Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

OCSP

는 VA(OCSP 서버, responder라고도 함)에서 인증서 상태를 로컬화합니다. ASA는 VA에 

특정 인증서의 상태를 쿼리합니다. 이는 CRL 검사보다 확장 가능한 방법이고 더 최신 버전의 폐

기 상태 정보를 제공합니다. 또한 PKI 설치 규모가 큰 조직에서 보안 네트워크를 구축하고 확장하

는 데 유용합니다.

ASA

에서는 OCSP 응답에서 5초의 시간 지연(time skew)을 허용합니다.

ASA

에서 인증서를 확인할 때마다 반드시 OCSP 검사를 수행하도록 revocation-check ocsp 명

령을 사용하여 구성할 수 있습니다. 또한 revocation-check ocsp none 명령을 사용하여 OCSP 

검사를 선택 사항으로 설정할 수도 있습니다. 그러면 VA에서 업데이트된 OCSP 데이터를 제공할 

수 없는 경우에도 인증서 인증에 성공할 수 있습니다.
OCSP

에서는 3가지 방법으로 OCSP 서버 URL을 정의할 수 있습니다. ASA에서는 다음 순서대로 

이 서버를 사용합니다.

match certificate 

명령을 사용하여 일치 인증서 재정의(override) 규칙에 정의한 OCSP URL

ocsp url 

명령을 사용하여 구성한 OSCP URL

클라이언트 인증서의 AIA 필드

자체 서명된 OCSP responder 인증서의 유효성 검사를 위한 신뢰 지점을 구성하려면, 자체 서명된 
responder 

인증서를 신뢰할 수 있는 CA 인증서로 간주하면서 해당 신뢰 지점으로 가져옵니다. 그런 

다음 클라이언트 인증서의 유효성을 검사하는 신뢰 지점에서 match certificate 명령을 구성하여 
responder 

인증서의 유효성 검사에 자체 서명된 OCSP responder 인증서가 포함된 신뢰 지점을 사

용하게 합니다. 클라이언트 인증서의 유효성 검사 경로에 속하지 않은 responder 인증서의 유효성 

검사를 구성하는 데에도 동일한 절차를 사용합니다. 

일반적으로 OCSP 서버(responder) 인증서가 OCSP 응답에 서명합니다. ASA에서는 응답을 받은 

후 responder 인증서의 확인을 시도합니다. 일반적으로 CA는 OCSP responder 인증서의 수명을 상

대적으로 짧게 설정하여 문제가 발생할 가능성을 최소화합니다. 일반적으로 CA는 responder 인증

서에 ocsp-no-check 확장도 포함하는데, 이는 해당 인증서에 대해 폐기 상태 검사가 필요하지 않음

을 나타냅니다. 그러나 이 확장이 없을 경우 ASA에서는 신뢰 지점에 지정된 방식을 사용하여 폐기 

상태 검사를 시도합니다. responder 인증서가 확인 불가할 경우 폐기 검사는 실패합니다. 이러한 상

황을 방지하기 위해 revocation-check none 명령을 사용하여 responder 인증서의 유효성을 검사

하는 신뢰 지점을 구성하고 revocation-check ocsp 명령을 사용하여 클라이언트 인증서를 구성합

니다. 

로컬 CA는 다음 작업을 수행합니다.

ASA

에서 기본 CA 작업 통합

인증서 배포

발급된 인증서에 대해 안전한 폐기 검사 실시

ASA

에서 브라우저 기반 및 클라이언트 기반 SSL VPN 연결에 사용할 CA 제공 

외부 인증서 권한 부여를 이용할 필요 없이 사용자에게 신뢰할 수 있는 디지털 인증서 제공 

안전한 내부 인증서 인증 권한 제공, 웹사이트 로그인을 통한 간편한 사용자 등록 기능 제공