IKE(Internet Key Exchange) 인증(인증서 기반 인증)

인증서 인증을 위한 다단계 계층

인증서 기반 인증은 IKE 협상 중에 SRX 시리즈 방화벽에서 지원되는 인증 방법입니다. 대규모 네트워크에서 여러 CA(인증 기관)가 해당 종단 디바이스에 EE(End Entity) 인증서를 발급할 수 있습니다. 개별 위치, 부서 또는 조직에 대해 별도의 CA를 갖는 것이 일반적입니다.

인증서 기반 인증에 단일 수준 계층을 사용하는 경우 네트워크의 모든 EE 인증서는 동일한 CA에 의해 서명되어야 합니다. 모든 방화벽 디바이스에는 피어 인증서 유효성 검사를 위해 등록된 동일한 CA 인증서가 있어야 합니다. IKE(Internet Key Exchange) 협상 중에 전송된 인증서 페이로드에는 EE 인증서만 포함됩니다.

또는 IKE 협상 중에 전송된 인증서 페이로드에는 EE 및 CA 인증서 체인이 포함될 수 있습니다. 인증서 체인 은 피어의 EE 인증서를 검증하는 데 필요한 인증서 목록입니다. 인증서 체인에는 EE 인증서와 로컬 피어에 없는 모든 CA 인증서가 포함됩니다.

네트워크 관리자는 IKE 협상에 참여하는 모든 피어가 해당 인증서 체인에 하나 이상의 공통된 신뢰할 수 있는 CA를 보유하도록 해야 합니다. 신뢰할 수 있는 공통 CA는 루트 CA일 필요가 없습니다. EE에 대한 인증서와 체인의 최상위 CA를 포함하여 체인의 인증서 수는 10개를 초과할 수 없습니다.

구성된 IKE(Internet Key Exchange) 피어의 유효성 검사는 지정된 CA 서버 또는 CA 서버 그룹으로 수행할 수 있습니다. 인증서 체인을 사용하면 루트 CA가 IKE(Internet Key Exchange) 정책에 구성된 신뢰할 수 있는 CA 그룹 또는 CA 서버와 일치해야 합니다.

그림 1에 표시된 CA 계층 예에서 루트-CA는 네트워크의 모든 디바이스에 대해 공통적으로 신뢰할 수 있는 CA입니다. Root-CA는 각각 Eng-CA 및 Sales-CA로 식별되는 엔지니어링 및 영업 CA에 CA 인증서를 발급합니다. Eng-CA는 개발 및 품질 보증 CA에 CA 인증서를 발급하며, 각각 Dev-CA 및 Qa-CA로 식별됩니다. Host-A는 Dev-CA로부터 EE 인증서를 받고 Host-B는 Sales-CA로부터 EE 인증서를 받습니다.

각 종단 디바이스는 해당 계층에 CA 인증서와 함께 로드되어야 합니다. Host-A에는 Root-CA, Eng-CA 및 Dev-CA 인증서가 있어야 합니다. Sales-CA 및 Qa-CA 인증서는 필요하지 않습니다. Host-B에는 Root-CA 및 Sales-CA 인증서가 있어야 합니다. 인증서는 디바이스에 수동으로 로드하거나 SCEP(Simple Certificate Enrollment Process)를 사용하여 등록할 수 있습니다.

각 종단 디바이스는 인증서 체인의 각 CA에 대한 CA 프로필로 구성되어야 합니다. 다음 출력은 Host-A에서 구성된 CA 프로필을 보여줍니다.

다음 출력은 Host-B에 구성된 CA 프로필을 보여줍니다.