CA 키 롤오버

HCLDomino® 관리자는 Domino® CA에 새로운 공개 및 개인 키 세트를 할당할 수 있습니다. 이러한 키를 사용하여 해당 조직에 있는 OU, 서버 및 사용자의 키를 인증합니다. 새로운 키를 지정하는 프로세스는 키 롤오버로 알려져 있습니다.

이 태스크 정보

다음과 같은 경우에는 CA 키를 롤오버해야 할 필요가 있습니다.

  • 현재 키가 적절하게 암호화되기에 너무 짧다고 간주되는 경우. 긴 키가 더 안전하고 임의 조작에 덜 취약합니다. 이론적으로, CA 키의 길이는 2048 또는 4096비트입니다.
  • 현재 키가 너무 오래된 경우. Current® Domino® CA 키는 대부분 10년 이상 되었기 때문에, 일반적으로 키 수명을 더 짧게 하는 것이 좋습니다. 롤오버 시 키 수명을 지정할 수 있습니다.
  • 현재 개인 키의 값이 손상되었습니다.

관리자가 새로운 키 세트를 Domino® CA에 할당하면 새 키가 작성되고 자체 인증되어 ID 파일의 보류 중인 키 영역에 있는 최상위 레벨 인증자 ID 파일에 추가됩니다. 이전에 사용한 키는 ID 파일의 보관된 키 영역에 추가되고, 새 키와 이전 키를 바인딩하는 롤오버 인증서는 ID 파일의 롤오버 인증서 영역에 추가됩니다.

새 키가 작성되고 이전 키가 보관된 시간은 CA 키 롤오버를 처리하는 데 사용된 방법과 다릅니다. CA 키 롤오버 프로세스에 인증하는 인증자의 ID 파일을 사용하면 즉시 인증 작업이 발생합니다. 그러나 CA 프로세스가 사용되면 미래 특정 시점에서 롤오버 중인 CA의 ID 파일을 열어 인증서를 발급할 때까지 이 최종 시퀀스는 발생하지 않습니다. 인증서를 발급할 때마다 등록 서버의 디렉토리에서 인증자 ID 파일에 추가할 새 인증서를 검색합니다.

롤오버 인증서

이 태스크 정보

인증자 키 롤오버를 지원하기 위해 Domino® 신뢰 모델을 확장하여 새로운 유형의 인증서, 즉 롤오버 인증서를 포함했습니다. 이러한 인증서는 엔티티 자체에서 발급한 인증서입니다. 계층 인증서에는 단일 발급자 이름, 단일 제목 이름 및 단일 제목 키가 있습니다. 롤오버 인증서에는 단일 이름(발급자와 제목 둘 다)과 두 개의 제목 키가 있습니다. 키 하나는 인증서에 서명하는 데 사용되고 제목 이름이 적법하게 다른 키를 소유한다는 사실을 입증합니다.

일반적으로 키가 롤오버될 때 두 개의 롤오버 인증서가 발행됩니다. 하나는 이전 키에 의해 서명되어 새 키가 올바름을 나타내고 다른 하나는 새 키에 의해 서명되어 이전 키가 올바름을 나타냅니다. 각 인증서는 고유한 만료 날짜를 가집니다.

롤오버 인증서는 이전 키에 발급된 인증서의 만료 날짜를 제한하는 데 필요합니다. 키를 롤오버하는 이유 중 하나는 이전 키가 손상되었거나 적어도 손상 가능성이 허용 범위를 넘는 것으로 간주될 정도로 오래된 것으로 간주되기 때문입니다. 이런 경우, 롤오버 인증서에 지정된 만료 날짜를 제한하는 방식으로 롤오버 인증서에서 만료 날짜를 충분히 앞당겨 이전에 발급된 하위 인증서의 수명을 제한할 수 있습니다.

인증자 롤오버 프로세스

이 태스크 정보

인증자 롤오버는 전체 조직에 영향을 미칩니다. 인증자를 롤오버했으면 모든 사용자 ID, 서버 ID 및 해당 인증자가 발급한 교차 인증서를 롤오버하거나 다시 인증해야 합니다.

전체 고객 사이트를 롤오버하는 가장 좋은 방법은 루트 인증서에서 시작하여 계층 구조의 아래로 이동하는 것입니다. 루트 CA를 롤오버하여 시작한 다음 OU CA를 롤오버합니다. 그런 다음 서버 및 사용자 키를 롤오버합니다. 상위 CA보다 먼저 사용자 또는 서버 키가 롤오버되면 새 사용자 또는 서버 키를 두 번 인증해야 합니다. 즉, 현재(이전) CA 키로 한 번 인증한 다음 CA 키가 롤오버될 때 다시 인증해야 합니다. 추가 재인증은 시간과 노력이 많이 듭니다. 사용자 및 서버를 재인증하려면 관리자의 작업이 필요할 뿐만 아니라, 사용자 및 서버 문서 복제도 필요합니다.

프로시저

  1. 먼저 인증자에게 새로운 키 쌍을 할당해야 합니다.
  2. 이 인증자가 발급했던 서버 ID를 롤오버하거나 다시 인증합니다.
  3. 이 인증자가 발급했던 사용자 ID를 롤오버하거나 다시 인증합니다.
  4. 이 인증자가 서명했던 교차 인증서를 다시 인증합니다.