[X509] 정책 제한 ( Policy Constraints ) 이란?

정책 제한은 CA 인증서에서 사용 되어지는 확장 필드이다.
정책 제한은 인증서 경로 검증을 위해 두가지 제한을 위해 사용 된다.

첫째는 정책 매핑 금지를 요구 하기
둘째는 각각의 인증서 경로가 허용 가능한 정책 식별자를 포함하기
이렇게 두가지 제한을 한다.

아래 그림은 정책 제한의 예제 그림이다

정책 제한 ( Policy Constraints )

정책 제한 ASN.1

   id-ce-policyConstraints OBJECT IDENTIFIER ::=  { id-ce 36 }

   PolicyConstraints ::= SEQUENCE {
        requireExplicitPolicy           [0] SkipCerts OPTIONAL,
        inhibitPolicyMapping            [1] SkipCerts OPTIONAL }

   SkipCerts ::= INTEGER (0..MAX)

정책 제한에 사용하는 두가지 값은 requireExplicitPolicy 와 inhibitPolicyMapping 필드이다.
이 두가지 필드는 ASN.1에서 알 수 있듯이 0 ~ MAX 로 정수 값이다.

정책 제한의 특성

• inhibitPolicyMapping
  정책 매핑이 더 이상 허용 되지 않기 전에 이전 경로에서 나타 날 수 있는 추가 인증서 개수이다.
  예를 들어 1 인 값인 경우 발급한 인증서에서는 정책 매핑이 허용되지만 추가 인증서 경로에는 허용이 안된다.
  인증서 경로 검증은 보통 최상위 루트 인증서 부터 시작해 신뢰 대상자의 인증서 까지 검증 해간다.
• requireExplicitPolicy
  전체 인증서 경로에서 명시적 정책을 요구 하기 전에 인증서 경로상 나타날 수 있는 추가 인증서의 개수 이다.만약 정책 제한 확장이 존재하고 inhibitPolicyMapping 필드가 크리티컬로 설정 되어 있을때
  inhibitPolicyMapping 필드를 지원하지 않는 어플리케이션에서는 해당 인증서를 거절 해야 한다.
• 정책 제한은 inhibitPolicyMapping 필드를 사용하거나 requireExplicitPolicy 를 사용하는데
  둘이 같이 사용하지는 않는다.
• 인증서가 명시적 정책을 요구 하게 되면 모든 인증서는 확장 필드에 허용 가능한 인증서 정책을 포함 해야 한다.
  이 때 허용 가능한 정책 식별자는 인증서 경로 사용자에 의해 정해진 정책 식별자 또는 정책 매핑을 통하여
  동등한 인증서 정책 식별자 입니다.

마무리

정책 제한 필드를 사용하는 경우는 사실 많지가 않아서 좀 이해가 쉽지가 않다.

그나마 공동인증서에서 RequireExplicitPolicy 값을 0 으로 설정 되어 있다.
공동인증서에서는 사용자 인증서는 정책 식별자를 포함 해야 한다는 것이다.
즉 명시적 정책을 요구하기 전에 인증서 경로상 나타낼 수 있는 인증서의 개수는 0개 이기 때문이다.