Private CA 란?

Private CA는 사설 인증서를 손쉽게 발급하고 관리할 수 있는 인증기관(CA) 기능을 제공하는 서비스입니다. 현대 암호 시스템에서 공개키 기반의 인증서 시스템은 다양한 방면에서 활용되고 있습니다. 대표적인 예로, 암호화 통신인 HTTPS 웹서비스를 위한 기반 기술인 SSL/TLS이 있습니다. 또한 금융서비스나 전자 결재 시 본인 인증을 위한 전자서명 기술도 있습니다. 이렇게 다방면으로 사용되는 인증서는 발급과 사용에 있어 지속적으로 유효성을 보장하고 관리하는 기능이 필수적으로 요구됩니다. 이 역할은 인증기관(Certificate Authority)이 담당하며, CA는 안전한 인증서 관리를 위한 다양한 표준과 권고 사항에 대한 요구를 만족시킬 수 있어야 하며, 인증서 발급과 조회, 폐기 등에 대한 다양한 기능을 제공할 수 있어야 합니다.

범용적인 네트워크 환경에서 이용되는 공인 인증서와는 달리, 제한적인 범위 내에서는 사설 인증서를 사용하는 것이 효율적입니다. 네트워크 신뢰 범위(Network Trust Boundary)를 정의할 때 사설 인증서를 이용하면 손쉽게 신뢰 범위 내 개체를 식별하고 인증할 수 있습니다. 전용 가상 네트워크 내 서버들이나 IoT 디바이스 들의 암호화된 채널에서도 효과적으로 사용될 수 있습니다. 다만, 앞서 언급한 것과 같이 인증서를 발급하고 관리하는 CA는 다양한 요구사항을 충족할 수 있어야 하기 때문에 사설 인증서를 안전하게 활용하기 위한 사설 CA의 구축과 운영은 다소 까다로운 사항이 될 수 밖에 없습니다.

Private CA를 통해 표준에 기반한 사설 CA 구축과 운영에 있어 큰 비용 없이 안정적인 CA 기능을 이용할 수 있습니다. 손쉽게 계층적인 사설 CA 구조를 구축할 수 있으며, CA의 개인키는 Key Management Service를 통해 안전하게 보호됩니다. 사설 인증서를 쉽게 발급하고 폐기 목록을 관리 할 수 있는 기능과 인증서를 확인하고 조회할 수 있는 다양한 기능을 제공하고 있습니다. NCP 리소스에 손쉽게 사설 인증서를 적용할 수 있도록 Private CA는 NCP의 다양한 서비스들과 연동될 계획입니다.


Private CA 제한

비밀키 관리 제한

Private CA의 비밀키는 Key Management System과 동일한 시스템 내부에서 일련의 절차에 따라 자동 생성되어 안전하게 보관됩니다. Key Management System은 키를 이용한 모든 기능이 봉인(Sealing) 되어있기 때문에 CA의 비밀키에 대해서는 내부 관리자라 하더라도 철저하게 접근 제어가 되고 있으며, Private CA 외부로 추출(Export)이 불가능합니다. 또한 외부에서 생성된 비밀키를 임의 주입(Import)하는 것도 불가능합니다.

리소스 생성 제한

Private CA는 고객별로 최대 10개의 CA를 관리할 수 있으며, 각 CA는 최대 30,000개의 인증서를 발급할 수 있습니다. 추가적인 리소스가 필요한 경우 고객지원 > 문의하기를 통해 문의주시기 바랍니다.


용어 및 개념

인증기관(Certificate Authority, CA)

여러 메시지를 주고받는 네트워크 시스템에서는 다양한 요청과 응답을 처리하기 위해 접속해오는 원격의 사용자에 대한 확인과 전송된 메시지에 대한 무결성을 검증해야 합니다. 각각 사용자 인증과 메시지 인증이라 불리는 이 과정은 인증서를 이용해 처리될 수 있습니다. 인증서를 이용하면 사용자임을 증명하는 전자서명을 할 수 있으며, 안전한 암호화 채널(SSL/TLS)을 구성할 수도 있습니다. 인증 기관(Certificate Authority)은 인증서를 발급하는 주체로써, 인증서 소지자의 신원을 보증하는 역할을 수행합니다. 이밖에 CA는 발급한 인증서의 유효성을 지속적으로 관리하기 위해 갱신 및 폐기 등 전반적인 인증서 관리 역할을 수행합니다.

공개키 기반 구조(Public Key Infrastructure, PKI)

인증서는 공개키 암호 시스템을 기반으로 생성된 사용자의 키 쌍(Key pair) 중 공개키로 작성된 인증서 서명 요청(CSR)을 CA가 서명함으로써 발급됩니다. 안전한 인증 체계를 위해서는 인증서 발급이외에도 배포와 관리, 저장 및 폐기 등의 과정이 추가로 필요합니다. 이를 위해 인적 자원, 물리적 자원 뿐만 아니라 정책과 절차 등을 포괄적으로 정의한 복합적 보안 시스템 환경을 공개키 인프라(Public Key infrastructure)라고 합니다. PKI에서 CA는 엄격한 기준에 따라 인증서의 발급 및 폐기를 담당하게 됩니다. 실제로는 인증서 발행을 대행하는 기관인 Registration Authority(RA)가 사용자 신원 확인 및 발급 업무를 대행하는 사례도 있습니다. 예로, 금융기관에서 사용자 인증을 위해 공인인증서를 이용하는 경우에 해당 금융기관은 공인CA의 RA로써 사용자 공인인증서 발급을 대행합니다.

CA 계층 구조

CA가 인증서 관리 업무를 처리할 때는 CA 자신의 인증서를 이용하며, 인증서의 발급자(Issuer)는 인증서를 서명한 CA가 됩니다. CA 인증서 역시 다른 CA로부터 발급될 수 있으며, 이 경우 계층적인 구조를 형성하게 됩니다. 이 경우 상위 계층 CA는 하위 계층 CA 인증서의 발급자가 됩니다. 계층의 최상위에 존재하는 최상위 인증기관을 루트 CA라고 합니다.

신뢰 체인(Trust chain)

앞서 설명한 네트워크 채널을 암호화하는 기술을 SSL/TLS(Secure Sockets Layer/Transport Layer Security)라고 하며, 채널을 암호화 하기 위해 연결을 설정하는 핸드셰이크 과정에서 인증서를 사용합니다. HTTPS는 SSL/TLS를 이용한 안전한 웹서비스를 보장하는 프로토콜입니다. 현존하는 운영체제와 웹브라우저에는 여러 공인 루트 CA의 인증서를 기본적으로 탑재하고 있으며, 이를 신뢰 체인이라고 합니다. 신뢰 체인에 포함된 루트 CA(또는 그 하위 CA)로부터 발급된 인증서를 사용한다면 HTTPS 통신을 이용할 수 있습니다.

공인 인증서와 사설 인증서

법적으로 인가받은 공인 CA로부터 엄격한 절차를 거쳐 발급된 공인 인증서는 별다른 추가 설정 없이 SSL/TLS 또는 전자서명을 통한 사용자 인증에 사용될 수 있습니다. 사설 인증서를 이용해 SSL/TLS 또는 전자서명을 사용하고자 하는 경우에는 사설 CA를 신뢰 체인에 추가하는 등의 추가 설정이 요구됩니다.

X.509

PKI 기반의 인증서 표준으로써, 인증서와 인증서 폐기 목록(CRL)의 기본 필드와 확장 필드로 구성된 프로파일을 정의한 규격입니다.

인증서 고유이름(Distinguished Names, DN)

X.509 인증서에 명시되는 주체 식별자로써, 네트워크 상에서 특정 주체를 식별하기 위해 정의한 표준인 X.500에 기반합니다. 다음 사항이 일반 필드로 포함되며, 이를 통해 사용자, 디바이스, 애플리케이션, 서비스 등을 식별합니다.

  • Common Name(CN) : 주체(발급자)의 일반 이름
  • Organization(O) : 주체(발급자)가 속한 조직 또는 회사
  • Organization Unit(OU) : 주체(발급자)가 속한 조직 또는 회사의 부서
  • Country(C) : 주체(발급자)의 국가
  • State/Province(S) : 주체(발급자)의 지역(도, 주)
  • Locality(L) : 주체(발급자)의 도시

주체 대체 이름(Subject Alternative Name, SAN)

DN 이외에 주체를 식별하는 부가적인 정보로써, X.509 인증서의 확장 필드로 구성됩니다. DNS 네임 또는 IP 주소나 이메일 주소 필드가 포함될 수 있습니다. FQDN 형태로 여러개(멀티 도메인) 명시 할 수 있습니다.


Private CA 리소스 구조

사설 루트 CA

최상위 계층에 위치하여 루트 CA의 역할을 수행하는 CA이며, 중간 CA 인증서를 발급할 수 있습니다.

고객 관리 사설 루트 CA

고객이 직접 관리하는 루트 CA를 이용할 수 있습니다. 이 경우 Private CA에 생성되는 중간 CA의 인증서를 고객 소유의 루트 CA 비밀키로 서명하여 등록할 수 있습니다. 자세한 사항은 중간 CA 생성: 직접 서명 방식 항목을 참조하시기 바랍니다.

사설 중간 CA

중간 계층의 CA로써 기능상의 차이는 루트 CA와 동일하며, 마찬가지로 CA 인증서를 서명하여 하위 계층 구조를 구성할 수 있습니다.

사설 인증서

Private CA에서 관리되는 CA로 발급되는 인증서입니다.


Private CA 사용하기

1. 사용 권한 관리

Private CA의 권한은 Private CA내 CA 리소스 전체를 사용하고 관리할 수 있는 상품 매니저 권한과 권한이 할당된 CA만 사용하고 관리할 수 있는 CA 사용자 권한으로 구분할 수 있습니다. CA 생성은 상품 매니저 권한만 가능하며, CA 삭제는 상품 매니저 권한CA 사용자 권한 모두 가능합니다. (삭제된 CA 리소스는 복구할 수 없으니 삭제시 주의바랍니다.)

Private CA 매니저 권한 부여하기

① 특정 사용자에게 Private CA 관리자 권한을 부여하기 위해서는 먼저 Sub Account 서비스의 Sub Accounts메뉴를 클릭합니다.

② Private CA 관리자 권한을 부여하고자 하는 서브 계정을 선택한 후, 정책 추가를 클릭합니다.

NCP_PRIVATE_CA_MANAGER 정책을 추가합니다.

CA 사용자 권한 부여하기

CA 권한 관리 항목을 참조하세요.

2. 사설 CA 생성

루트 CA 생성

CA 생성을 클릭합니다.

② CA 타입을 루트 CA로 선택합니다.

③ CA 이름을 입력합니다. CA 이름은 영어, 숫자, _, - 의 특수문자만 허용하며 영어로 시작해야 합니다.

④ 유효기간을 일 단위로 입력합니다. 최대 3650일(10년)까지 지정이 가능합니다. "MAX" 를 입력하면 지정 가능한 최대일자로 설정됩니다.

⑤ 주체 정보와 주소 정보를 입력합니다. 일반적으로 일반 이름(Common Name)은 인증서 소유자인 주체를 식별할 수 있는 고유정보를 입력합니다. 필요한 경우 주체 대체 이름 정보를 입력합니다. DNS 이름이나 IP 주소는 ,로 구분하여 다중 입력하여 멀티 도메인 인증서를 생성할 수도 있습니다. (일반적으로 CA 인증서는 SAN 정보가 필요하지 않습니다.)

⑥ 입력한 정보를 확인하고 CA를 생성합니다.

중간 CA 생성: 상위 CA 지정 방식

① CA 타입을 중간 CA로 선택합니다.

② 중간 CA의 경우 발급자(Issuer) 역할을 하는 상위 CA를 지정해야 합니다. Private CA에 이미 생성되어 있는 CA를 지정하여 자동 생성하거나 고객이 직접 관리하는 CA를 사용해서 서명할 수도 있습니다. 중간 CA 생성: 직접 서명 방식를 참조하세요.

③ 유효기간을 일 단위로 입력합니다. 최대 3650일(10년)까지 지정이 가능하지만, 최종 유효기간은 상위 CA의 만료일 이내여야 합니다. "MAX" 를 입력하면 지정 가능한 최대일자로 자동 설정됩니다.

④ 이후 단계를 루트 CA 생성과 동일하게 진행합니다.

중간 CA 생성: 직접 서명 방식

① 상위 CA 지정에서 직접 서명 을 선택하여 CA를 생성합니다. 인증서의 유효기간은 서명 시점에 설정하기 때문에 직접 서명 방식의 경우에는 유효기간을 지정할 수 없습니다.

② 직접 서명을 지정한 CA는 등록 대기 상태로 생성됩니다. 인증서 서명을 위해 생성된 CSR 파일을 다운로드 합니다.

③ CSR 파일을 서명하는 방식에는 여러가지가 있지만 openssl을 이용하면 손쉽게 CSR을 서명하여 인증서를 발급할 수 있습니다. 아래는 openssl을 이용해 직접 관리하는 CA의 개인키 my_local_ca.key 로 다운로드 받은 CSR 파일을 서명 365일의 유효기간을 가지는 인증서 TEST_SUB_crt.pem을 생성하는 명령입니다.
openssl x509 -req -days 365 -in MY_SUB_csr.pem -signkey my_local_ca.key -out TEST_SUB_crt.pem

인증서 등록을 클릭하여 서명된 인증서와 발급 CA의 인증서(주의! CA의 개인키가 아님)를 등록합니다. 만약, 발급 CA가 계층적으로 구성되어 있다면 그 상위 발급 CA들의 인증서 체인을 모두 등록합니다. 아래는 인증서 체인 파일의 예시입니다.

-----BEGIN CERTIFICATE-----
MIIDbjCCAlagAwIBAgIUIee5Ez90s6yqnC1RHYBkw3NpNc4wDQYJKoZIhvcNAQEL
BQAwPjELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEhMB8GA1UEAwwYW0JFVEFd
IEJlYWdsZV9Jb1QgU3ViIENBMB4XDTIwMDYyOTAxMDkzMVoXDTI5MDQxNzE4NTYw
M1owPzELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDESMBAGA1UECxMJQ2xvdWQg
....
z0rXUrhhU2KMXtylXfzJqZkj3VLqjoNmjFcCgeeweto/1A8in9UhK1KzSUVcKVlL
XcHpYjn3BoxbVV+EsVCjhz+9dtKASo9ptZUDrOHLrYnaONShGI6pwxj5Dew4ttvm
VE39KQYNcdt7ajrXMmVfatq2zk+PoiSDjZ5flbzJoIrK3TE1NAgXYpXYjzphBXZ2
Gt9B53lFQHNnnMDDnjbIiQUp
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDazCCAlOgAwIBAgIUPIsBMXl3zeP5rSAcbahl6crbjwcwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjIwMjE5NDVaFw0yOTA0MTcxODU2MTRa
MD4xCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxITAfBgNVBAMMGFtCRVRBXSBC
....
EWwyIcKDmymr7n14G15loPU0Q+cH2hTS/r9RXxw6Gjd7DnKcjF/970TR41tlxetW
f3DCAKP6KIUKh2eAy7HHt82HExP+KRLJbocA5QRwtwWY3zVIuHg6oLM5mdtDfBwl
kMLaJCAzSSgmcg63fQChz2kUuldaw7/5H1CI3i8VB+9JcM2l4imDhiaGlCquTKL3
VMfHx+eysnncEUxP54DD
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDaTCCAlGgAwIBAgIUNQfx2Rk2TqCM1o9PeN7/TJCz4iMwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjAxODU1NDdaFw0yOTA0MTcxODU2MTda
MDwxCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxHzAdBgNVBAMMFltCRVRBXSBO
....
IQV7Vqgs0NsKqJ9rPKi88gu9x3y6/pEo8C9s2aTZ1l7sYauh00gySffRQeu2WCWx
mdxRKMRIlFaLFVHpXxGhga/DEvFo9EhouNP4CjaIe4FcvWBZ30Msp/fJbzg/Bnby
VXGZcU0qiFHZbIa7dViO0re5AujhqKt4HYuhT787xNLLyG95m/6XUKcEvxBGR9ZZ
vpDcpjcEC94qLxPHXg==
-----END CERTIFICATE-----

또한, 인증서를 직접 서명하는 CA의 인증서에는 아래와 같이 CA용 확장 필드(Basic constraints의 CA 옵션)가 활성화되어 있어야 합니다.

...

X509v3 extensions:
     X509v3 Key Usage: critical
         Certificate Sign, CRL Sign
     X509v3 Basic Constraints: critical
         CA:TRUE

...

⑤ 정상적으로 등록되면 활성화 상태로 전환됩니다.

3. CA 인증서 확인

① CA의 상세 정보와 인증서를 확인하기 위해 CA 인증서 보기를 클릭합니다.

② CA 인증서 정보를 확인할 수 있으며, CA 인증서와 발급자 체인을 모두 다운로드 할 수 있습니다. 루트 CA인 경우 상위 CA가 없기 때문에 체인은 표시되지 않습니다.

4. CA 권한 관리

① 개별적으로 CA 사용자를 등록하기 위해 권한 관리를 클릭합니다.

② 서브 계정을 선택하여 추가합니다.

③ 추가된 권한을 확인합니다.

5. CA 상태 관리

Private CA의 리소스인 CA는 생성부터 최종 폐기까지 일련의 상태를 가지며 동작합니다. CA의 상태는 다음과 같습니다.

활성

CA의 모든 기능을 이용할 수 있는 정상 운영 상태입니다.

비활성

CA의 이용이 중지된 상태입니다. 조회 기능을 제외한 기능이 차단됩니다. 발급된 인증서에 대해서는 계속 유효성 검증을 처리할 수 있지만, 새로운 인증서를 발급을 포함하여 CA 체인 요청이나 CRL, OCSP 등의 모든 기능은 일시적으로 이용할 수 없습니다.

등록대기

직접 서명 방식으로 생성된 CA의 인증서가 등록되기 이전의 상태입니다. 24시간 이내 서명된 인증서가 등록되지 않으면 자동으로 삭제됩니다.

만료

CA 인증서 유효기간이 지나서 만료된 상태의 CA 입니다. 만료된 CA는 더이상 사용될 수 없으며, 사용자 확인을 거쳐 영구 삭제할 수 있습니다.

삭제요청

삭제 요청된 상태의 CA는 72시간의 대기 시간을 가진 후 완전 삭제가 됩니다. 대기 시간이 필요하지 않은 경우 즉시 삭제할 수 있습니다.

완전삭제

완전 삭제되어 Private CA에서 폐기된 상태입니다. CA의 키가 영구적으로 삭제되었기 때문에 복구가 불가능합니다.

CA 비활성화/활성화 관리

① 활성화 상태의 CA를 비활성화 하기 위해서는 비활성화를 클릭합니다.

② 비활성화 된 CA는 조회 기능을 제외한 기타 기능 수행이 불가능합니다.

③ CA를 다시 활성화 하기 위해서는 활성화를 클릭합니다.

CA 삭제 관리

CA 삭제 항목을 참조하세요.

6. CA 정보 URL

사설 인증서에는 인증서 검증과 조회에 필요한 정보를 조회할 수 있는 URL 포인트가 명시됩니다. 통신 연결 시 프로토콜 내부에서 자동으로 조회할 수도 있고, 해당 URL을 통해 직접 조회도 가능합니다. Private CA로 발급하는 사설 인증서에 배포되는 정보는 다음과 같습니다.

발급자 (Issuer Chain)

CA 자신을 포함해 계층적으로 구성된 그 상위의 CA 인증서 모두를 리스트 형태로 제공합니다. 이를 발급자 인증서 체인 (Issuer Certificate Chain) 이라고 합니다. 인증서 체인 URL은 기본으로 포함됩니다.

인증서 폐기 목록 (Certificate Revocation List, CRL)

모든 인증서는 유효기간을 가지고 있습니다. 유효기간 만료 이외의 사유로 인증서가 폐기되는 경우, 폐기 목록에 포함됩니다. CRL 이라고 불리우는 이 목록을 주기적으로 갱신하여 인증서의 유효성을 검증해야 합니다. 인증서 폐기 목록 URL은 기본으로 포함됩니다.

온라인 인증서 상태 프로토콜 (Online Certificate Status Protocol, OCSP)

인증서의 유효성을 검증하기 위해 CRL을 직접 다운로드 받아 조회하는 대신 해당 인증서의 상태를 빠르게 조회할 수 있는 OCSP를 이용할 수도 있습니다. OCSP는 특정 CA의 발급 인증서들을 대상으로 만료 여부만을 주기적으로 갱신하여 상태를 유지합니다. Private CA는 고객 편의를 위해 OCSP 기능을 기본적으로 제공하고 있으며, 필요시 기능을 활성화하여 인증서에 포함할 수 있습니다.

① 기본으로 제공되는 OCSP 기능을 활성화 하고 OCSP URL을 인증서에 배포하기 위해 OCSP 항목의 생성을 클릭합니다.

② 이제부터 이 CA로 발급한 인증서에는 아래와 같이 OCSP URL이 추가됩니다. 삭제를 누르면 OCSP이 비활성화 되며, 이후부터 발급하는 인증서에는 OCSP URL이 포함되지 않습니다.

  Authority Information Access:
      OCSP - URI:{NCP PrivateCA OCSP URL}
      CA Issuers - URI:{NCP PrivateCA CA URL}
  X509v3 CRL Distribution Points:
      Full Name:
        URI:{NCP PrivateCA CRL URL}

7. CA 삭제

① CA를 삭제하기 위해서 삭제요청을 클릭하고 삭제 확인을 위해 CA의 이름을 입력합니다.

② 삭제 요청되면 72시간의 삭제 대기 시간을 거친 후 최종 삭제됩니다. 삭제 대기중인 CA는 비활성화 상태와 마찬가지로 조회를 제외한 대부분의 기능이 차단됩니다. 삭제 대기중인 CA의 삭제 요청을 취소하기 위해서는 삭제 취소를 클릭합니다. 삭제 요청은 철회되어 즉시 비활성화 상태로 전환되며, 활성화로 전환하여 다시 이용할 수 있습니다.

③ 삭제 대기중인 CA를 즉시 삭제하기 위해서는 지금 삭제를 클릭합니다. (주의!) CA는 즉시 폐기되며, CA의 개인키는 영구 삭제되어 복구할 수 없습니다.


사설 인증서 사용하기

1. 인증서 발급

① 사설 인증서 발급을 위해 사설 인증서 발급을 클릭합니다.

② 인증서 키 타입과 유효기간을 일 단위로 입력합니다. 최대 3650일(10년)까지 지정이 가능하지만, 최종 유효기간은 상위 CA의 만료일 이내여야 합니다. "MAX" 를 입력하면 지정 가능한 최대일자로 자동 설정됩니다.

③ 기본 주체 정보와 주소 정보를 입력합니다. 일반적으로 일반 이름(Common Name)은 인증서 소유자인 주체를 식별할 수 있는 고유정보를 입력합니다.

④ 필요한 경우 주체 대체 이름 정보를 입력합니다. DNS 이름이나 IP 주소는 ,로 구분하여 다중 입력하여 멀티 도메인 인증서를 생성할 수도 있습니다.

⑤ 발급된 인증서를 확인합니다. (주의!) Private CA는 인증서 개인키를 저장하지 않습니다. 이 과정 이후 개인키는 다시 획득할 수 없으니 개인키를 반드시 다운로드해서 보관하시기 바랍니다.

⑥ 발급 CA가 계층적으로 구성되어 있다면 발급자 인증서 체인이 포함됩니다.

⑦ CA 포인트 URL이 생성되어 있는 경우 OCSP 인증서가 포함됩니다.

2. 인증서 조회

① 발급된 사설 인증서를 확인하기 위해서 CA 상세 정보란의 발급 인증서 리스트 보기를 클릭합니다.

② 발급된 인증서 일련 번호 리스트를 확인할 수 있습니다. 일련 번호를 클릭하면 인증서가 다운로드 됩니다.

OCSP 정보 조회하기

인증서 폐기 여부를 조회하기 위해서는 CRL을 직접 참조하는 방식과 OCSP 조회를 하는 방식이 있습니다. Private CA가 제공하는 OCSP 기능을 이용하기 위해서는 다음 명령어로 요청할 수 있습니다.

openssl ocsp -issuer {Chain cert} -cert {Cert} -header Host {NCP Private CA Host Name} -url {OCSP URL} -VAfile {OCSP Responder cert} -text

3. 인증서 폐기

① 발급된 사설 인증서를 폐기하기 위해 사설 인증서 폐기를 클릭합니다.

② 인증서의 일련 번호를 입력합니다. 폐기되는 인증서는 즉시 CRL에 등록되며, 등록은 철회될 수 없습니다.

참고 1. 폐기된 인증서의 일련번호는 발급 인증서 리스트에서 삭제되지 않습니다. 따라서, 인증서의 유효성 검사를 위한 폐기 여부 확인은 반드시 CRL(또는 OCSP 조회)을 참조해야합니다.
참고 2. 하위 CA 인증서는 발급 인증서 리스트에 표시되지만, 직접 폐기할 수는 없습니다. 하위 CA 인증서는 CA 삭제 시 자동으로 폐기됩니다.

$ curl {CRL URL} | openssl crl -text -noout

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=KR/ST=\xEA\xB2\xBD\xEA\xB8\xB0\xEB\x8F\x84/L=\xEC\x84\xB1\xEB\x82\xA8\xEC\x8B\x9C/O=Naver Cloud Platform/OU=Security Dev/CN=My sub CA
        Last Update: Jul 15 15:29:22 2020 GMT
        Next Update: Jul 18 15:29:22 2020 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                keyid:17:43:8A:2C:FD:8A:7C:20:44:6F:F1:52:6B:9D:7E:27:8F:E8:0B:0C

Revoked Certificates:
    Serial Number: 658D43B364DD48B6F69AFB3E27010F6A42D61D66
        Revocation Date: Jul 15 15:29:22 2020 GMT
    Signature Algorithm: sha256WithRSAEncryption
         23:9e:a9:a8:76:32:db:c3:2c:15:ba:3c:15:94:ea:ef:d2:fd:
         3a:7d:0f:da:68:b2:69:8a:d0:c2:3e:21:19:f8:c7:b4:6a:a6:
         2e:2f:c1:3b:13:61:a0:98:ff:6d:f8:40:8f:2f:5b:09:db:c8:
         b6:85:5b:69:3b:5c:5a:8e:37:3a:12:eb:46:bd:e8:fd:4f:ba:
         e3:94:a3:75:96:bb:3c:4c:4d:3e:25:f1:54:bd:ae:09:ca:63:
         fb:31:2a:e4:b0:e0:de:0e:2f:83:f2:96:26:ef:7c:b8:c2:24:
         80:ce:38:d5:d4:b4:e4:04:13:56:c1:c4:63:26:9d:34:c9:e4:
         67:73:1d:0f:e0:5c:ca:b6:00:ea:f3:39:e6:f9:c8:67:07:3f:
         d5:cc:ca:82:7a:45:ae:ff:6f:b4:5f:bc:62:a8:9c:0c:7e:d3:
         88:e1:c9:5b:c8:d0:3c:b7:22:20:dd:3a:98:b9:82:61:25:e0:
         3b:6f:e1:f7:ea:94:b0:e5:a8:9b:49:e4:1c:0d:bc:6a:25:65:
         40:04:02:4b:eb:ea:71:d7:2f:74:85:c4:b9:aa:92:f2:60:e7:
         6c:bd:85:5f:17:f2:ca:0f:35:b1:fb:5e:33:65:0f:d8:50:70:
         2d:61:76:8d:19:d3:a0:f3:87:ee:7a:f8:10:fd:5f:c9:dc:44:
         e4:c3:7c:00

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...