[X.509] 인증서 기본 제한(Basic Constraints)에 대해서

X.509 에서 CA 인증서의 필수 값인 Basic Constraints 에 대해서 알아보자.
보통 한글로는 기본 제한 이라고 표현한다.

아래 그림을 보면 X.509 CA 인증서에서 basicConstrains 값이 존재 한다.

CA 인증서 예제

CA( RootCA 포함) 인증서에서는 필수로 이 값이 존재한다.
한마디로 CA 인증서를 만들려면 이 확장 필드가 필수 값이다.

Basic Constrains ASN.1 정의

id-ce-basicConstraints OBJECT IDENTIFIER ::=  { id-ce 19 }

BasicConstraints ::= SEQUENCE {
        cA                      BOOLEAN DEFAULT FALSE,
        pathLenConstraint       INTEGER (0..MAX) OPTIONAL }

위 ASN.1 정의를 보면 두가지 값이 존재 한다.

• cA : 이 부분이 cA 인증서 유무를 나타낸다.

기본적으로 CA 인증서 이면 TRUE 로 설정 되어야 하며 값이 없으면 End Entity 인증서로 보면 된다.

• pathLenConstraint : 이 값은 CA 인증서가 발급 가능한 SubCA 의 Depth 로 보면 된다.

만약 pathLenConstraints 값이 0 이면 SubCA 인증서를 발급 할 수 없고
End Entity 인증서만 발행 할 수있다.
값이 1 인 경우는 SubCA의 1단계 까지 발급이 가능하다.
End-Entity 경우는 pathLenConstraints 값을 사용 해서는 안된다.
만약 예제 그림처럼 None 경우는 특별히 제한 없이 SubCA의 단계를 둘 수 있다는 의미이다.

이 BasicConstrains 영역은 X.509 인증서 프로프일의 확장 영역인데
CA 인증서 경우 critical 로 설정이 된다.

일반 End-Entity 인증서 경우( ex SSL 서버 인증서 ) 이 값은 사용하지 않아도 되어서 이 필드가 없다.

마무리

X.509 인증서는 크게 용도로 보면 CA 인증서와 End Entity 인증서로 나눌 수 있는데
이것의 구별 값이 BasicConstrains 설정 값으로 보면 된다.