Domino® 서버 기반 CA(Server-based certification authority)
CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino® 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
Notes® 및 인터넷 인증자를 모두 설정하여 CA 프로세스를 사용할 수 있습니다. Notes® 인증자는 등록된 다음 CA 프로세스로 마이그레이션됩니다. 그러나 인터넷 인증자는 CA 프로세스를 사용하여 작성되고 등록됩니다.
CA 프로세스에는 다음과 같은 장점이 있으므로 CA 프로세스 사용을 고려하십시오.
- Notes® 및 인터넷 인증서 발행을 위한 통합 메커니즘을 제공합니다.
- 인증서 승인/거부 프로세스를 조직의 하급 관리자에게 위임하는데 사용하는 RA(Registration Authority) 역할을 지원합니다.
- 인증자 ID 및 ID 비밀번호에 대한 액세스 권한이 필요 없습니다. CA 프로세스에 대해 인증자를 사용 가능으로 설정한 후, 관리자에게 RA 역할을 할당할 수 있으며 해당 관리자는 인증자 ID 및 비밀번호를 제공하지 않고도 인증서 요청을 관리할 수 있습니다.
- 웹 기반 인증서 요청 데이터베이스를 통해 인터넷 인증서 요청 처리를 단순화합니다.
- 취소된 인터넷 인증서에 대한 정보가 들어 있는 인증서 취소 목록을 발급합니다.
- 인증자가 발급한 모든 인증서에 대한 정책과 인증자 ID 파일의 사본을 포함한 정보가 수록된 데이터베이스인 발급된 인증서 목록(ICL)을 작성하고 유지관리합니다.
- 인터넷 인증서(예: X.509 및 PKIX)의 보안 산업 표준을 따릅니다.
Domino® 콘솔에서 CA 프로세스를 관리하려면 Tell 서버 명령 세트를 사용합니다.
발급된 인증서 목록(ICL)
각 인증자는 인증자가 작성되거나 CA 프로세스로 마이그레이션될 때 작성된 ICL을 가지고 있습니다. ICL은 발급한 각 인증서의 복사본, 인터넷 인증자에 대한 인증서 취소 목록 및 CA 환경 설정 문서를 저장하는 데이터베이스입니다. 환경 설정 문서는 인증자를 작성한 후 인증자의 공개 키로 서명할 때 생성됩니다. 이런 문서는 작성 후 편집할 수 없습니다.
CA 환경 설정 문서에는 다음과 같은 항목이 있습니다.
- 인증서 프로파일 - 인증자가 발급한 인증서에 대한 정보가 들어 있습니다.
- CA 환경 설정 문서 - 인증자 자체에 대한 정보가 들어 있습니다.
- RA 및 CA 관련 문서 - 인증서 요청을 승인 및 거부할 수 있도록 인증된 RA에 대한 정보가 들어 있습니다. 각 RA에 대한 문서는 하나입니다.
- ID 파일 저장 문서 - 인증자 ID에 대한 정보가 들어 있습니다.
또 다른 CA 환경 설정 문서인 인증자 문서는 인증자를 설정할 때 Domino® 디렉토리에 작성되며, 이 문서는 수정할 수 있습니다.
인증서 취소 목록(CRL)
CRL은 취소된 인터넷 인증서(예: 퇴사한 직원의 인증서)를 확인하는 시간이 기록된 목록입니다. CA 프로세스는 각 인터넷 인증자의 CRL을 발급하고 관리합니다. CRL은 인증자와 관련이 있고, 인증자에 의해 서명되며, 인증자의 ICL 데이터베이스에 저장됩니다.
새 인터넷 인증자를 작성할 때 CRL을 구성합니다. CRL의 유효 기간과 새 CRL의 등록 간격을 지정할 수 있습니다. CRL이 설정된 후, 인증자가 정기적으로 CRL을 발급하면 별도로 관리하지 않아도 됩니다.
CRL을 사용하여 조직에 발급된 인증서를 관리할 수 있습니다. 인증서의 소유자가 조직에서 퇴사하거나 키가 노출된 경우, 인증서를 쉽게 취소할 수 있습니다. HTTP 서버와 웹 브라우저는 CRL을 검사하여, 지정된 인증서가 취소되었는지 여부와 취소되었다면 인증자가 더 이상 신뢰할 수 없는지 결정합니다. 인터넷 사이트 문서를 사용하여 Domino®에 인터넷 프로토콜을 구성할 때, 각 프로토콜에 대해 CRL 검사를 설정할 수 있습니다.
CRL의 종류는 스케줄링됨과 즉시의 두 가지입니다. 주기적 CRL의 경우, 기간 간격 즉, CRL이 유효한 시간 및 새 CRL이 발급될 간격을 설정합니다. 마지막 CRL이 발급된 후 취소된 인증서가 없어도 각 인증자는 지정된 시간에 CRL을 발급합니다. 즉, 관리자가 인증서를 취소한 경우, 다음 번에 인증자가 발급하는 주기적 CRL에 인증서가 표시됩니다. CRL 기간은 CRL 발급 간격보다 길어야만 CRL이 유효하게 유지될 수 있습니다. 그렇지 않은 경우, CRL은 새로운 CRL이 발급되기 전에 만료됩니다.
그러나 관리자가 특히 강력한 인증서를 취소해야 하거나 인증자 인증서가 노출될 때와 같이 심각한 보안상 문제가 있는 경우, 수동으로 즉시 수행 CRL(비주기적 CRL)을 발급하여 긴급 취소를 수행할 수 있습니다. 이것은 다음 주기적 CRL의 시기 또는 내용에 적용되지 않습니다. Tell 명령어를 사용하여 즉시 수행 CRL을 발급합니다.