Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증서 해지

디지털 인증서의 만료일은 만료일이 됐지만, 만료 이전에는 여러 가지 이유로 증명서가 더 이상 유효하지 않을 수 있습니다. 로컬에서 인증서 취소 및 검증을 관리하고 CRL(Certificate Authority CA(certificate authority)) 인증서 취소 목록(CA(certificate authority))을 참조할 수 있습니다.

온라인 인증서 상태 프로토콜 및 인증서 취소 목록 이해

OCSP는 X509 인증서의 취소 상태를 검사하는 데 사용됩니다. OCSP는 인증서에 대한 해지 상태를 실시간으로 제공하며 은행 거래 및 주식 거래와 같이 시기에 민감한 상황에서 유용합니다.

SRX 시리즈 디바이스 외부에 있는 OCSP 서버로 요청을 전송하여 인증서의 해지 상태를 검사합니다. 서버 응답에 따라 VPN 연결은 허용 또는 거부됩니다. OCSP 응답은 SRX 시리즈 디바이스에 캐시되지 않습니다.

OCSP 서버는 증명서나 지정된 CA(certificate authority) 발급하는 인증 기관(CA(certificate authority))이 될 수 있습니다. OCSP 서버의 위치는 검증되고 있는 인증서에서 수동으로 구성하거나 추출할 수 있습니다. 요청은 [ ] 계층 수준에서 명령문을 CA(certificate authority) 프로파일에서 수동으로 구성되는 OCSP 서버 위치로 우선 전송됩니다. 각 프로파일에 대해 최대 ocsp urledit security pki ca-profile profile-name revocation-check CA(certificate authority) 있습니다. 최초 구성된 OCSP 서버에 도달할 수 없는 경우 요청이 두 번째 OCSP 서버로 전송됩니다. 두 번째 OCSP 서버에 도달할 수 없는 경우 요청이 인증서의 AuthorityInfoAcces 확장 필드의 위치로 전송됩니다. use-ocspCRL(Certificate Revocation List)이 기본 검사 방식이기 때 옵션도 구성해야 합니다.

SRX 시리즈 디바이스는 응답자 또는 인증된 응답자로부터 CA(certificate authority) OCSP 응답만 허용합니다. 수신된 응답은 신뢰할 수 있는 인증서를 사용하여 검증됩니다. 응답은 다음과 같이 검증됩니다.

  1. 구성된 CA(certificate authority) 프로필에 등록된 CA(certificate authority) 증명서를 사용하여 응답을 검증합니다.

  2. OCSP 응답은 OCSP 응답을 검증하기 위한 증명서를 포함할 수 있습니다. 수신된 인증서는 SRX 시리즈 장치에 CA(certificate authority) 인증서로 서명해야 합니다. 수신된 증명서가 CA(certificate authority) OCSP 응답을 검증하는 데 사용됩니다.

OCSP 서버의 응답은 서로 다른 CAS에 의해 서명될 수 있습니다. 지원되는 시나리오는 다음과 같습니다.

  • CA(certificate authority) 최종 엔티티 인증서를 발급하는 서버도 OCSP 해지 상태 응답에 서명합니다. SRX 시리즈 디바이스는 SRX 시리즈 장치에 CA(certificate authority) 인증서를 사용하여 OCSP 응답 시그니처를 검증합니다. OCSP 응답이 검증된 후, 증명서 해지 상태가 검사됩니다.

  • 인증된 응답자는 OCSP 해지 상태 응답에 서명합니다. 인증된 응답자 및 검증할 최종 엔티티 인증서에 대한 인증서는 동일한 인증 기관에서 발행해야 CA(certificate authority). 인증된 응답자는 먼저 SRX 시리즈 디바이스에 CA(certificate authority) 인증을 사용하여 검증됩니다. OCSP 응답자는 인증을 통해 CA(certificate authority) 검증됩니다. 그런 다음 SRX 시리즈 디바이스는 OCSP 응답을 사용하여 최종 엔티티 인증서의 해지 상태를 확인합니다.

  • 검증되고 CA(certificate authority) OCSP 응답에 대한 각기 다른 서명자도 존재합니다. OCSP 응답은 검증되고 CA(certificate authority) 인증서 체인의 OCSP에 의해 서명됩니다. (모든 피어는 IKE(Internet Key Exchange) 인증 체인에 하나 이상의 공통된 트러스트 CA(certificate authority) 수 있도록 해야 합니다.) OCSP 응답자 CA(certificate authority) 인증 체인의 CA(certificate authority) 검증합니다. 응답자 CA(certificate authority) 인증서를 검증한 후, OCSP 응답자는 인증서를 사용하여 CA(certificate authority) 검증됩니다.

리플레이 공격을 방지하기 위해 OCSP 요청으로 비 페이로드를 전송할 수 있습니다. 비ce 페이로드는 명시적으로 비활성화되지 않는 한 기본적으로 전송됩니다. 활성화된 경우 SRX 시리즈 디바이스는 OCSP 응답에 nonce 페이로드가 포함되어 있을 것으로 예상합니다. 그렇지 않으면 해지 확인에 실패합니다. OCSP 응답자에서 비스(nonce) 페이로드로 응답할 수 없는 경우, SRX 시리즈 디바이스에서 비cece 페이로드를 비활성화해야 합니다.

일반적인 업무 과정에서는 다양한 이유로 증명서가 취소됩니다. 예를 들어, 손상된 것으로 의심되는 경우나 증명서 소유자가 퇴사할 때 인증서를 취소할 수도 있습니다.

인증서 해지 및 검증은 다음 두 가지 방법으로 관리할 수 있습니다.

  • 로컬— 이 솔루션은 제한된 솔루션입니다.

  • CRL(Certificate Authority CA(certificate authority)) 인증서 취소 목록(CRL)을 참조하여 지정한 간격이나 CRL에 의해 설정된 기본 간격으로 자동으로 CRL 온라인에 CA(certificate authority).

1단계 협상에서 SRX 시리즈 디바이스는 IKE(Internet Key Exchange) 교환 동안 피어로부터 수신된 EE 인증서를 검증하고 CRL을 사용하여 EE 인증서가 해당 인증서에 의해 취소되지 CA(certificate authority).

장비에서 CRL이 로드되지 않을 경우 피어 증명서 발행 업체가 신뢰할 수 CA(certificate authority).

  1. Junos OS 프로파일에 정의된 경우 구성된 LDAP 또는 HTTP CRL 위치(즉, CRL Distribution Points)를 통해 CRL을 CA(certificate authority) 검색합니다.
  2. CRL Distribution Points가 CA(certificate authority) 없는 경우, 장비는 CA(certificate authority)(있는 경우)에서 발행된 인증서에서 CDP 확장을 사용합니다. 에서 발행된 인증서는 CA(certificate authority) 사용자가 등록하거나 1단계 협상 동안 수신한 인증서일 수 있습니다.

루트 증명서에 의해 EE 증명서가 발행되지 CA(certificate authority) 각 중개 CAS의 증명서는 동일한 검증 및 해지 검사를 통과합니다. 루트 CA(certificate authority) 발급된 인증서가 취소되는지 CA(certificate authority) 사용됩니다. CDP가 루트 CA(certificate authority) 프로파일에 구성되지 않은 경우, 장비는 CA(certificate authority)(있는 경우)에서 CDP 확장을 사용합니다.

X509 인증서의 CRL 배포 지점 확장(.cdp)은 HTTP URL 또는 LDAP URL에 추가할 수 있습니다.

증명서에 인증서 배포 지점 확장 기능이 포함되어 있지 않을 경우, LDAP(Lightweight Directory Access Protocol) 또는 HTTP(Hypertext Transfer Protocol)를 통해 CRL을 자동으로 검색할 수 없는 경우, CRL을 수동으로 검색하고 해당 CRL을 디바이스에 로드할 수 있습니다.

CRL 검사를 비활성화한 경우에도 로컬 인증서는 CRL(Certificate Revocation List)에 대해 검증되고 있습니다. PKI(Public Key Infrastructure) 구성을 통해 CRL 검사를 중단하면 이를 중단할 수 있습니다. CRL 검사를 비활성화하면 PKI는 CRL에 대한 로컬 인증서의 유효성을 검사하지 않습니다.

온라인 인증서 상태 프로토콜 및 인증서 취소 목록 비교

OCSP(Online Certificate Status Protocol) 및 CRL(Certificate Revocation list)을 사용하여 인증서의 해지 상태를 확인할 수 있습니다. 각 방법에는 장점과 단점이 있습니다.

  • OCSP는 인증서 상태를 실시간으로 제공하는 반면, CRL은 캐시된 데이터를 사용한다. 시간에 민감한 애플리케이션의 경우 OCSP는 선호되는 접근 방식입니다.

  • 인증서 상태에 대한 검색은 VPN 장비에 캐시된 정보에서 수행하기 때문에 CRL 검사가 더욱 빨라집니다. OCSP는 외부 서버에서 해지 상태를 확보하는 데 시간이 필요합니다.

  • CRL은 CRL 서버에서 수신된 취소 목록을 저장하기 위해 추가 메모리를 필요로 합니다. OCSP는 인증서의 해지 상태를 저장하기 위해 추가 메모리를 요구하지 않습니다.

  • OCSP는 OCSP 서버를 사용할 수 있도록 요구합니다. CRL은 캐시된 데이터를 사용하여 서버가 액세스되지 않는 경우 인증서의 해지 상태를 검사할 수 있습니다.

MX 시리즈 및 SRX 시리즈 디바이스에서 CRL은 인증서의 취소 상태를 검사하는 데 사용되는 기본 방법입니다.

예를 들면 다음과 같습니다. 장비에 CRL을 수동으로 로드

이 예에서는 장비에 CRL을 수동으로 로드하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  1. 공용 및 전용 키 쌍을 생성합니다. 자체 서명 디지털 인증서 를 참조하십시오.

  2. 인증서 요청을 생성합니다. 예제를 참조합니다. 로컬 인증서를 위해 CSR을 수동으로 생성하고 해당 CSR을 CA(certificate authority).

  3. 인증 기관(CA(certificate authority)) 프로필을 구성합니다. 예제를 참조합니다. CA(certificate authority) 프로파일 구성.

  4. 인증서를 장비에 로드합니다. 예제를 참조합니다. 수동으로 CA(certificate authority) 및 로컬 인증서를 로드합니다.

개요

CRL을 수동으로 로드하거나 인증서 유효성을 검증할 때 디바이스가 자동으로 로드할 수 있습니다. CRL을 수동으로 로드하려면, CRL을 CRL에서 CA(certificate authority) 장비로 전송합니다(예: FTP 사용).

이 예에서는 장비의 revoke.crl /var/tmp 디렉토리에서 호출된 CRL 인증서를 로드합니다. CA(certificate authority) 프로파일을 ca-profile-ipsec 호출합니다. (최대 파일 크기는 5MB입니다.)

이미 ca-profile에 CRL이 로드된 경우 이전 CRL을 지우기 위해 먼저 명령어를 clear security pki crl ca-profile ca-profile-ipsec 실행해야 합니다.

구성

절차

단계별 절차

CRL 인증서를 수동으로 로드하려면 다음을 수행하십시오.

  1. CRL 인증서를 로드합니다.

    Junos OS X509, PKCS CA(certificate authority), DER 또는 PEM 형식으로 #7 인증서의 로드를 지원할 수 있습니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 show security pki crl 작업 모드 명령을 입력합니다.

동적 CRL 다운로드 및 확인에 대한 이해

디지털 인증서는 일정 기간 동안 발행되고 지정된 만료일 이후 유효하지 않습니다. A CA(certificate authority) CRL(Certificate Revocation List)에 나열하여 발행된 인증서를 취소할 수 있습니다. 피어 인증서 검증 동안 피어 증명서의 해체 상태를 검사하는 것은 CRL을 다른 서버에서 로컬 CA(certificate authority) 다운로드하여 확인됩니다.

CA(certificate authority) 프로파일이 구성되지 않은 경우 인증서에 대한 CRL 검사를 용이하게 하기 위해 동적 CA(certificate authority) 프로필을 생성합니다. 동적 CA(certificate authority) 프로파일이 자동으로 로컬 디바이스에서 dynamic-nnn 생성됩니다.

동적 CA(certificate authority) 프로파일:

  • 로컬 디바이스가 피어의 로컬 CA(certificate authority) 따라 동적 CA(certificate authority) 동적 CRL(해당 CA(certificate authority))을 다운로드할 수 있도록 지원
  • 피어의 인증서의 해지 상태를 검사합니다.

VPN 디바이스는 피어의 EE 인증서의 해지 상태를 확인합니다. VPN 장비는 CA(certificate authority) 피어로부터 받은 피어의 EE 인증서의 인증을 사용하여 다음과 같은 작업을 합니다.

  • URL을 추출하여 CA(certificate authority) CRL을 동적으로 다운로드
  • 피어의 EE 인증서의 해지 상태 확인

그림 1에서, Host-A는 Host-CA(certificate authority) 수신된 Sales-CA(certificate authority) EE 인증서를 사용하여 Sales-CA(certificate authority) CRL을 동적으로 다운로드하고 Host-B 인증서의 해지 상태를 확인할 수 있습니다.

그림 1: 인증 기반 인증을 위한 다단계 계층 인증 기반 인증을 위한 다단계 계층

단일 계층이 CA(certificate authority) 또는 CA(certificate authority) 체인의 경우 로컬 EE 인증서와 수신된 피어 EE 인증서가 동일한 CA(certificate authority) 발급됩니다.

다음은 서로 다른 구성을 기반으로 하는 SRX 시리즈 디바이스 동작의 일부입니다.

  • 신뢰할 수 있는 ca 또는 트러스트 ca-그룹으로 SRX 시리즈 디바이스를 구성한 경우 디바이스는 다른 CA를 검증하거나 신뢰하지 않습니다.
  • SR CA(certificate authority)X 시리즈 디바이스가 루트 CA(certificate authority) 신뢰하는 CAS 체인을 정의한 경우, 이 루트에 하위 CA(certificate authority) 서명한 인증서가 있는 경우 동적 CA(certificate authority) 및 CRL이 장비에 추가됩니다.

표 1 Dynamic CA(certificate authority) 또는 CRL이 생성되지 않은 몇 가지 샘플 시나리오를 제공합니다.

표 1: 샘플 시나리오

시나리오

조건

샘플 시나리오 1

CA(certificate authority) 프로필에서 ca-profile-name에 대한 신뢰할 수 있는 CA(certificate authority) 정의한 경우, 사용자 CA(certificate authority) 프로필에서 신뢰할 수 있는 네트워크로 정의되지 않은 다른 CA(certificate authority) 인증서가 있는 디바이스로부터 CA(certificate authority) 연결을 CA(certificate authority).

샘플 시나리오 2

SRX 시리즈 디바이스가 서브(sub-CA(certificate authority))만 신뢰하며 피어에는 이 하위 소프트웨어보다 높은 수준으로 서명된 인증서가 있는 CAS 체인을 CA(certificate authority). CA(certificate authority)

동적 CA(certificate authority) 프로필을 활성화하려면 [ ] 계층 수준에서 루트 CA(certificate authority) revocation-check crledit security pki ca-profile profile-name 프로파일에 옵션을 구성해야 합니다.

상위 프로파일의 해시 검사 속성은 CA(certificate authority) CA(certificate authority) 프로파일에 대해 상속됩니다. 루트-CA(certificate authority) Host-A의 CA(certificate authority) 프로파일 구성은 CA(certificate authority) 출력에 표시된 CA(certificate authority) 프로파일을 그림 1 지원한다.

세일즈 CA(certificate authority) 위해 Host-A상에 동적 CA(certificate authority). Revocation Checking은 Root-CA(certificate authority) 동적 CA(certificate authority) 프로파일에 대해 CA(certificate authority).

상위 프로파일에 명령문이 CA(certificate authority) 경우 동적 CA(certificate authority) 프로파일이 생성되지 CA(certificate authority) 동적 CRL 다운로드 및 검사가 revocation-check disable 수행되지 않습니다.

동적 CA(certificate authority) 프로파일에서 다운로드된CRLS의 데이터는 구성된 프로파일에서 CA(certificate authority) 있는 명령과 함께 show security pki crl 표시됩니다. 동적 CA(certificate authority) 프로파일의 CRL은 장비에서 구성된 CA(certificate authority) 프로파일에 대한 CRL과 함께 주기적으로 업데이트됩니다. 피어 CA(certificate authority) 인증서는 또한 데이터 서버에서 다운로드한 CRL의 서명 CA(certificate authority) 필요합니다.

CA(certificate authority) 서버로부터 수신된 CRL을 검증하려면 CA(certificate authority) 인증서가 필요합니다. 따라서 피어로부터 CA(certificate authority) 인증서가 로컬 디바이스에 저장됩니다. 피어로부터 CA(certificate authority) 받은 인증서는 CRL과 발행한 증명서의 유효성을 검증하는 데 사용됩니다. 수신된 CA(certificate authority) 인증서를 관리자가 등록하지 못하기 때문에 성공적인 인증서 검증의 결과는 루트 인증서 체인에서 루트 인증서까지의 CA(certificate authority) 결정되지 않습니다. 관리자가 CA(certificate authority) 루트 인증서를 등록해야 합니다.

예를 들면 다음과 같습니다. CRL 위치를 위한 인증 기관 프로필 구성

이 예에서는 CRL 위치로 인증서 기관 프로필을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  1. 디바이스에서 키 쌍을 생성합니다. 디지털 인증서 를 참조하십시오.

  2. 특정 CA(certificate authority) 정보가 포함된 CA(certificate authority) 프로필을 CA(certificate authority). 예제를 참조합니다. CA(certificate authority) 프로파일 구성.

  3. 에서 개인 증명서를 CA(certificate authority). 예제를 참조합니다. 로컬 인증서를 위해 CSR을 수동으로 생성하고 해당 CSR을 CA(certificate authority).

  4. 증명서서를 장비에 로드합니다. 예제를 참조합니다. 수동으로 CA(certificate authority) 및 로컬 인증서를 로드합니다.

  5. 자동 재전원을 구성합니다. 예제를 참조합니다. SecurID 사용자 인증 구성.

  6. 필요한 경우 장비에서 증명서의 CRL을 로드합니다. 예제를 참조합니다. 장비에 CRL을 수동으로 로드합니다.

개요

이 예에서는 장비가 호출되는 CA(certificate authority) 프로파일의 유효성을 검사할 수 있으며, CRL이 CA(certificate authority) 인증서를 동행하지 않았고 장비에서 로드되지 않은 경우 URL에서 CRL을 검색할 수 my_profile http://abc/abc-crl.crl 있습니다.

구성

절차

단계별 절차

CRL을 사용하여 증명서 구성:

  1. CA(certificate authority) 프로필과 URL을 지정합니다.

  2. 디바이스 구성이 완료되면 구성을 커밋합니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 show security pki 작업 모드 명령을 입력합니다.

예를 들면 다음과 같습니다. 인증서 유효성 검증

이 예에서는 인증서의 유효성을 확인하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예제에서는 증명서가 취소된지 또는 로컬 인증서를 생성하는 데 사용되는 CA(certificate authority) 인증서가 더 이상 장치에 존재하지 않은지 여부를 확인하기 위해 증명서를 수동으로 검증합니다.

증명서가 수동으로 확인되는 경우 디바이스는 CA(certificate authority) ()를 사용하여 로컬 인증서()를 ca-certlocal.cert 검증합니다. 로컬 증명서가 유효한 경우, CA(certificate authority) 프로파일에서 활성화되면 장비는 CRL이 로드되어 유효한지 revocation-check 검증합니다. CRL이 로드되지 않은 유효한 경우 디바이스가 새로운 CRL을 다운로드합니다.

발행 CA(certificate authority) 인증서 또는 CA(certificate authority) 장치의 구성에서 DNS를 구성해야 합니다. DNS는 배포 CRL의 호스트와 ca-profile 구성에서 인증/CA(certificate authority) 목록 url에서 해결할 수 있어야 합니다. 또한 검사를 수신하려면 동일한 호스트에 대한 네트워크 연결도 있어야 합니다.

구성

절차

단계별 절차

인증서의 유효성을 수동으로 확인하려면 다음을 수행하십시오.

  1. 로컬 인증서의 유효성을 검증합니다.

  2. CA(certificate authority) 인증서의 유효성을 검증합니다.

    관련 프라이빗 키 및 시그니처도 검증됩니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 명령을 show security pki ca-profile 입력합니다.

오류는 양성 검증 대신 반환되는 경우 장애가 pkid에 로그인됩니다.

로드된 CRL 삭제(CLI 절차)

더 이상 인증서 해지 및 검증을 관리하기 위해 이 CRL을 사용할 필요가 없는 경우 로드된 CRL을 삭제하는 옵션을 선택할 수 있습니다.

다음 명령을 사용하여 로드된 인증서 해지 목록을 삭제합니다.

프로파일이 CA(certificate authority) 식별된 CRL과 연관된 CRL을 삭제하거나 CA(certificate authority) 모든CRLS를 삭제하는 데 사용할 수 있는 옵션을 all 지정합니다.