엔트러스트 PKI 상호 운용성을 위한 프로토콜 요약
기업 환경
기업 환경은 모든 최종 사용자 애플리케이션에 일관되고 투명한 보안을 제공하려는 조직으로 대표됩니다. 조직은 이 환경에서 가장 많은 제어권을 가지고 있으므로 인프라와 최종 사용자 모두를 위해 상호 운용 가능한 PKI 솔루션에 대한 투자를 활용할 수 있습니다.
인증서 생성 – X.509, PKIX 프로필 X.509는 공개 키 디지털 인증서의 형식과 인증서 해지 목록(CRL)을 정의합니다. IETF PKIX 작업 그룹의 RFC 3280은 이러한 두 형식 각각에 대한 프로필을 제공합니다.
인증서 배포 – LDAP(Lightweight Directory Access Protocol)
LDAP은 리포지토리에서 디지털 인증서 및 CRL을 게시하고 액세스하는 데 사용되는 프로토콜을 정의합니다.
인증서 관리 – PKIX-CMP(PKIX 인증서 관리 프로토콜)
IETF PKI 작업 그룹의 RFC 2510 및 2511은 키 및 인증서 관리를 위한 프로토콜을 정의합니다. 단순한 인증서 요청을 넘어 기업에 필요한 PKI 수명주기 기능을 지원합니다.
기업 간 환경
기업 간 환경은 B2B 전자 상거래를 위한 신뢰할 수 있고 안전한 수단을 제공하려는 조직으로 대표됩니다. 조직은 다른 사람의 PKI와 상호 운용되어야 하는 자체 리소스(인프라 및 최종 사용자 모두)를 제어할 수 있습니다.
인증서 생성 – X.509, PKIX 프로필 이러한 표준은 기업 간의 일대일 또는 계층적 트러스트를 형성하는 데 사용되는 교차 인증서 및 CRL에도 적용됩니다.
인증서 배포 – LDAP, S/MIME
LDAP은 전체 또는 부분 인증서 리포지토리를 공유하려는 기업에 액세스 프로토콜을 제공합니다. S/MIME(RFC 2632-2634)은 최종 사용자 간에 디지털 인증서를 직접 교환하는 데 사용되는 프로토콜을 정의합니다.
인증서 관리– PKIX CMP, PKCS #7/#10
PKIX-CMP는 기업 모델에서와 같이 키 및 인증서뿐만 아니라 교차 인증서의 요청 및 관리를 위한 프로토콜을 제공합니다. PKCS #7/#10(RFC 2315, 2986)은 생성 및 배포 후 관리 없이 인증서를 요청하고 수신하기 위한 프로토콜을 제공합니다.
소비자 환경
소비자 환경은 인터넷을 통해 소비자와 전자상거래를 활성화하려는 조직으로 대표됩니다. 인프라를 제어하는 동안 조직은 일반적으로 웹 브라우저 및 관련 이메일과 같은 다양한 애플리케이션을 사용하여 소비자와 상호 운용해야 합니다.
인증서 생성 – X.509 v3, PKIX Profile
이러한 표준은 공개 키 디지털 인증서의 프로필 정의를 제공합니다. 이 환경에서 해지 확인을 위해 보편적으로 채택된 표준은 없지만 OCSP(RFC 2560)와 같은 체계에 대한 관심이 높아지고 있습니다.
인증서 배포 – S/MIME
이 환경에서의 인증서 배포는 현재 S/MIME을 사용하여 사용자 간 통신을 직접 연결하는 것으로 제한됩니다.
인증서 관리 – PKCS #7/#10
PKCS #7/#10은 인증서 요청 및 수신을 지원하지만 키 또는 인증서 관리는 제공하지 않습니다. 이 환경에서 키 및 인증서 관리를 위해 보편적으로 채택된 표준은 없지만 PKIX-CMC(RFC 2797)와 같은 체계가 고려되고 있습니다.
Entrust는 이러한 모든 승인된 프로토콜과의 상호 운용성을 입증했습니까?
PKI 상호 운용성의 요소
운영 환경에 관계없이 관리형 PKI는 상호 운용해야 하는 여러 구성 요소로 이루어집니다. 아래 그림과 같이 여기에는 단일 PKI 내의 인터페이스와 외부 환경이 포함됩니다.
각 구성 요소의 목적에 대한 간략한 요약은 다음과 같습니다.
- 인증 기관 인증 기관(CA)은 최종 사용자에게 키와 인증서를 발급하고 생성, 해지, 만료 및 업데이트를 포함한 수명주기를 관리하는 신뢰할 수 있는 제3자를 나타냅니다.
- 인증서 리포지토리. 인증서 리포지토리는 인증서, 교차 인증서 및 인증서 해지 목록(CRL)을 저장하고 PKI의 최종 사용자에게 배포하는 확장 가능한 메커니즘을 제공합니다.
- 클라이언트 애플리케이션. 클라이언트 애플리케이션은 안전한 전자 상거래를 수행하기 위해 공개 키 자격 증명을 요청, 수신 및 사용하는 최종 사용자 소프트웨어입니다.
- 추가 서비스. 나열된 다른 3개의 구성 요소와 상호 운용되는 관리형 PKI에는 추가 서비스가 필요합니다. 이들은 많은 전자 상거래 애플리케이션을 가능하게 하는 특정 서비스를 제공합니다. 일반적인 서비스에는 타임 스탬프, 권한 관리, 자동 등록 기관 등이 포함됩니다.
공개 키 인프라의 중심 역할 때문에 환경에 관계없이 이러한 구성 요소는 상호 작용하고 상호 운용되어야 합니다. 이러한 작업은 다음과 같이 요약할 수 있습니다.
- 인증서 생성. 여기에는 다른 클라이언트 애플리케이션 및 기타 PKI와 상호 운용할 수 있도록 정의된 형식 및 구문을 사용하는 공개 키 디지털 인증서 및 인증서 해지 목록 생성이 포함됩니다. 또한 인증 기관 간의 상호 운용에 사용되는 교차 인증서 생성도 포함됩니다.
- 인증서 배포. 공개 키 작업을 수행하려면 한 사용자가 다른 사용자의 인증서와 관련 CRL에 액세스해야 합니다. 따라서 다른 사용자의 인증서 및 관련 해지 정보에 대한 액세스를 허용하는 공통 프로토콜이 있어야 합니다.
- 인증서 관리. 키 및 인증서 관리는 가장 일반적인 PKI 작업입니다. 키와 인증서를 요청, 갱신, 백업, 복원 및 해지하기 위한 프로토콜에는 클라이언트 애플리케이션과 인증 기관 간의 상호 운용성이 필요합니다.