Cisco Cisco ASA 5585-X with No Payload Encryption Dépliant
18-3
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
18
장 디지털 인증서
디지털 인증서 소개
CA
를 이용할 경우, 피어가 원격 피어로 인증서를 보내고 공개 키 암호 작업을 수행하는 방법으로
원격 피어에 자신을 인증합니다. 각 피어가 CA에서 발급한 자신의 고유한 인증서를 보냅니다. 이
러한 프로세스는 각 인증서가 해당 피어의 공개 키를 캡슐화하고 각 인증서가 CA에 의해 인증되
며 모든 참여 피어가 CA를 인증 기관으로 인정하기 때문에 효과적입니다. 이를 RSA 서명을 사용
하는 IKE라고 합니다.
피어는 인증서가 만료될 때까지 계속해서 여러 IPsec 세션을 위해, 여러 IPsec 피어로 인증서를
피어는 인증서가 만료될 때까지 계속해서 여러 IPsec 세션을 위해, 여러 IPsec 피어로 인증서를
보낼 수 있습니다. 인증서가 만료되면 피어 관리자가 CA로부터 새로운 인증서를 받아야 합니다.
CA
CA
는 더 이상 IPsec에 참여하지 않는 피어의 인증서를 폐기할 수도 있습니다. 폐기된 인증서는
다른 피어에서 유효한 것으로 인정하지 않습니다. 해지된 인증서는 CRL에 나열되는데, 각 피어는
다른 피어가 보낸 인증서를 받아들이기 전에 이 목록을 점검할 수 있습니다.
어떤 CA는 그 구현에 RA가 포함되어 있습니다. RA란 CA를 위해 프록시 역할을 하는 서버로서
CA
어떤 CA는 그 구현에 RA가 포함되어 있습니다. RA란 CA를 위해 프록시 역할을 하는 서버로서
CA
가 사용 불가능한 상태이더라도 CA 기능이 계속될 수 있게 합니다.
키 쌍
키 쌍은 다음과 같은 특성을 갖는 RSA 키입니다.
•
RSA
키는 SSH 또는 SSL에 사용할 수 있습니다.
•
SCEP
등록에서는 RSA 키의 인증을 지원합니다.
•
키를 생성할 때 RSA 키의 최대 키 모듈러스는 2048비트입니다. 기본 크기는 1024입니다.
RSA
RSA
키 쌍이 1024비트를 초과하는 ID 인증서를 사용하는 SSL 연결 중 상당수는 ASA 및 거
부된 클라이언트리스(clientless) 로그인에서 CPU 사용량이 많아질 수 있습니다.
•
서명 작업에서 지원되는 최대 키 크기는 4096비트입니다. 크기가 2048 이상인 키를 사용하는
것이 좋습니다.
•
서명 및 암호화에 모두 사용되는 범용 RSA 키 쌍을 생성하거나, 용도별로 각각 RSA 키 쌍을
생성할 수 있습니다. 서명용 키와 암호화용 키를 달리하면 키의 노출을 줄일 수 있습니다. SSL
에서는 서명이 아닌 암호화 용도로 키를 사용하기 때문입니다. 그러나 IKE는 암호화가 아닌
서명을 위해 키를 사용합니다. 각각에 별도의 키를 사용하면 키 노출이 최소화됩니다.
신뢰 지점
신뢰 지점(Trustpoint)을 사용하여 CA와 인증서를 관리하고 추적할 수 있습니다. 신뢰 지점은 CA
또는 ID 쌍을 나타낸 것입니다. 신뢰 지점에는 CA의 ID, CA별 구성 파라미터, 하나의 등록된 ID
인증서와의 연결 관계가 포함되어 있습니다.
신뢰 지점을 정의했으면 CA를 지정해야 하는 명령에서 그 이름을 참조할 수 있습니다. 여러 신뢰
신뢰 지점을 정의했으면 CA를 지정해야 하는 명령에서 그 이름을 참조할 수 있습니다. 여러 신뢰
지점을 구성할 수 있습니다.
참고
Cisco ASA
에서 여러 신뢰 지점이 동일한 CA를 가리킬 경우, 그중 하나만 사용자 인증서의 유효
성 검사에 사용할 수 있습니다. 동일한 CA를 가리키는 신뢰 지점 중 어느 것을 그 CA가 발급한 사
용자 인증서의 유효성 검사에 사용할 것인가는 support-user-cert-validation 명령을 사용하여
제어합니다.
자동 등록의 경우, 등록 URL과 함께 신뢰 지점을 구성해야 하고 그 신뢰 지점이 가리키는 CA가
네트워크에서 사용 가능하고 SCEP를 지원해야 합니다.
신뢰 지점과 연결된 키 쌍 및 발급된 인증서를 PKCS12 형식으로 내보내고 가져올 수 있습니다.
신뢰 지점과 연결된 키 쌍 및 발급된 인증서를 PKCS12 형식으로 내보내고 가져올 수 있습니다.
이 형식은 신뢰 지점 컨피그레이션을 다른 ASA에서 수동으로 복제하는 데 유용합니다.