[X.509] 인증서 정책 (Ceritifcate Policies) 확장 필드란?

인증서 정책 (Certificate Policies ) 용도

인증서 정책은 X.509 인증서의 확장 필드이다.
이 필드는 인증서를 발급하는 CA에서 해당 발급된 인증서 정책을 나타내는 것이다.
즉 한마디로 해당 인증서의 용도를 알려 주는 확장 필드 이다.

인증서 정책 예제

아래 그림은 SSL 인증서에서 인증서 정책 필드에 대한 예제이다.

해당 그림에서 처럼 인증서 정책 OID 정보와 CPS ( Certificate Practice Statement ) 정보가 나온다.
여기서 CPS 는 URI 형식의 정보이다.

해당 CPS 정보의 URI 주소를 참조 하면 해당 인증서 용도에 대한 내용을 확인 할 수 있다.

그리고 인증서 정책 정보에는 User Notice 정보도 존재 하는데
이 정보는 신뢰 당사자에게 인증서가 사용 될때 표시를 위한 필드 이다.

인증서 정책 ASN.1

   id-ce-certificatePolicies OBJECT IDENTIFIER ::=  { id-ce 32 }

   anyPolicy OBJECT IDENTIFIER ::= { id-ce-certificatePolicies 0 }

   certificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation

   PolicyInformation ::= SEQUENCE {
        policyIdentifier   CertPolicyId,
        policyQualifiers   SEQUENCE SIZE (1..MAX) OF
                                PolicyQualifierInfo OPTIONAL }

   CertPolicyId ::= OBJECT IDENTIFIER

   PolicyQualifierInfo ::= SEQUENCE {
        policyQualifierId  PolicyQualifierId,
        qualifier          ANY DEFINED BY policyQualifierId }

   -- policyQualifierIds for Internet policy qualifiers

   id-qt          OBJECT IDENTIFIER ::=  { id-pkix 2 }
   id-qt-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
   id-qt-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }

   PolicyQualifierId ::= OBJECT IDENTIFIER ( id-qt-cps | id-qt-unotice )

인증서 정책의 ASN.1 을 참고 하게 되면 인증서 정책은 SEQUENCE 로서 여러개를 가질 수 있다.
각각의 인증서 정책에서 주요한 값은 아래 3가지 정보이다.

• 정책 ID ( id-qt ) : 해당 인증서 정책에 대한 고유 OID
• CPS ( id-qt-cps) : 정책 정보를 설명한 참조 URI 주소
• User Notice ( id-qt-unotice ) : 인증서 정책에 대한 간략한 표시 메세지

마무리

일반적으로 사용하는 다양한 인증서가 존재 한다.
예를 들면 SSL 인증서 또는 공동 인증서 그리고 SMIME 등 이렇게 다양한 인증서에 대한 용도에 대해서
실제로 OID 정보만으로는 충분히 내용을 파악하기 어렵다.
그래서 해당 인증서 정책필드에 CPS 정보와 User Notice 정보를 참조 하여 좀더 자세히 인증서의 사용 용도를 파악 할 수 있다.