인증서 해지
디지털 인증서에는 만료 날짜가 있지만 만료되기 전에 여러 가지 이유로 인증서가 더 이상 유효하지 않을 수 있습니다. 로컬에서 그리고 인증 기관(CA) 인증서 해지 목록(CRL)을 참조하여 인증서 해지 및 유효성 검사를 관리할 수 있습니다.
온라인 인증서 상태 프로토콜 및 인증서 해지 목록 이해
OCSP는 X509 인증서의 해지 상태를 확인하는 데 사용됩니다. OCSP는 인증서에 대한 해지 상태를 실시간으로 제공하며 은행 거래 및 주식 거래와 같이 시간에 민감한 상황에서 유용합니다.
인증서의 해지 상태는 SRX 시리즈 방화벽 외부에 상주하는 OCSP 서버에 요청을 전송하여 확인됩니다. 서버의 응답에 따라 VPN 연결이 허용되거나 거부됩니다. OCSP 응답은 SRX 시리즈 방화벽에 캐시되지 않습니다.
OCSP 서버는 인증서를 발행하는 인증 기관(CA) 또는 지정된 권한 부여된 응답자일 수 있습니다. OCSP 서버의 위치는 수동으로 구성하거나 확인 중인 인증서에서 추출할 수 있습니다. 요청은 먼저 [] 계층 수준의 문을 사용하여 CA 프로필에서 수동으로 구성된 OCSP 서버 위치로 전송됩니다. 각 CA 프로필에 대해 최대 두 개의 위치를 구성할 수 있습니다.ocsp urledit security pki ca-profile profile-name revocation-check 첫 번째로 구성된 OCSP 서버에 연결할 수 없는 경우 요청이 두 번째 OCSP 서버로 전송됩니다. 두 번째 OCSP 서버에 연결할 수 없는 경우 요청은 인증서의 AuthorityInfoAccess 확장 필드에 있는 위치로 전송됩니다. CRL(인증서 해지 목록)이 기본 검사 방법이므로 옵션도 구성해야 합니다.use-ocsp
SRX 시리즈 방화벽은 CA 또는 인증된 응답자로부터 서명된 OCSP 응답만 수락합니다. 수신된 응답은 신뢰할 수 있는 인증서를 사용하여 검증됩니다. 응답의 유효성은 다음과 같습니다.
-
구성된 CA 프로필에 등록된 CA 인증서는 응답의 유효성을 검사하는 데 사용됩니다.
-
OCSP 응답에는 OCSP 응답의 유효성을 검증하기 위한 인증서가 포함될 수 있습니다. 수신된 인증서는 SRX 시리즈 방화벽에 등록된 CA 인증서로 서명해야 합니다. 수신된 인증서가 CA 인증서에 의해 검증되면 OCSP 응답의 검증에 사용됩니다.
OCSP 서버의 응답은 다른 CA에서 서명할 수 있습니다. 지원되는 시나리오는 다음과 같습니다.
-
디바이스에 대한 최종 엔터티 인증서를 발급하는 CA 서버도 OCSP 해지 상태 응답에 서명합니다. SRX 시리즈 방화벽은 SRX 시리즈 방화벽에 등록된 CA 인증서를 사용하여 OCSP 응답 서명을 확인합니다. OCSP 응답의 유효성이 검사된 후 인증서 해지 상태가 확인됩니다.
-
권한 있는 응답자가 OCSP 해지 상태 응답에 서명합니다. 권한 부여된 응답자에 대한 인증서와 확인 중인 최종 엔터티 인증서는 동일한 CA에서 발급해야 합니다. 인증된 응답자는 먼저 SRX 시리즈 방화벽에 등록된 CA 인증서를 사용하여 확인됩니다. OCSP 응답은 응답자의 CA 인증서를 사용하여 검증됩니다. 그런 다음 SRX 시리즈 방화벽은 OCSP 응답을 사용하여 최종 엔티티 인증서의 해지 상태를 확인합니다.
-
확인 중인 최종 엔터티 인증서와 OCSP 응답에 대해 서로 다른 CA 서명자가 있습니다. OCSP 응답은 확인 중인 최종 엔터티 인증서에 대한 인증서 체인의 CA에 의해 서명됩니다. (IKE 협상에 참여하는 모든 피어는 해당 인증서 체인에 하나 이상의 신뢰할 수 있는 공통 CA가 있어야 합니다.) OCSP 응답자의 CA는 인증서 체인의 CA를 사용하여 확인됩니다. 응답자 CA 인증서의 유효성을 검사한 후 응답자의 CA 인증서를 사용하여 OCSP 응답의 유효성을 검사합니다.
재생 공격을 방지하기 위해 OCSP 요청에서 임시 페이로드를 보낼 수 있습니다. Nonce 페이로드는 명시적으로 비활성화되지 않는 한 기본적으로 전송됩니다. 활성화된 경우, SRX 시리즈 방화벽은 OCSP 응답에 논스 페이로드가 포함될 것으로 예상하고, 그렇지 않으면 해지 검사에 실패합니다. OCSP 응답자가 임시 페이로드로 응답할 수 없는 경우 SRX 시리즈 방화벽에서 임시 페이로드를 비활성화해야 합니다.
정상적인 비즈니스 과정에서 인증서는 여러 가지 이유로 해지됩니다. 예를 들어 인증서가 손상된 것으로 의심되는 경우 또는 인증서 보유자가 퇴사하는 경우 인증서를 해지할 수 있습니다.
인증서 해지 및 유효성 검사는 다음 두 가지 방법으로 관리할 수 있습니다.
-
로컬— 제한된 솔루션입니다.
-
CA(Certificate Authority) CRL(Certificate Revocation List)을 참조하여 지정한 간격 또는 CA에서 설정한 기본 간격으로 온라인에서 CRL에 자동으로 액세스할 수 있습니다.
1단계 협상에서 SRX 시리즈 방화벽은 IKE 교환 중에 피어로부터 수신한 EE 인증서를 확인하고 CRL을 사용하여 EE 인증서가 CA에 의해 취소되지 않았는지 확인합니다.
CRL이 디바이스에 로드되지 않고 피어 인증서 발급자가 신뢰할 수 있는 CA인 경우:
- Junos OS는 CA 프로필에 정의된 경우 구성된 LDAP 또는 HTTP CRL 위치(즉, CRL 배포 지점(CDP))를 통해 CRL을 검색합니다.
- CRL 배포 지점이 CA 프로필에 구성되지 않은 경우 디바이스는 CA에서 발급한 인증서(있는 경우)에서 CDP 확장을 사용합니다. CA에서 발급한 인증서는 관리자가 등록하거나 1단계 협상 중에 받은 인증서일 수 있습니다.
루트 CA에서 EE 인증서를 발급하지 않은 경우 각 중간 CA의 인증서는 동일한 확인 및 해지 검사를 거칩니다. 루트 CA의 CRL은 루트 CA에서 발급한 인증서가 해지되었는지 확인하는 데 사용됩니다. CDP가 루트 CA 프로필에 구성되지 않은 경우 디바이스는 CA에서 발급한 인증서(있는 경우)에서 CDP 확장을 사용합니다.
X509 인증서의 CRL 배포 지점 확장(.cdp)은 HTTP URL 또는 LDAP URL에 추가할 수 있습니다.
인증서에 인증서 배포 지점 확장이 포함되어 있지 않고 LDAP(Lightweight Directory Access Protocol) 또는 HTTP(Hypertext Transfer Protocol)를 통해 CRL을 자동으로 검색할 수 없는 경우 CRL을 수동으로 검색하여 디바이스에 로드할 수 있습니다.
로컬 인증서는 CRL 확인을 사용할 수 없는 경우에도 CRL(인증서 해지 목록)에 대해 유효성이 검사됩니다. PKI(Public Key Infrastructure) 구성을 통해 CRL 검사를 비활성화하여 이 작업을 중지할 수 있습니다. CRL 검사를 사용하지 않도록 설정하면 PKI는 CRL에 대해 로컬 인증서의 유효성을 검사하지 않습니다.
온라인 인증서 상태 프로토콜 및 인증서 해지 목록 비교
OCSP(온라인 인증서 상태 프로토콜) 및 CRL(인증서 해지 목록)을 모두 사용하여 인증서의 해지 상태를 확인할 수 있습니다. 각 방법에는 장점과 단점이 있습니다.
-
OCSP는 인증서 상태를 실시간으로 제공하는 반면 CRL은 캐시된 데이터를 사용합니다. 시간에 민감한 애플리케이션의 경우 OCSP가 선호되는 접근 방식입니다.
-
인증서 상태 조회는 VPN 디바이스에 캐시된 정보에서 수행되므로 CRL 검사가 더 빠릅니다. OCSP는 외부 서버에서 해지 상태를 가져오는 데 시간이 필요합니다.
-
CRL에는 CRL 서버로부터 받은 해지 목록을 저장하기 위한 추가 메모리가 필요합니다. OCSP는 인증서의 해지 상태를 저장하기 위해 추가 메모리를 필요로 하지 않습니다.
-
OCSP를 사용하려면 OCSP 서버를 항상 사용할 수 있어야 합니다. CRL은 캐시된 데이터를 사용하여 서버에 연결할 수 없는 경우 인증서의 해지 상태를 확인할 수 있습니다.
MX 시리즈 및 SRX 시리즈 방화벽에서 CRL은 인증서의 해지 상태를 확인하는 데 사용되는 기본 방법입니다.
참조
예: 디바이스에 CRL 수동 로드
이 예에서는 CRL을 디바이스에 수동으로 로드하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
공개 및 개인 키 쌍을 생성합니다. 자체 서명 디지털 인증서를 참조하십시오.
인증서 요청을 생성합니다. 예: 로컬 인증서에 대한 CSR을 수동으로 생성하여 CA 서버로 전송합니다.
인증 기관(CA) 프로필을 구성합니다. 예: CA 프로필 구성.
디바이스에 인증서를 로드합니다. 예: CA 및 로컬 인증서를 수동으로 로드합니다.
개요
CRL을 수동으로 로드하거나 인증서 유효성을 확인할 때 디바이스가 CRL을 자동으로 로드하도록 할 수 있습니다. CRL을 수동으로 로드하려면 CA에서 CRL을 가져와 디바이스로 전송합니다(예: FTP 사용).
이 예에서는 디바이스의 /var/tmp 디렉터리에서 호출 된 CRL 인증서를 로드합니다.revoke.crl CA 프로필은 라고 합니다 .ca-profile-ipsec (최대 파일 크기는 5MB입니다.)
CRL이 이미 ca-profile에 로드된 경우 먼저 명령을 실행하여 이전 CRL을 지워야 합니다.clear security pki crl ca-profile ca-profile-ipsec
구성
절차
단계별 절차
CRL 인증서를 수동으로 로드하려면:
CRL 인증서를 로드합니다.
[edit] user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OS는 X509, PKCS #7, DER 또는 PEM 형식의 CA 인증서 로드를 지원합니다.
검증
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 입력합니다.show security pki crl
동적 CRL 다운로드 및 확인 이해
디지털 인증서는 일정 기간 동안 발급되며 지정된 만료 날짜 이후에는 유효하지 않습니다. CA는 발급된 인증서를 CRL(인증서 해지 목록)에 나열하여 해지할 수 있습니다. 피어 인증서 유효성 검사 중에 CA 서버에서 로컬 디바이스로 CRL을 다운로드하여 피어 인증서의 해지 상태를 확인합니다.
CA 프로필이 구성되지 않은 경우 인증서에 대한 CRL 검사를 용이하게 하기 위해 동적 CA 프로필이 생성됩니다. 동적 CA 프로필은 로컬 디바이스에 형식 으로 자동 생성됩니다.dynamic-nnn
동적 CA 프로필:
- 로컬 디바이스가 피어의 localcert 발급자에 따라 동적 CA 및 동적 CRL(해당 CA의 경우)을 다운로드할 수 있습니다.
- 피어 인증서의 해지 상태를 확인합니다
VPN 디바이스는 피어의 EE 인증서에서 해지 상태를 확인합니다. VPN 디바이스는 피어 로부터 받은 인증서를 사용하여 다음을 수행합니다.
- URL을 추출하여 CA의 CRL을 동적으로 다운로드합니다.
- 피어 EE 인증서의 해지 상태 확인
에서 Host-A는 Host-B에서 받은 Sales-CA 및 EE 인증서를 사용하여 Sales-CA에 대한 CRL을 동적으로 다운로드하고 Host-B 인증서의 해지 상태를 확인할 수 있습니다.그림 1
단일 계층 CA 서버 또는 CA 인증서 체인의 경우 로컬 EE 인증서와 수신된 피어 EE 인증서가 동일한 CA 서버에서 발급됩니다.
다음은 다양한 구성을 기반으로 한 SRX 시리즈 방화벽 동작의 일부입니다.
- 신뢰할 수 있는 CA 또는 신뢰할 수 있는 CA 그룹으로 SRX 시리즈 방화벽을 구성한 경우 디바이스는 다른 CA를 검증하거나 신뢰하지 않습니다.
- SRX 시리즈 방화벽이 루트 CA만 신뢰하고 피어에 하위 CA가 이 루트에 서명한 인증서가 있는 CA 체인이 있는 CA 프로필을 정의한 경우 동적 CA 및 CRL이 디바이스에 추가됩니다.
표 1 에서는 동적 CA 또는 CRL이 생성되지 않는 몇 가지 샘플 시나리오를 제공합니다.
|
시나리오 |
조건 |
|---|---|
|
샘플 시나리오 1 |
CA 프로필에서 ca-profile-name에 대해 신뢰할 수 있는 CA를 정의했으며, CA 프로필에서 신뢰할 수 있는 CA로 정의되지 않은 다른 CA에서 서명한 인증서가 있는 디바이스로부터 연결을 수신합니다. |
|
샘플 시나리오 2 |
SRX 시리즈 방화벽이 하위 CA만 신뢰하고 피어에 이 하위 CA보다 높은 수준에서 서명된 인증서가 있는 CA 체인이 있는 CA 프로필을 정의했습니다. |
동적 CA 프로필을 활성화하려면 [] 계층 수준의 루트-CA 프로필에 대한 옵션을 구성해야 합니다.revocation-check crledit security pki ca-profile profile-name
Root-CA 프로필의 해지 검사 속성은 동적 CA 프로필에 대해 상속됩니다. 에서 Root-CA에 대한 Host-A의 CA 프로필 구성은 다음 출력에 표시된 대로 동적 CA 프로필을 활성화합니다.그림 1
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
revocation-check {
crl;
}
}
}동적 CA 프로필은 Sales-CA에 대한 Host-A에 생성됩니다. 해지 검사는 Root-CA에서 Sales-CA 동적 CA 프로필에 대해 상속됩니다.
문이 Root-CA 프로필에 구성된 경우, 동적 CA 프로필이 생성되지 않고 동적 CRL 다운로드 및 검사가 수행되지 않습니다.revocation-check disable
동적 CA 프로필에서 다운로드한 CRL의 데이터는 구성된 CA 프로필에서 다운로드한 CRL과 동일한 방식으로 명령과 함께 표시됩니다.show security pki crl 동적 CA 프로필의 CRL은 디바이스에 구성된 CA 프로필의 CRL과 마찬가지로 주기적으로 업데이트됩니다. 피어 CA 인증서는 CA 서버에서 다운로드한 CRL의 서명 유효성 검사에도 필요합니다.
CA 인증서는 CA 서버에서 수신한 CRL의 유효성을 검사하는 데 필요합니다. 따라서 피어에서 수신한 CA 인증서는 로컬 디바이스에 저장됩니다. 피어에서 수신한 CA 인증서는 CRL 및 CRL이 발급한 인증서의 유효성을 검사하는 데 사용됩니다. 수신된 CA 인증서는 관리자가 등록하지 않았기 때문에 루트 CA까지의 전체 인증서 체인이 확인될 때까지 성공적인 인증서 확인의 결과가 결정적이지 않습니다. 루트 CA의 인증서는 관리자가 등록해야 합니다.
참조
예: CRL 위치로 인증 기관 프로파일 구성
이 예는 CRL 위치를 사용하여 인증 기관 프로파일을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
디바이스에서 키 페어를 생성합니다. 디지털 인증서를 참조하십시오.
CA와 관련된 정보가 포함된 CA 프로필을 만듭니다. 예: CA 프로필 구성.
CA에서 개인 인증서를 확보하십시오. 예: 로컬 인증서에 대한 CSR을 수동으로 생성하여 CA 서버로 전송합니다.
디바이스에 인증서를 로드합니다. 예: CA 및 로컬 인증서를 수동으로 로드합니다.
자동 재등록을 구성합니다. 예: SecurID 사용자 인증 구성.
필요한 경우 디바이스에 인증서의 CRL을 로드합니다. 예: 디바이스에 CRL을 수동으로 로드합니다.
개요
이 예에서는 디바이스가 호출 된 CA 프로필의 유효성을 확인하도록 지시하고, CRL이 CA 인증서와 함께 제공되지 않고 디바이스에 로드되지 않은 경우 URL에서 CRL을 검색하도록 합니다.my_profile http://abc/abc-crl.crl
구성
절차
단계별 절차
CRL을 사용하여 인증서를 구성하려면 다음을 수행합니다.
CA 프로필 및 URL을 지정합니다.
[edit] user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 입력합니다.show security pki
예: 인증서 유효성 확인
이 예에서는 인증서의 유효성을 확인하는 방법을 보여 줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 인증서를 수동으로 확인하여 인증서가 해지되었는지 또는 로컬 인증서를 생성하는 데 사용된 CA 인증서가 디바이스에 더 이상 존재하지 않는지 확인합니다.
인증서를 수동으로 확인하면 디바이스는 CA 인증서()를 사용하여 로컬 인증서( )를 확인합니다.ca-certlocal.cert 로컬 인증서가 유효하고 CA 프로필에서 이(가) 활성화된 경우 디바이스는 CRL이 로드되고 유효한지 확인합니다.revocation-check CRL이 로드되지 않고 유효하지 않은 경우 디바이스는 새 CRL을 다운로드합니다.
CA에서 발급한 인증서 또는 CA 인증서의 경우 디바이스 구성에서 DNS를 구성해야 합니다. DNS는 배포 CRL 및 ca-profile 구성의 CA 인증서/해지 목록 URL에서 호스트를 확인할 수 있어야 합니다. 또한 검사를 수신하려면 동일한 호스트에 대한 네트워크 연결이 가능해야 합니다.
구성
절차
단계별 절차
인증서의 유효성을 수동으로 확인하려면:
로컬 인증서의 유효성을 확인합니다.
[edit] user@host> request security pki local-certificate verify certificate-id local.cert
CA 인증서의 유효성을 확인합니다.
[edit] user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
연결된 개인 키와 서명도 확인됩니다.
검증
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 .show security pki ca-profile
긍정 확인 대신 오류가 반환되면 실패가 pkid에 기록됩니다.
로드된 CRL 삭제(CLI 절차)
인증서 해지 및 유효성 검사를 관리하는 데 더 이상 사용할 필요가 없는 경우 로드된 CRL을 삭제하도록 선택할 수 있습니다.
다음 명령을 사용하여 로드된 인증서 해지 목록을 삭제합니다.
user@host> clear security pki crl ca-profile (ca-profile all)
CA 프로필을 지정하여 프로필로 식별된 CA와 연결된 CRL을 삭제하거나 를 사용하여 모든 CRL을 삭제합니다.all