Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

디지털 인증서는 인증을 위해 디지털 신원 확인을 담당합니다. 디지털 인증서에는 어떤 디바이스나 

사용자를 식별하는 정보, 이를테면 이름, 일련 번호, 회사, 부서 또는 IP 주소가 들어 있습니다. CA는 

인증서에 "서명"하여 그 진위를 확인함으로써 해당 디바이스 또는 사용자의 ID를 보장하는 신뢰받

는 기관입니다. CA는 PKI 상황에서 디지털 인증서를 발급하는데, PKI에서는 공개 키 또는 개인 키 

암호화를 사용하여 보안을 보장합니다. 
디지털 인증서를 사용하여 인증할 경우, 적어도 하나의 ID 인증서와 이를 발급한 CA 인증서가 
ASA

에 있어야 합니다. 이 컨피그레이션에서는 복수의 ID, 루트, 인증서 계층 구조가 가능합니다. 

다음은 사용 가능한 각기 다른 디지털 인증서의 유형에 대한 설명입니다.

CA 

인증서는 다른 인증서에 서명하는 데 사용되며 자체 서명됩니다. 루트 인증서라고도 합니다. 

다른 CA 인증서를 통해 발급된 인증서는 하위 인증서라고 합니다. 

CA

는 인증서 요청을 관리하고 디지털 인증서를 발급하는 기능을 담당합니다. 디지털 인증서에는 

어떤 디바이스나 사용자를 식별하는 정보, 이를테면 이름, 일련 번호, 회사, 부서 또는 IP 주소가 

들어 있습니다. 디지털 인증서는 사용자 또는 디바이스의 공개 키 사본 하나도 포함합니다. CA는 
VeriSign

과 같이 신뢰받는 서드파티이거나, 조직 내에서 설정한 전용 (내부) CA일 수 있습니다.

인증서 컨피그레이션 및 로드 밸런싱이 포함된 시나리오의 예는 다음 URL에서 확인하십시오. 

https://supportforums.cisco.com/docs/DOC-5964

공개 키 암호 방식에 의한 디지털 인증서는 디바이스와 사용자를 인증할 방법을 제공합니다. RSA 

암호화 시스템과 같은 공개 키 암호 방식에서는 각 사용자가 공개 키와 개인 키로 구성된 키 쌍을 

갖습니다. 키는 상호 보완적 역할을 하는데, 둘 중 하나의 키로 암호화된 것은 다른 하나의 키를 사

용하여 해독할 수 있습니다. 
간단하게 설명하자면, 개인 키를 사용하여 데이터를 암호화할 때 서명이 생성됩니다. 이 서명이 

데이터에 첨부되어 수신자에게 전송됩니다. 수신자는 발신자의 공개 키를 데이터에 적용합니다. 

데이터와 함께 보내진 서명이 공개 키를 데이터에 적용한 결과와 일치하면 메시지가 유효한 것으

로 확인됩니다.
이 프로세스에서는 수신자가 발신자의 공개 키 사본을 가지고 있어야 하며 이 키가 발신자를 가장

하는 누군가가 아닌 발신자 본인의 것이어야 합니다.
발신자의 공개 키를 취득하는 것은 대개 외부에서 이루어지거나 설치 시 수행되는 어떤 작업을 통

해 이루어집니다. 예를 들어, 대부분의 웹 브라우저는 기본적으로 여러 CA의 루트 인증서가 구성

되어 있습니다. VPN의 경우 IPsec의 구성 요소인 IKE 프로토콜에서 보안 연결을 설정하기에 앞

서 피어(peer) 디바이스를 인증하는 데 디지털 서명을 사용할 수 있습니다.

디지털 인증서가 없으면 IPsec 피어 각각에서 통신 대상인 피어를 하나씩 컨피그레이션해야 합니

다. 따라서 네트워크에 새 피어를 추가할 때마다 이 피어가 안전하게 통신하려는 피어 각각의 컨

피그레이션을 변경해야 합니다.
디지털 인증서를 사용하면 각 피어가 CA에 등록됩니다. 두 피어가 통신을 시도할 때 서로 인증서

를 교환하고 데이터에 디지털 서명을 하여 상대방을 인증합니다. 새로운 피어가 네트워크에 추가

되면 그 피어를 CA에 등록하며, 나머지 피어 중 어느 것도 수정할 필요 없습니다. 새 피어가 IPsec 

연결을 시도할 때 인증서가 자동으로 교환되고 이 피어는 인증될 수 있습니다.