openssl 사용: http://www.openssl.org/
1 보안장비을 사용해 인증 기관 구성
보안장비에서 Certification authority(CA) 모듈은 자체 관리된다.
모듈 상태에서 활서화 할 필요가 없다.
하지만 다른 서비스에서 인증 모듈을 사용하기 위해서는 CA를 초기화 해야한다.
Certification authority (CA) 메뉴로 이동해 필요한 내용을 제출해야 한다.
조직 이름:
국가 코드:
인증 만료일:
도시:
상태:
만료 날짜를 설정하면 모든 인증서가 만료 일자에 따라 해당 서비스는 중지된다.
CA가 초기화 되면 인증서를 새로 발급할 수 있다.
필요한 데이터는 인증서의 고통 이름과 만료일이다.
메일서버와 같은 서비스 인증서를 사용하는 경우 인증서의 일반 이름은 해당 서버의 도메인 이름과 일치해야한다.
예를 들어, 도메인 이름이 mail.fairlineai.com을 사용하여 보안장비의 메일 서버에 접근하는 경우, 동일한 인증서가 필요하다.
사용자 인증서를 설정하는 경우 일반적으로 일반 이름은 사용자의 전자 메일 주소이다.
선택적으로 인증서에 주체 대체 이름을 설정할 수 있다.
전자 메일 메시지에 서명 할 때 전자 메일 주소와 같이 공통 이름을 인증서로 설정할 때 유용하다.
경고: 새 CA를 발급하는 모든 인증서는 웹 브라우저 또는 메일 클라이언트와 같은 타사 소프트웨어서 인식하지 않는다.
보안장비에서 생성 한 CA은 공식적이지 않지만 모든 트래픽에 암호화한다.
팁: 신뢰할 수 있는 인증서를 제공하는 무료 자동화 공개 인증 기간이 있다. https://letsencrypt.org/
신뢰할 수 있는 인증서(메일) 서비스가 필요하면 https://certbot.eff.org/lets-encrypt/ubuntubionic-apache.html 여기를 참고해 적용해야 한다.
인증서가 발급되면 인증서 목록에 인증서가 나타나고 관리자 및 서비스 모듈에 대해 인증서를 사용할 수 있다.
인증서 목록을 통해 인증서에 대한 몇 가지 작업을 수행 할 수 있다.
- 공개 키, 개인 키 및 인증서를 다운로드한다.
- 인증서를 갱신한다
- 인증서를 해지한다
- 이전에 해지되었거나 만료된 인증서를 다시 발행한다.
키가 포함 된 패키지에는 개인 키와 인증서가 포함 된 PKCS12 파일도 파함되어 있으며,
웹 브라우저, 메일 클라이언트 등과 같은 다른 프로그램에 직접 설치할 수 있다.
인증서를 갱신하면 현재 인증서가 취소되고 만료 날짜가 새로운 인증서가 발급된다.
그리고 CA를 갱신하는 경우 모든 인증서는 이전 만료 날짜로 유지하지 않고 새 CA에서 갱신한 내용으로 유지된다.
CA 만료 날짜 이후이므로 이것이 불가능한 경우 만료 날짜는 CA 중 하나로 설정되게된다.
인증서를 해지하면 작업은 영구적이며, 취소 할 수 없으므로 더 이상 사용할 수 없다.
선택적으로 인증서 해지를 할 수 있다.
unspecified: 이유가 지정되지 않음.
keyCompromise: 개인키 손상
CACompromise: 인증 기관의 개인 키가 손상
affilliationChanged: 발금 된 인증서가 다른 조직의 다른 인증 기간과의 소속을 변경함.
superseded: 인증서가 갱신되었으며 이제 새 인증서로 대체 함.
cessationOfOperation: 인증 기관의 운영이 중담 됨.
certificateHold: 인증 정지
removeFromCRL: 현재 구현되지 않은 데타 CRL 지원, 즉 해지 상태가 변경된 인증서 목록을 제공한다.
인증서가 만료되면 모든 모듈에 알린다.
각 인증서의 만료 날짜는 하루에 한 번 그리고 인증서 목록 페이지에 접근 할 때미다 자동으로 확인된다.
서비스 인증서
Certification Authority -> Services Certificates
보안장비 인증서를 사용해 모듈 목록을 찾을 수 있다.
각 모듈은 자체 서명 된 인증서를 생성하지만 CA에서 발급 한 다른 인증서로 교체 할 수 없다.
공통 이름을 정의하여 각 서비스에 대한 인증서를 생성 할 수 있다.
이름이있는 이전 인증서가 없으면 CA가 자동으로 만든다.
모듈이 활성화돠면 새 인증서를 사용하도록 서비스를 다시 시작해야한다.
이는 모듈의 인증서를 갱신 한 경우에도 적용된다.
앞에서 언급 한 것처럼 메일과 같은 여러 프로토콜의 보안 버전을 사용하려면 인증서 "공통 이름"에 표시되는 이름이 클라이언트가 요청한 이름과 일치해야한다.
예를 들어, 메일 인증서의 일반 이름이 mail.fairlieai.com 이고 클라이언트 mailaaa.fairlineai.com에 입력하면 클라이언트는 보안 경고를 표시하거나 거부하며 인증서는 다음과 같이 유효하지 않게된다.
서비스 인증서 점검 목록:
- 인증 기관이 생성되고 서비스 모듈이 설치된다.
- 클라이언트가 확인할 수 있는 서비스 (A 또는 CNAME)의 DNS 이름 (예: 'mail.fairlineai.com')을 작성한다.
- 특정 서비스에 대한 인증서를 발급하고 '공통 이름'이 mail.fairlineai.com인 'Mail'이라고 말한 다음 인증서를 사용하도록 설정하면 인증 기관 -> 일반으로 이동하는 것을 볼 수 있다.
- 메일에 보안 프로토콜을 사용하도록 설정한다.
- 클라이언트 시스템 또는 클라이언트 응용 프로그램에서 CA 인증서 (서비스 인증서가 아님)을 가져 왔다. 메일 클라이언트라고 가정한다.
- 사용자는 mail을 mail.fairlineai.com으로 구성한다.
- 사용자는 DNS를 IP 주소로 해석 할 수 있으며 공통 이름은 "mail.fairlineai.com'을 입력 한 것과 완벽하게 신뢰할 수 있는 기관 서명이된다.
- 사용자 응용 프로그ㅐㄻ을 보안 경고를 표시하지 않고 보안 세션을 시작할 수 있다.
댓글 없음:
댓글 쓰기