Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

ASA

에서는 신뢰 지점별로 1개의 CA 인증서가 필요하고, 신뢰 지점에서 사용하는 키의 컨피그레

이션에 따라 그 자신을 위한 인증서가 1개 또는 2개 필요합니다. 신뢰 지점에서 서명과 암호화에 

각기 다른 RSA 키를 사용할 경우 ASA에서는 용도별로 하나씩, 2개의 인증서가 필요합니다. 다른 

키 컨피그레이션에서는 인증서 1개만 있으면 됩니다.
ASA

에서는 SCEP 자동 등록과 수동 등록을 지원합니다. 즉 터미널에 곧바로 base64 인코딩 인

증서를 붙여넣을 수 있습니다. 사이트 대 사이트 VPN에서는 각 ASA를 등록해야 합니다. 원격 액

세스 VPN에서는 각 ASA와 각 원격 액세스 VPN 클라이언트를 등록해야 합니다.

ASA

는 AnyConnect와 서드파티 CA 사이에서 SCEP 요청을 프록시할 수 있습니다. CA는 프록시의 역

할을 하는 경우에만 ASA에 대한 액세스가 필요합니다. ASA에서 이러한 서비스를 제공하려면, ASA에

서 등록 요청을 보내기에 앞서 사용자가 AAA에서 지원하는 방법 중 하나로 인증해야 합니다. 호스트 

스캔 및 동적 액세스 정책을 사용하여 등록 자격 요건 규칙을 적용할 수도 있습니다.
ASA

에서는 AnyConnect SSL 또는 IKEv2 VPN 세션을 사용하는 경우에만 이 기능을 지원합니다. Cisco 

IOS CS, Windows Server 2003 CA, Windows Server 2008 CA 

등 SCEP 규격을 준수하는 모든 CA를 

지원합니다.
클라이언트리스(브라우저 기반) 액세스에서는 SCEP 프록시를 지원하지 않습니다. 단, 
WebLaunch(

클라이언트 없이 시작된 AnyConnect)는 이를 지원합니다.

ASA

에서는 인증서에 대한 폴링을 지원하지 않습니다.

ASA

에서는 이 기능에 대해 부하 균형을 지원합니다.

발급된 인증서는 일정한 기간 동안 유효합니다. CA가 유효 기한 전에, 이를테면 보안상의 이유로 

또는 이름이나 연결의 변경 때문에 인증서를 폐기하는 경우도 있습니다. CA는 정기적으로 폐기 

인증서 목록에 서명하여 이를 배포합니다. 폐기 검사를 활성화할 경우, ASA에서는 인증 목적으로 

인증서를 사용할 때마다 CA가 인증서를 폐기하지 않았음을 확인해야 합니다.
폐기 검사를 활성화하면 ASA에서는 PKI 인증서 유효성 검사 과정에서 인증서 폐기 상태를 확인

합니다. 이를 위해 CRL 검사, OCSP 또는 둘 다 사용할 수 있습니다. OCSP는 CRL 검사 방법에

서 오류가 생긴 경우(예: 서버를 사용할 수 없다는 메시지 표시)에만 사용합니다.
CRL 

검사에서 ASA는 CRL에 대한 검색, 구문 분석, 캐싱을 수행합니다. CRL은 폐기된 (그리고 

폐기되지 않은) 인증서와 그 인증서 일련 번호의 전체 목록입니다. ASA는 ID 인증서부터 시작하

여 하위 CA 체인을 따라 올라가면서 권한 폐기 목록이라고도 하는 CRL을 토대로 인증서를 평가

합니다.
OCSP

는 보다 확장 가능한 방식으로 폐기 상태를 검사합니다. 즉 특정 인증서의 상태를 쿼리하는 

VA(validation authority)

를 통해 인증서 상태를 로컬화합니다. 

ASA

에서는 다음 CA 서버를 지원합니다.

Cisco IOS CS, ASA 

로컬 CA, 다음을 비롯한 타사 X.509 규격 준수 CA 벤더: 

Baltimore Technologies

Entrust