[X509] 발급자 정보 접근 (Authority Information Access)

발급자 정보 접근 ( Authority Information Access) 은 X509 Version3 에서 정의 된 확장 필드이다.
이 확장 필드는 인증서를 발급한 인증기관에 대한 정보를 보여준다.
즉 인증서를 발급한 인증기관 위치와 인증서의 상태를 알 수 있는 OCSP 정보를 나타낸다.

아래 그림이 발급자 정보 접근의 예제 화면이다.

발급자 정보 접근 ( Authority Inforamtion Access )

예제 그림에서 보면 OCSP URI 와 CA Issuers 의 URI 정보를 볼 수 있다.

발급자 정보 접근 ASN.1

   id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

   AuthorityInfoAccessSyntax  ::=
           SEQUENCE SIZE (1..MAX) OF AccessDescription

   AccessDescription  ::=  SEQUENCE {
           accessMethod          OBJECT IDENTIFIER,
           accessLocation        GeneralName  }

   id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

   id-ad-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }

   id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 }

ASN.1 정보를 보면 id-ad-caIssuers 는 발급자 인증서의 위치 정보를 위한 것이고
id-ad-ocsp 정보는 OCSP 정보를 표시하는 필드이다.

발급자 정보 접근 특성

CA 인증서의 정보를 나타내지만 인증기관이 발행하는 또하나인 CRL 의 위치 정보는 없다.
CRL 위치의 경우는 cRLDistributionPoints 라는 별도의 확장 필드를 사용하여 표시 한다.
해당 인증서의 위치 정보는 HTTP, FTP 및 LDAP 프로토콜을 사용하여 나타낸다.

만약 HTTP 프로토콜을 사용하게 되면 Http 헤더 정보에 application/pkix-cert 를 포함하여
DER 인코딩 형식의 데이타를 전달 한다.

그리고 OCSP 정보는 RFC2560 에 따른 OCSP 응답 메세지를 받아 올 수 있다.

마무리

발급자 정보 접근 정보로 부터 인증서 발급자의 인증서 위치를 알 수 있고
또한 인증서 상태를 실시간으로 알 수 있는 OCSP 접근 주소를 얻어 올 수 있는 것이다.