Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

CA

를 이용할 경우, 피어가 원격 피어로 인증서를 보내고 공개 키 암호 작업을 수행하는 방법으로 

원격 피어에 자신을 인증합니다. 각 피어가 CA에서 발급한 자신의 고유한 인증서를 보냅니다. 이

러한 프로세스는 각 인증서가 해당 피어의 공개 키를 캡슐화하고 각 인증서가 CA에 의해 인증되

며 모든 참여 피어가 CA를 인증 기관으로 인정하기 때문에 효과적입니다. 이를 RSA 서명을 사용

하는 IKE라고 합니다.
피어는 인증서가 만료될 때까지 계속해서 여러 IPsec 세션을 위해, 여러 IPsec 피어로 인증서를 

보낼 수 있습니다. 인증서가 만료되면 피어 관리자가 CA로부터 새로운 인증서를 받아야 합니다.
CA

는 더 이상 IPsec에 참여하지 않는 피어의 인증서를 폐기할 수도 있습니다. 폐기된 인증서는 

다른 피어에서 유효한 것으로 인정하지 않습니다. 해지된 인증서는 CRL에 나열되는데, 각 피어는 

다른 피어가 보낸 인증서를 받아들이기 전에 이 목록을 점검할 수 있습니다.
어떤 CA는 그 구현에 RA가 포함되어 있습니다. RA란 CA를 위해 프록시 역할을 하는 서버로서 
CA

가 사용 불가능한 상태이더라도 CA 기능이 계속될 수 있게 합니다.

키 쌍은 다음과 같은 특성을 갖는 RSA 키입니다.

RSA 

키는 SSH 또는 SSL에 사용할 수 있습니다. 

SCEP 

등록에서는 RSA 키의 인증을 지원합니다.

키를 생성할 때 RSA 키의 최대 키 모듈러스는 2048비트입니다. 기본 크기는 1024입니다. 
RSA 

키 쌍이 1024비트를 초과하는 ID 인증서를 사용하는 SSL 연결 중 상당수는 ASA 및 거

부된 클라이언트리스(clientless) 로그인에서 CPU 사용량이 많아질 수 있습니다.

서명 작업에서 지원되는 최대 키 크기는 4096비트입니다. 크기가 2048 이상인 키를 사용하는 

것이 좋습니다.

서명 및 암호화에 모두 사용되는 범용 RSA 키 쌍을 생성하거나, 용도별로 각각 RSA 키 쌍을 

생성할 수 있습니다. 서명용 키와 암호화용 키를 달리하면 키의 노출을 줄일 수 있습니다. SSL

에서는 서명이 아닌 암호화 용도로 키를 사용하기 때문입니다. 그러나 IKE는 암호화가 아닌 

서명을 위해 키를 사용합니다. 각각에 별도의 키를 사용하면 키 노출이 최소화됩니다.

신뢰 지점(Trustpoint)을 사용하여 CA와 인증서를 관리하고 추적할 수 있습니다. 신뢰 지점은 CA 

또는 ID 쌍을 나타낸 것입니다. 신뢰 지점에는 CA의 ID, CA별 구성 파라미터, 하나의 등록된 ID 

인증서와의 연결 관계가 포함되어 있습니다.
신뢰 지점을 정의했으면 CA를 지정해야 하는 명령에서 그 이름을 참조할 수 있습니다. 여러 신뢰 

지점을 구성할 수 있습니다.

Cisco ASA

에서 여러 신뢰 지점이 동일한 CA를 가리킬 경우, 그중 하나만 사용자 인증서의 유효

성 검사에 사용할 수 있습니다. 동일한 CA를 가리키는 신뢰 지점 중 어느 것을 그 CA가 발급한 사

용자 인증서의 유효성 검사에 사용할 것인가는 support-user-cert-validation 명령을 사용하여 

제어합니다.

자동 등록의 경우, 등록 URL과 함께 신뢰 지점을 구성해야 하고 그 신뢰 지점이 가리키는 CA가 

네트워크에서 사용 가능하고 SCEP를 지원해야 합니다.
신뢰 지점과 연결된 키 쌍 및 발급된 인증서를 PKCS12 형식으로 내보내고 가져올 수 있습니다. 

이 형식은 신뢰 지점 컨피그레이션을 다른 ASA에서 수동으로 복제하는 데 유용합니다.