Domino ® 서버 기반 인증 기관

You can set up a Domino® certifier that uses the CA process server task to manage and process certificate requests. The CA process runs as a process on Domino® servers that are used to issue certificates. When you set up a Notes® or Internet certifier, you link it to the CA process on the server in order to take advantage of CA process activities. Only one instance of the CA process can run on a server; however, the process can be linked to multiple certifiers.

You can set up both Notes® and Internet certifiers to use the CA process. Notes® certifiers are registered and then migrated to the CA process. Internet certifiers, however are created and registered using the CA process.

CA 프로세스를 사용하는 것을 고려하세요. 이유는 다음과 같습니다.

  • Provides a unified mechanism for issuing Notes® and Internet certificates.
  • 조직의 하위 관리자에게 인증서 승인/거부 프로세스를 위임하는 데 사용되는 등록 기관(RA) 역할을 지원합니다.
  • 인증자 ID와 ID 비밀번호에 대한 접근이 필요하지 않습니다. CA 프로세스에 대해 인증자를 활성화한 후에는 관리자에게 등록 기관 역할을 할당할 수 있습니다. 이제 관리자는 인증자 ID와 비밀번호를 제공하지 않고도 인증서 요청을 관리할 수 있습니다.
  • 웹 기반 인증서 요청 데이터베이스를 통해 인터넷 인증서 요청 프로세스를 간소화합니다.
  • 해지된 인터넷 인증서에 대한 정보가 포함된 인증서 해지 목록을 발급합니다.
  • 모든 인증 기관이 발급한 인증서에 대한 정보, 정책 및 인증 기관 ID 파일 사본을 포함하는 데이터베이스인 발급된 인증서 목록(ICL)을 만들고 유지 관리합니다.
  • 인터넷 인증서에 대한 보안 산업 표준(예: X.509, PKIX)을 준수합니다.

Domino® 콘솔에서 CA 프로세스를 관리하려면 서버 Tell 명령 세트를 사용합니다.

발급된 인증서 목록(ICL)

각 인증자는 CA 프로세스로 생성되거나 마이그레이션될 때 생성되는 발급된 인증서 목록(ICL)을 갖습니다. ICL은 발급한 각 인증서 사본, 인증서 해지 목록(인터넷 인증자용), CA 구성 문서를 저장하는 데이터베이스입니다. 인증자를 생성하고 인증자의 공개 키로 서명하면 구성 문서가 생성됩니다. 이러한 문서를 만든 후에는 편집할 수 없습니다.

CA 구성 문서에는 다음이 포함됩니다.

  • 인증서 프로필은 인증자가 발급한 인증서에 대한 정보가 포함되어 있습니다.
  • 인증자 자체에 대한 정보가 포함된 CA 구성 문서입니다.
  • RA/CA 연결 문서에는 인증서 요청을 승인하고 거부할 권한이 있는 RA에 대한 정보가 포함되어 있습니다. 각 RA마다 문서가 하나씩 있습니다.
  • 인증자 ID에 대한 정보가 포함된 ID 파일 저장 문서입니다.

인증자를 설정하면 또 다른 CA 구성 문서인 인증자 문서가 Domino® 디렉토리에 생성됩니다. 이 문서는 수정될 수 있습니다.

인증서 폐지 목록(CRL)

CRL은 해지된 인터넷 인증서(예: 해고된 직원의 인증서)를 식별하는 타임스탬프가 포함된 목록입니다. CA 프로세스는 각 인터넷 인증자에 대한 CRL을 발급하고 유지 관리합니다. CRL은 인증자와 연관되고, 해당 인증자에 의해 서명되며, 인증자의 ICL 데이터베이스에 저장됩니다.

새로운 인터넷 인증자를 만들 때 CRL을 구성합니다. CRL의 유효 기간과 새 CRL을 게시하는 간격을 지정할 수 있습니다. CRL이 구성되면 인증자가 정기적으로 CRL을 발급하며 관리자가 개입하지 않고도 작동합니다.

CRL을 사용하면 조직에서 발급된 인증서를 관리할 수 있습니다. 인증서 주체가 조직을 떠나거나 키가 손상된 경우 인증서를 쉽게 해지할 수 있습니다. HTTP 서버와 웹 브라우저는 CRL을 확인하여 해당 인증서가 해지되었는지, 따라서 인증자가 더 이상 해당 인증서를 신뢰하지 않는지 확인합니다. Domino® 에서 인터넷 프로토콜을 구성하기 위해 인터넷 사이트 문서를 사용할 때 각 프로토콜에 대한 CRL 검사를 활성화할 수도 있습니다.

CRL에는 예약된 CRL과 즉시 CRL의 두 가지 종류가 있습니다. 예약된 CRL의 경우 CRL이 유효한 기간인 기간 간격과 새 CRL이 발급되는 간격을 구성합니다. 마지막 CRL이 발급된 이후로 인증서가 해지되지 않았더라도 각 인증자는 지정된 시간에 CRL을 발급합니다. 즉, 관리자가 인증서를 해지하면 해당 인증서는 인증자가 발급한 다음 예약된 CRL에 나타납니다. CRL 기간은 각 CRL 발급 간 기간보다 길어야 합니다. 이렇게 하면 CRL이 유효한 상태로 유지됩니다. 그렇지 않으면 새 CRL이 발급되기 전에 CRL이 만료될 수 있습니다.

그러나 심각한 보안 침해가 발생하는 경우(예: 관리자가 특히 강력한 인증서를 해지해야 하거나 인증자 인증서가 손상된 경우) 긴급 해지를 강제하기 위해 수동으로 즉각적인 CRL(즉, 예약되지 않은 CRL)을 발급할 수 있습니다. 이러한 유형의 해지는 다음에 예약된 CRL의 타이밍이나 내용에 영향을 미치지 않습니다. Tell 명령을 사용하면 즉시 CRL을 발급할 수 있습니다.