기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 용어 및 개념 AWS Private CA
다음 용어 및 개념은 작업할 때 도움이 될 수 AWS Private Certificate Authority있습니다.
신뢰
웹 브라우저가 웹 사이트의 자격 증명을 신뢰하려면 브라우저가 웹 사이트의 인증서를 확인할 수 있어야 합니다. 하지만 브라우저는 CA 루트 인증서로 알려진 소수의 인증서만 신뢰합니다. 인증 기관(CA)으로 알려진 신뢰할 수 있는 타사는 웹 사이트의 자격 증명을 확인하고 서명된 디지털 인증서를 웹 사이트 운영자에게 발행합니다. 그러면 브라우저는 디지털 서명을 점검하여 웹 사이트의 자격 증명을 확인할 수 있습니다. 확인에 성공하면 브라우저는 주소 표시줄에 자물쇠 아이콘을 표시합니다.
TLS서버 인증서
HTTPS트랜잭션에는 서버를 인증하기 위한 서버 인증서가 필요합니다. 서버 인증서는 인증서의 퍼블릭 키를 인증서의 보안 주체와 바인딩하는 X.509 v3 데이터 구조입니다. TLS인증서는 인증 기관 (CA) 에서 서명합니다. 여기에는 서버 이름, 유효 기간, 퍼블릭 키, 서명 알고리즘 등이 포함됩니다.
인증서 서명
디지털 서명은 인증서에 대한 암호화된 해시입니다. 서명은 인증서 데이터의 무결성을 확인하는 데 사용됩니다. 사설 CA는 가변 크기의 인증서 콘텐츠와 같은 SHA256 암호화 해시 함수를 사용하여 서명을 생성합니다. 이 해시 함수는 효과적으로 위조 불가한 고정 크기 데이터 문자열을 생성합니다. 이 문자열을 해시라고 합니다. 그런 다음 CA는 개인 키로 해시 값을 암호화하고 암호화된 해시를 인증서와 연결합니다.
인증 기관
인증 기관(CA) 는 디지털 인증서를 발급하고 필요한 경우 해지합니다. 가장 일반적인 인증서 유형은 X.509 표준을 기반으로 합니다. ISO X.509 인증서는 인증서 보안 주체의 ID를 확인하고 해당 ID를 공개 키에 바인딩합니다. 보안 주체는 사용자, 애플리케이션, 컴퓨터 또는 기타 장치일 수 있습니다. CA는 인증서 내용을 해시한 다음, 인증서의 퍼블릭 키와 관련된 프라이빗 키로 해당 해시를 암호화하여 인증서를 서명합니다. 보안 주체의 자격 증명을 확인해야 하는 웹 브라우저와 같은 클라이언트 애플리케이션은 공개 키를 사용하여 인증서 서명을 해독합니다. 그런 다음 인증서 내용을 해시하고 해시된 값을 해독된 서명과 비교하여 일치하는지 확인합니다. 인증서에 대한 자세한 내용은 인증서 서명 섹션을 참조하세요.
를 사용하여 사설 AWS Private CA CA를 만들고 사설 CA를 사용하여 인증서를 발급할 수 있습니다. 사설 CA는 조직 내에서 사용할 수 있는 SSL TLS 사설/인증서만 발급합니다. 자세한 내용은 프라이빗 인증서 단원을 참조하십시오. 또한 프라이빗 CA를 사용하려면 인증서가 필요합니다. 자세한 내용은 CA 인증서 단원을 참조하십시오.
루트 CA
인증서 발급의 기반이 되는 암호화 구성 요소 및 신뢰 루트입니다. 루트 CA는 인증서 서명(발급)을 위한 프라이빗 키와 루트 CA를 식별하고 프라이빗 키를 CA 이름에 바인딩하는 루트 인증서로 구성됩니다. 루트 인증서는 환경 내에 있는 각 엔터티의 신뢰 저장소에 배포됩니다. 관리자는 자신이 CAs 신뢰하는 것만 포함하도록 신뢰 저장소를 구성합니다. 관리자는 해당 환경에 있는 엔터티의 운영 체제, 인스턴스 및 호스트 컴퓨터 이미지로 신뢰 저장소를 업데이트하거나 빌드합니다. 리소스는 상호 연결을 시도할 때 각 엔터티가 제시하는 인증서를 확인합니다. 클라이언트는 인증서의 유효 기간을 검사하고 인증서에서 신뢰 저장소에 설치된 루트 인증서까지의 체인이 존재하는지 여부를 확인합니다. 이러한 조건이 충족되면 리소스 간에 “핸드셰이크”가 수행됩니다. 이 핸드셰이크는 각 엔티티의 ID를 상대방에게 암호화 방식으로 증명하고 이들 간에 암호화된 통신 채널 (TLS/SSL) 을 생성합니다.
CA 인증서
인증 기관(CA) 인증서는 CA의 자격 증명 확인 및 인증서에 포함된 퍼블릭 키와 바인딩합니다.
를 AWS Private CA 사용하여 각각 CA 인증서로 뒷받침되는 사설 루트 CA 또는 사설 하위 CA를 만들 수 있습니다. 하위 CA 인증서는 신뢰 체인에서 보다 상위에 있는 또 다른 CA 인증서에 의해 서명됩니다. 그러나 루트 CA의 경우 인증서는 자체 서명됩니다. 외부 루트 기관(예: 온프레미스에서 호스팅됨)을 설정할 수도 있습니다. 그런 다음 루트 기관을 사용하여 AWS Private CA에서 호스팅하는 하위 루트 CA 인증서에 서명할 수 있습니다.
다음 예는 AWS Private CA X.509 CA 인증서에 포함된 일반적인 필드를 보여줍니다. CA 인증서의 경우 Basic Constraints 필드의 CA: 값은 TRUE로 설정된다는 점에 유의하십시오.
Certificate: Data: Version: 3 (0x2) Serial Number: 4121 (0x1019) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com Validity Not Before: Feb 26 20:27:56 2018 GMT Not After : Feb 24 20:27:56 2028 GMT Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus:00:c0: ... a3:4a:51Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9 X509v3 Authority Key Identifier: keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, CRL Sign Signature Algorithm: sha256WithRSAEncryption6:bb:94: ... 80:d8
루트 CA 인증서
인증 기관 (CA) 은 일반적으로 상위-하위 관계가 명확하게 정의된 다른 CAs 여러 기관이 포함된 계층 구조 내에 존재합니다. 자녀 또는 부하 CAs 직원은 부모의 인증을 받아 인증서 체인을 형성합니다. CAs 계층 구조의 최상위에 있는 CA를 루트 CA라고 하며 해당 인증서를 루트 인증서라고 합니다. 이 인증서는 일반적으로 자체 서명됩니다.
최종 엔터티 인증서
최종 엔터티 인증서는 서버, 인스턴스, 컨테이너 또는 디바이스 같은 리소스를 식별합니다. CA 인증서와 달리 최종 엔터티 인증서를 사용해 인증서를 발급할 수 없습니다. 최종 엔티티 인증서를 가리키는 다른 일반적인 용어로는 “클라이언트” 또는 “리프” 인증서가 있습니다.
자체 서명된 인증서
상위 CA 대신 발급자가 서명한 인증서입니다. CA에서 유지 관리하는 안전한 루트에서 발급된 인증서와 달리, 자체 서명된 인증서는 자체 루트의 역할을 하므로 유선 암호화를 제공하는 데는 사용할 수 있지만, ID를 확인하는 데는 사용할 수 없기 때문에 해지가 불가능하다는 심각한 한계가 있습니다. 보안 관점에서는 용납할 수 없습니다. 그러나 조직은 쉽게 생성할 수 있고, 전문 지식이나 인프라가 필요하지 않으며, 많은 애플리케이션에서 수용한다는 점에서 이를 사용합니다. 자체 서명된 인증서를 발급하기 위한 컨트롤은 없습니다. 이러한 인증서는 만료 날짜를 추적할 수 있는 방법이 없으므로 인증서를 사용하는 조직은 인증서 만료로 인한 가동 중단이라는 커다란 위험 부담을 안게 됩니다.
프라이빗 인증서
AWS Private CA 인증서는 조직 내에서 사용할 수 있지만 공용 인터넷에서는 신뢰할 수 없는 SSL TLS 사설/인증서입니다. 이를 사용하여 클라이언트, 서버, 애플리케이션, 서비스, 장치 및 사용자와 같은 리소스를 식별할 수 있습니다. 암호화된 보안 통신 채널을 구축할 때 각 리소스는 다음과 같은 인증서와 암호화 기술을 사용하여 다른 리소스에 대한 자격 증명을 증명합니다. 내부 API 엔드포인트, 웹 서버, VPN 사용자, IoT 장치 및 기타 여러 애플리케이션은 사설 인증서를 사용하여 보안 운영에 필요한 암호화된 통신 채널을 설정합니다. 기본적으로 프라이빗 인증서는 공개적으로 신뢰되지 않습니다. 내부 관리자는 프라이빗 인증서를 신뢰하고 인증서를 배포하도록 애플리케이션을 명시적으로 구성해야 합니다.
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
인증서 경로
인증서에 의존하는 클라이언트는 최종 엔터티 인증서에서 중간 인증서 체인을 통해 신뢰할 수 있는 루트까지의 경로가 존재하는지 확인합니다. 클라이언트는 경로에 있는 각 인증서가 유효한지(해지되지 않았는지) 확인합니다. 또한 최종 엔터티 인증서가 만료되지 않았는지, 무결성을 갖추고 있는지(변조 또는 수정되지 않았는지), 인증서의 제약 조건이 적용되는지 확인합니다.
경로 길이 제약
CA 인증서의 기본 제약 조건은 pathLenConstraint인증서 아래 체인에 존재할 수 있는 하위 CA 인증서의 수를 설정합니다. 예를 들어 경로 길이 제약이 0인 CA 인증서에는 하위 인증서가 있을 수 없습니다. CAs 경로 길이 제한이 1인 CA는 그 아래에 최대 한 수준의 하위 인증서를 둘 수 있습니다. CAs RFC5280은
