X.509 인증서 발급 프로토콜 ( CMP, SCEP 그리고 CSR ) 종류

PKI 에서 인증서가 중요한 요소이다.
그럼 인증서를 발급 하기 위한 방법으로 3가지 정도로 본다.
그 3가지가 CMP, SCEP 및 CSR을 전달을 통한 발급이다.

사실 CSR 은 프로토콜은 아닌데 단지 자체 발급을 표현할 것이 없어서 사용한 용어이다.
물론 CMP, SCEP도 사실 내부적으로 CSR을 사용을 지원한다.

CMP ( Certificate Management Protocol )발급

• RFC4210 RFC4211 에서 정의한 PKI 표준 온라인 프로토콜이다.
• CMP 발급에서는 CRMF ( Certificate Request Message Format ) 과 함께 사용한다.
• IR/KUR/CR/RR 등 인증서 발급/갱신/폐기/복구 등 주요 기능 모두 지원한다.
• CMP내에서도 CSR 을 이용한 발급도 지원한다.
• 국내에서는 공동인증서 발급시 사용된다.
• OpenSSL 3 이상에서 지원한다.

SCEP ( Simple Certificate Enrolment Protocol ) 발급

• RFC8894 에서 정의 한 표준 온라인 프로토콜이다.
• PKCS#7 형식을 이용한다.
• 내부적으로 CSR 파일을 PKCS#7 형식의 데이타로 만들어 HTTP 를 통한 발급이다.
• 인증서 발급 갱신 및 Certificate CRL query 기능 지원 한다.
• CMP 에 비하면 구현이 용이하다.

CSR ( Certificate Signing Request ) 전달 발급

• PKCS#10 RFC2986 표준 포맷이다.
• CSR 파일은 공개키와 관련정보를 개인키로 서명한 파일이다.
• 메일 또는 자체 방식으로 CSR을 전달을 통한 발급방법이다.
• 보통 SSL 인증서 발급에서 CSR 전달을 통해 사용된다.

마무리

이렇게 인증서 발급 기술에 대해 간단히 설명을 하였는데
인증서 발급 표준 프로토콜으로서는 CMP 와 SCEP 가 있는데
사실 CMP 는 보안적 기술이 많이 들어가서 구현이 많이 복잡하고
SCEP 가 좀더 간단히 구현이 가능하다. 하지만 CMP 가 좀더 다양한 옵션을 제공한다.

여기서 중요한 점은 인증서 발급시 개인키는 절대로 사용자 환경에서 떠나서는 안되는 것이다.
이 부분이 PKI 의 신뢰성의 핵심이기 때문이다.