인증서 해지
디지털 인증서의 만료일은 있지만 만료 이전에는 여러 가지 이유로 인해 인증서가 더 이상 유효하지 않을 수 있습니다. 인증서 해지 및 검증을 로컬에서, 그리고 인증 기관(CA) 인증서 해지 목록(CRL)을 참조하여 관리할 수 있습니다.
온라인 인증서 상태 프로토콜 및 인증서 해지 목록 이해
OCSP는 X509 인증서의 해지 상태를 확인하는 데 사용됩니다. OCSP는 인증서의 해지 상태를 실시간으로 제공하며 은행 거래 및 주식 거래와 같은 시간에 민감한 상황에서 유용합니다.
인증서의 해지 상태는 SRX 시리즈 방화벽 외부에 있는 OCSP 서버에 요청을 전송하여 확인됩니다. 서버의 응답을 기반으로 VPN 연결은 허용되거나 거부됩니다. OCSP 응답은 SRX 시리즈 방화벽에 캐시되지 않습니다.
OCSP 서버는 인증서 또는 지정된 공인 응답자를 발행하는 인증 기관(CA) 이 될 수 있습니다. OCSP 서버의 위치는 확인 중인 인증서에서 수동으로 구성하거나 추출할 수 있습니다. 요청은 [edit security pki ca-profile profile-name revocation-check] 계층 수준에서 문을 사용하여 CA 프로필에서 수동으로 구성된 OCSP 서버 위치로 ocsp url 먼저 전송됩니다. 각 CA 프로필에 대해 최대 2개의 위치를 구성할 수 있습니다. 첫 번째 구성된 OCSP 서버에 도달할 수 없는 경우, 요청은 두 번째 OCSP 서버로 전송됩니다. 두 번째 OCSP 서버에 도달할 수 없는 경우 요청은 인증서의 AuthorityInfoAccess 확장 필드의 위치로 전송됩니다. 인증서 해지 목록(CRL)이 use-ocsp 기본 확인 방법이므로 옵션도 구성해야 합니다.
SRX 시리즈 방화벽은 CA 또는 공인 응답자의 서명된 OCSP 응답만 허용합니다. 수신된 응답은 신뢰할 수 있는 인증서를 사용하여 검증됩니다. 다음과 같이 응답이 검증됩니다.
-
구성된 CA 프로필에 등록된 CA 인증서는 응답을 검증하는 데 사용됩니다.
-
OCSP 응답에는 OCSP 응답을 검증하는 인증서가 포함될 수 있습니다. 수신된 인증서는 SRX 시리즈 방화벽에 등록된 CA 인증서로 서명해야 합니다. 수신된 인증서가 CA 인증서에 의해 검증된 후 OCSP 응답을 검증하는 데 사용됩니다.
OCSP 서버의 응답은 다른 CAS에 의해 서명될 수 있습니다. 지원되는 시나리오는 다음과 같습니다.
-
디바이스에 최종 엔터티 인증서를 발행하는 CA 서버도 OCSP 해지 상태 응답에 서명합니다. SRX 시리즈 방화벽은 SRX 시리즈 방화벽에 등록된 CA 인증서를 사용하여 OCSP 응답 서명을 확인합니다. OCSP 응답이 확인되면 인증서 해지 상태가 확인됩니다.
-
공인 응답자가 OCSP 해지 상태 응답에 서명합니다. 인증된 응답자 인증서와 확인되는 최종 엔터티 인증서는 동일한 CA에서 발급해야 합니다. 공인 응답자는 SRX 시리즈 방화벽에 등록된 CA 인증서를 사용하여 먼저 확인됩니다. OCSP 응답은 응답자의 CA 인증서를 사용하여 검증됩니다. 그런 다음 SRX 시리즈 방화벽은 OCSP 응답을 사용하여 최종 엔터티 인증서의 해지 상태를 확인합니다.
-
확인 중인 최종 엔터티 인증서와 OCSP 응답에 대한 다른 CA 서명자가 있습니다. OCSP 응답은 확인 중인 최종 엔터티 인증서에 대한 인증서 체인의 CA에 의해 서명됩니다. (IKE 협상에 참여하는 모든 피어는 해당 인증서 체인에서 하나 이상의 공통 신뢰할 수 있는 CA를 가져야 합니다.) OCSP 응답자의 CA는 인증서 체인에서 CA를 사용하여 확인됩니다. 응답자 CA 인증서를 검증한 후 OCSP 응답은 응답자의 CA 인증서를 사용하여 검증됩니다.
반복 공격을 방지하기 위해 OCSP 요청에 비중(nonce ) 페이로드를 전송할 수 있습니다. Nonce 페이로드는 명시적으로 비활성화되지 않는 한 기본적으로 전송됩니다. 이(가) 활성화된 경우, SRX 시리즈 방화벽은 OCSP 응답이 nonce 페이로드를 포함할 것으로 예상하며, 그렇지 않으면 해지 검사가 실패합니다. OCSP 응답자가 nonce 페이로드로 대응할 수 없는 경우, SRX 시리즈 방화벽에서 nonce 페이로드를 비활성화해야 합니다.
일반적인 비즈니스 과정에서는 여러 가지 이유로 인증서가 해지됩니다. 예를 들어 인증서가 손상되었다고 의심되거나 인증서 소유자가 회사를 떠날 때 인증서를 해지하길 원할 수 있습니다.
인증서 해지 및 검증을 다음과 같은 두 가지 방법으로 관리할 수 있습니다.
-
로컬 - 이것은 제한된 솔루션입니다.
-
인증 기관(CA) 인증서 해지 목록(CRL)을 참조함으로써, 캘리포니아에서 설정한 기본 간격 또는 지정한 간격으로 온라인으로 CRL에 자동으로 액세스할 수 있습니다.
1단계 협상에서 SRX 시리즈 방화벽은 IKE 교환 중에 피어로부터 수신한 EE 인증서를 확인하고 CRL을 사용하여 EE 인증서가 CA에 의해 해지되지 않도록 합니다.
CRL이 디바이스에 로드되지 않고 피어 인증서 발행자는 신뢰할 수 있는 CA인 경우:
- Junos OS 구성된 LDAP 또는 HTTP CRL 위치(즉, CDP(CRL Distribution Points))를 통해 CRL을 검색합니다( CA 프로파일에 정의되어 있는 경우).
- CRL 배포 지점이 CA 프로필에 구성되지 않은 경우 디바이스는 CA가 발행한 인증서에서 CDP 확장을 사용합니다(있는 경우). CA에서 발급한 인증서는 관리자가 등록하거나 1단계 협상 중에 수신한 인증서일 수 있습니다.
루트 CA에서 EE 인증서를 발급하지 않은 경우, 각 중간 CA의 인증서는 동일한 검증 및 해지 검사를 거집니다. 루트 CA의 CRL은 루트 CA에서 발행한 인증서가 취소되었는지 확인하는 데 사용됩니다. CDP가 루트 CA 프로필에서 구성되지 않은 경우 디바이스는 CA가 발행한 인증서의 CDP 확장을 사용합니다(있는 경우).
X509 인증서의 CRL 배포 지점 확장(.cdp)은 HTTP URL 또는 LDAP URL에 추가할 수 있습니다.
인증서에 인증서 배포 지점 확장이 포함되어 있지 않고 LDAP(Lightweight Directory Access Protocol) 또는 HTTP(Hypertext Transfer Protocol)를 통해 CRL을 자동으로 검색할 수 없는 경우 CRL을 수동으로 검색하여 디바이스에 로드할 수 있습니다.
CRL 검사가 비활성화된 경우에도 로컬 인증서가 CRL(인증서 해지 목록)에 대해 검증되고 있습니다. 이는 퍼블릭 키 인프라(PKI) 구성을 통해 CRL 검사를 비활성화하여 중지할 수 있습니다. CRL 검사가 비활성화되면 PKI는 CRL에 대해 로컬 인증서를 검증하지 않습니다.
온라인 인증서 상태 프로토콜 및 인증서 해지 목록 비교
OCSP(Online Certificate Status Protocol) 및 CRL(인증서 해지 목록)을 모두 사용하여 인증서의 해지 상태를 확인할 수 있습니다. 각 방법에는 장점과 단점이 있습니다.
-
OCSP는 실시간으로 인증서 상태를 제공하고 CRL은 캐시된 데이터를 사용합니다. 시간에 민감한 애플리케이션의 경우 OCSP가 선호되는 접근 방식입니다.
-
인증서 상태를 조회하는 것은 VPN 디바이스에 캐시된 정보에 대해 수행되므로 CRL 검사가 더 빠릅니다. OCSP는 외부 서버에서 해지 상태를 얻는 데 시간이 필요합니다.
-
CRL은 CRL 서버에서 수신한 해지 목록을 저장하는 데 추가 메모리가 필요합니다. OCSP는 인증서의 해지 상태를 저장하는 데 추가 메모리가 필요하지 않습니다.
-
OCSP는 OCSP 서버를 항상 사용할 수 있어야 합니다. CRL은 캐시된 데이터를 사용하여 서버에 연결할 수 없는 경우 인증서 해지 상태를 확인할 수 있습니다.
MX 시리즈 및 SRX 시리즈 방화벽에서 CRL은 인증서 해지 상태를 확인하는 데 사용되는 기본 방법입니다.
참조
예를 들면 다음과 같습니다. 디바이스에 CRL을 수동으로 로드
이 예는 디바이스에 CRL을 수동으로 로드하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
퍼블릭 및 프라이빗 키 쌍을 생성합니다. 자체 서명된 디지털 인증서를 참조하십시오.
인증서 요청을 생성합니다. 예: 로컬 인증서에 대한 CSR을 수동으로 생성하고 CA 서버로 전송합니다.
인증 기관(CA) 프로필을 구성합니다. 예: CA 프로필 구성.
인증서를 디바이스에 로드합니다. 예: CA 및 로컬 인증서를 수동으로 로드합니다.
개요
인증서 유효성을 확인할 때 CRL을 수동으로 로드하거나 디바이스가 자동으로 로드할 수 있습니다. CRL을 수동으로 로드하려면 CA에서 CRL을 얻어 디바이스로 전송합니다(예: FTP 사용).
이 예에서는 디바이스의 /var/tmp 디렉터리에서 라는 revoke.crl CRL 인증서를 로드합니다. CA 프로필을 을(를) 호출 ca-profile-ipsec합니다. (최대 파일 크기는 5MB입니다.)
CRL이 이미 ca-profile에 로드되어 있는 경우 명령을 clear security pki crl ca-profile ca-profile-ipsec 먼저 실행하여 이전 CRL을 삭제해야 합니다.
구성
절차
단계별 절차
CRL 인증서를 수동으로 로드하려면,
CRL 인증서를 로드합니다.
[edit] user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OS X509, PKCS #7, DER 또는 PEM 형식으로 CA 인증서의 로드를 지원합니다.
확인
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 입력 show security pki crl 합니다.
동적 CRL 다운로드 및 확인 이해하기
디지털 인증서는 일정 기간 동안 발급되며 지정된 만료일 이후에는 유효하지 않습니다. CA는 발급된 인증서를 CRL(인증서 해지 목록)에 나열하여 취소할 수 있습니다. 피어 인증서 검증 중에 CA 서버에서 로컬 디바이스로 CRL을 다운로드하여 피어 인증서의 해지 상태를 확인합니다.
CA 프로필이 구성되지 않을 때 인증서에 대한 CRL 검사를 용이하게 하기 위해 동적 CA 프로필이 생성됩니다. 동적 CA 프로필은 로컬 디바이스에서 형식 dynamic-nnn으로 자동으로 생성됩니다.
동적 CA 프로필:
- 로컬 디바이스가 피어의 localcert 발행자별로 동적 CA 및 동적 CRL(해당 CA용)을 다운로드할 수 있도록 허용
- 피어 인증서의 해지 상태 확인
VPN 디바이스는 피어의 EE 인증서의 해지 상태를 확인합니다. VPN 디바이스는 피어 로부터 수신한 인증서를 사용하여 다음을 수행합니다.
- URL을 추출하여 CA의 CRL을 동적으로 다운로드합니다.
- 피어의 EE 인증서 해지 상태 확인
에서 Host-A는 그림 1Host-B에서 수신된 Sales-CA 및 EE 인증서를 사용하여 Sales-CA용 CRL을 동적으로 다운로드하고 Host-B 인증서의 해지 상태를 확인할 수 있습니다.
단일 계층 CA 서버 또는 CA 인증서 체인의 경우 로컬 EE 인증서와 수신된 피어 EE 인증서가 동일한 CA 서버에서 발행됩니다.
다음은 다른 구성을 기반으로 하는 SRX 시리즈 방화벽 동작입니다.
- 신뢰할 수 있는 ca 또는 trusted-ca-group으로 SRX 시리즈 방화벽을 구성한 경우 디바이스는 다른 CA를 검증하거나 신뢰하지 않습니다.
- SRX 시리즈 방화벽이 루트 CA만 신뢰하고 피어가 해당 루트에 대한 하위 CA에 의해 서명된 인증서를 가지고 있는 CA 프로필을 정의한 경우, 디바이스에 동적 CA 및 CRL이 추가됩니다.
표 1 동적 CA 또는 CRL이 생성되지 않은 몇 가지 샘플 시나리오를 제공합니다.
|
시나리오 |
조건 |
|---|---|
|
샘플 시나리오 1 |
CA 프로필에서 ca-profile-name에 대해 신뢰할 수 있는 CA를 정의했으며, CA 프로필에서 신뢰할 수 있는 CA로 정의되지 않은 다른 CA가 서명한 인증서가 있는 디바이스로부터 연결을 받습니다. |
|
샘플 시나리오 2 |
SRX 시리즈 방화벽이 하위 CA만 신뢰하고 피어에 이 하위 CA 이상의 수준으로 서명된 인증서가 있는 CA 프로필 체인이 있는 CA 프로필을 정의했습니다. |
동적 CA 프로필을 활성화하려면 [edit security pki ca-profile profile-name] 계층 수준에서 루트-CA 프로필에서 옵션을 구성 revocation-check crl 해야 합니다.
루트-CA 프로필의 해지 검사 속성은 동적 CA 프로필에 대해 상속됩니다. 에서 그림 1루트-CA를 위한 Host-A에서의 CA 프로필 구성은 다음 출력에 표시된 대로 동적 CA 프로필을 활성화합니다.
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
revocation-check {
crl;
}
}
}동적 CA 프로필은 Sales-CA를 위한 Host-A에서 생성됩니다. 해지 검사는 루트-CA의 Sales-CA 동적 CA 프로필에 대해 상속됩니다.
revocation-check disable 문이 루트-CA 프로필에서 구성되면 동적 CA 프로필이 생성되지 않고 동적 CRL 다운로드 및 확인이 수행되지 않습니다.
동적 CA 프로필에서 다운로드한 CRLs의 데이터는 구성된 CA 프로필에서 다운로드한 CRLs와 동일한 방식으로 명령으로 show security pki crl 표시됩니다. 동적 CA 프로필의 CRL은 디바이스에서 구성된 CA 프로필의 CRL과 마찬가지로 주기적으로 업데이트됩니다. 피어 CA 인증서는 또한 CA 서버에서 다운로드된 CRL의 서명 검증을 위해 필요합니다.
CA 인증서는 CA 서버에서 수신한 CRL을 검증하기 위해 필요합니다. 따라서 피어로부터 수신한 CA 인증서는 로컬 디바이스에 저장됩니다. 피어로부터 수신된 CA 인증서는 CRL 및 발행한 인증서를 검증하는 데 사용됩니다. 수신된 CA 인증서는 관리자가 등록하지 않으므로, 루트 CA에 대한 전체 인증서 체인이 확인될 때까지 성공적인 인증서 검증의 결과는 확정되지 않습니다. 루트 CA의 인증서는 관리자가 등록해야 합니다.
참조
예를 들면 다음과 같습니다. CRL 위치로 인증서 기관 프로필 구성
이 예는 CRL 위치로 인증서 기관 프로필을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 키 쌍을 생성합니다. 디지털 인증서를 참조하십시오.
CA 특정 정보를 포함하는 CA 프로필 또는 프로필을 생성합니다. 예: CA 프로필 구성.
CA에서 개인 인증서를 획득합니다. 예: 로컬 인증서에 대한 CSR을 수동으로 생성하고 CA 서버로 전송합니다.
인증서를 디바이스에 로드합니다. 예: CA 및 로컬 인증서를 수동으로 로드합니다.
자동 재롤을 구성합니다. 예: 보안ID 사용자 인증 구성.
필요한 경우 디바이스에 인증서의 CRL을 로드합니다. 예: 디바이스에 CRL을 수동으로 로드합니다.
개요
이 예에서는 디바이스에 라는 my_profile CA 프로필의 유효성을 확인하도록 지시하고, CRL이 CA 인증서를 동반하지 않고 디바이스에 로드되지 않은 경우 URL http://abc/abc-crl.crl에서 CRL을 검색하도록 지시합니다.
구성
절차
단계별 절차
CRL을 사용하여 인증서를 구성하려면 다음을 수행합니다.
CA 프로필 및 URL을 지정합니다.
[edit] user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 입력 show security pki 합니다.
예를 들면 다음과 같습니다. 인증서 유효성 확인
이 예는 인증서의 유효성을 확인하는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 인증서를 수동으로 확인하여 인증서가 취소되었는지 또는 로컬 인증서를 생성하는 데 사용된 CA 인증서가 더 이상 디바이스에 없는지 여부를 확인합니다.
인증서를 수동으로 확인하면 디바이스는 CA 인증서()를 사용하여 로컬 인증서(ca-certlocal.cert)를 확인합니다. 로컬 인증서가 유효하고 CA 프로필에서 활성화된 경우 revocation-check 디바이스는 CRL이 로드되고 유효한지 확인합니다. CRL이 로드되지 않고 유효하지 않으면 디바이스는 새 CRL을 다운로드합니다.
CA에서 발급한 인증서 또는 CA 인증서의 경우 디바이스 구성에서 DNS를 구성해야 합니다. DNS는 배포 CRL 및 ca-profile 구성의 CA 인증/해지 목록 URL에서 호스트를 해결할 수 있어야 합니다. 또한 검사를 수신하려면 동일한 호스트에 대한 네트워크 연결성을 가져야 합니다.
구성
절차
단계별 절차
인증서의 유효성을 수동으로 확인하기 위해 다음을 수행합니다.
로컬 인증서의 유효성을 확인합니다.
[edit] user@host> request security pki local-certificate verify certificate-id local.cert
CA 인증서의 유효성을 확인합니다.
[edit] user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
관련 프라이빗 키와 서명도 확인됩니다.
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security pki ca-profile .
긍정적인 검증 대신 오류가 반환되면 실패가 pkid에 기록됩니다.
로드된 CRL 삭제(CLI 절차)
인증서 해지 및 검증을 관리하는 데 더 이상 사용할 필요가 없는 경우 로드된 CRL을 삭제하도록 선택할 수 있습니다.
로드된 인증서 해지 목록을 삭제하려면 다음 명령을 사용합니다.
user@host> clear security pki crl ca-profile (ca-profile all)
CA 프로필을 지정하여 프로필로 식별된 CA와 연관된 CRL을 삭제하거나 모든 CRL을 삭제하는 데 사용합니다 all .