[X509] 정책 매핑 ( Policy Mappings ) 이란?

인증서 정책 매핑 ( Policy Mappings ) 확장 필드는 인증서비스 영역간의 상호 인증 시
상대방 인증서비스의 인증서 정책을 받아들일 때 사용 한다.
이 필드는 상호 인증을 위해 인증기관(CA) 인증서에서 선택적으로 사용 가능하다.

정책 매핑 ASN.1

   id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }

   PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
        issuerDomainPolicy      CertPolicyId,
        subjectDomainPolicy     CertPolicyId }

정책 매핑 특성

이 확장 필드는 하나 이상의 OID 값의 쌍으로 이루어진 목록이다.
즉 항상 issuerDomainPolicy 와 subjectDomainPolicy 의 쌍으로 값이 만들어 진다.
즉 issuerDomainPolicy 의 값과 subjectDomainPolicy 값은 동일 한 정책으로 간주 한다는 것을 나타낸다.

하지만 AnyPolicy 경우는 정책 매핑에서 사용 할 수 없다.

일반적으로 정책 매핑 확장의 issuerDomainPolicy 필드에 나타나는 인증서 정책은
인증 경로의 후속 인증서에 포함할 수 있는 정책으로 간주되지 않는다.

어떤 상황에서는 CA가 한 정책(p1)에서 다른 정책(p2)으로 매핑하기를 원하지만
여전히 issuerDomainPolicy(p1)가 후속 인증서에 포함되도록 허용되기를 원할 수 있다.

예를 들어, CA가 정책 p1 사용에서 정책 p2 사용으로 전환하는 중이고
각 정책에 따라 발급된 유효한 인증서가 있는 경우 이런 일이 발생할 수 있다.
CA는 발급하는 CA 인증서에 두 가지 정책 매핑을 포함하여 이를 나타낼 수 있다.

마무리

정책 매핑은 서로 다른 정책에 대해 상호 인증을 위해 사용하거나
정책을 전환 할 때 사용하는것으로 분석을 했는데.
사실 이 필드를 사용하는것을 아직 본적이 없어 사실 좀더 분석이 필요해 보인다.