를 사용하여 ID를 증명할 수 있습니다.
사용하는 CA 서버는 독립 CA 또는 자체 조직에서 소유 및 운영할 수 있으며, 이 경우 자체 CA가 됩니다. 독립 CA를 사용하는 경우, CA 및 인증서 해지 목록(CRL) 서버의 주소(인증서 및 CRL을 얻기 위해)와 개인 인증서 요청을 제출할 때 필요한 정보에 대해 해당 CA에 문의해야 합니다. 자체 CA인 경우 이 정보를 직접 결정합니다.
인증서를 발급하는 CA는 해시 알고리즘을 사용하여 다이제스트를 생성한 다음 개인 키로 다이제스트를 암호화하여 인증서에 "서명"합니다. 결과는 디지털 서명입니다. 그런 다음 CA는 디지털 서명된 인증서를 요청한 사람이 다운로드할 수 있도록 합니다. 그림 1 에서는 이 프로세스를 보여 줍니다.
인증서를 받는 사람은 인증서 파일에 동일한 해시 알고리즘을 적용하여 다른 다이제스트를 생성한 다음 CA의 공개 키를 사용하여 디지털 서명을 해독합니다. 암호 해독된 다이제스트와 방금 생성된 다이제스트를 비교하여 수신자는 CA 서명의 무결성을 확인할 수 있으며, 더 나아가 함께 제공되는 인증서의 무결성을 확인할 수 있습니다. 그림 1 에서는 이 프로세스를 보여 줍니다.
디지털 서명을 확인할 수 있고 인증서의 일련 번호가 인증서 해지 목록에 나열되지 않은 경우 인증서가 유효한 것으로 간주됩니다.
DSA(디지털 서명 알고리즘) 서명을 사용하는 경우 SHA-1 해시 알고리즘을 사용하여 다이제스트를 생성합니다. RSA(Rivest-Shamir-Adleman) 시그니처를 사용하는 경우 SHA-1은 다이제스트를 생성하는 데 사용되는 기본 해시 알고리즘입니다. 또는 request security pki local-certificate generate-self-signed
명령의 request security pki generate-certificate-request
옵션을 사용하여 digest
SHA-256 해시 알고리즘을 지정할 수 있습니다. ECDSA(Elliptic Curve Digital Signature Algorithm) 시그니처를 사용하는 경우 SHA-256 해시 알고리즘은 ECDSA-256 시그니처에 사용되고 SHA-384 해시 알고리즘은 ECDSA-384 시그니처에 사용됩니다.
Junos OS 릴리스 18.1R3부터 자동 및 수동으로 생성된 자체 서명 PKI 인증서를 검증하는 데 사용되는 기본 해시 알고리즘은 보안 해시 알고리즘 256(SHA-256)입니다. Junos OS 릴리스 18.1R3 이전에는 SHA-1이 기본 해시 알고리즘으로 사용되었습니다.
인증서 유효성 검사
인증서의 신뢰성을 확인하려면 로컬 인증서를 발급하는 CA(인증 기관)에서 CA 도메인의 루트 인증 기관까지 인증된 CA(인증 기관)의 경로를 추적할 수 있어야 합니다. PKI(공개 키 인프라)는 공개 키 암호화를 성공적으로 구현하는 데 필요한 신뢰의 계층 구조를 나타냅니다.
그림 2 에서는 여러 계층 수준을 가진 단일 도메인 인증 기관의 구조를 보여 줍니다.
인증서가 조직 내에서만 사용되는 경우 해당 조직에는 회사 CA가 직원을 위해 인증서를 발급하고 유효성을 검사하는 자체 CA 도메인이 있을 수 있습니다. 해당 조직에서 나중에 직원이 자신의 인증서를 다른 CA 도메인의 인증서와 교환하기를 원하는 경우(예: 자체 CA 도메인이 있는 다른 조직의 직원과) 두 CA는 서로의 권한을 신뢰하는 데 동의하여 교차 인증을 개발할 수 있습니다. 이 경우 PKI 구조는 세로로 확장되지 않고 수평으로 확장됩니다. 그림 3을(를) 참조하세요.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.