[X509] 명칭 제한 ( Name Constraints ) 이란?

명칭 제한 ( Name Constraints ) 확장 필드는 소유자 또는 소유자의 대체 명칭 확장 필드에서 사용 되는 명칭에 대해 제한 하기 위해 사용 되는 확장 필드이다.
이 필드는 CA 인증서에서만 사용되는 필드이다
만약 인증서에서 해당 타입의 이름이 없다면 그 인증서는 허용되는 것이다.

제한은 허용되는 하위 이름( permittedSubtrees)과 제한 되는 하위 이름( excludedSubtrees )의 두가지 이다.
그리고 excludedSubtrees 에 맞는 값이 존재 한다면 permittedSubtrees 의 값에 상관 없이 유효 하지 않게 된다.

x400Address, ediPartName 또는 registeredID 형식에는 적용 되지 않는다.
이 명칭 제한을 사용하는 CA는 이름 제한을 빈 시퀀스로 발행 해서는 안된다.
즉 permittedSubtrees 를 사용하던가 ExcludedSubtress 값 중 하나를 지정 해야 한다.

명칭 제한 ASN.1

      id-ce-nameConstraints OBJECT IDENTIFIER ::=  { id-ce 30 }

      NameConstraints ::= SEQUENCE {
           permittedSubtrees       [0]     GeneralSubtrees OPTIONAL,
           excludedSubtrees        [1]     GeneralSubtrees OPTIONAL }

      GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree
      GeneralSubtree ::= SEQUENCE {
           base                    GeneralName,
           minimum         [0]     BaseDistance DEFAULT 0,
           maximum         [1]     BaseDistance OPTIONAL }

      BaseDistance ::= INTEGER (0..MAX)

명칭 제한 특성

이 확장 필드는 셀프 서명 인증서에는 적용 되지 않는다.
이프로필에서 최소 및 최대 필드는 이름 형식과 함께 사용 되지 않으므로 최소값은 0이어 하고 최대값은 없어야 한다.

• URI 경우
  제약조건은 호스트 부분에 적용 되며 정규화된 도메인 이름이 지정 되어야 한다.
  제약 조건이 마침표로 부터 시작을 하면 하나 이상의 라벨로 확장 된다.
  즉 제약 조건이 ".example.com" 일 경우 "host.example.com" 과 "my.host.example.com" 을 만족 하지만
  "example.com"은 만족 하지 않는다.
  참고로 호스트 이름이 IP 주소로 지정 되면 거부 된다.
• 인터넷 메일 주소
  특정 사서함을 표시 하려면 제약 조건의 값은 전체 메일 주소를 서야 한다.
  예를 들어 "root@example.com" 은 root 의 메일 함를 나타낸다.
  "example.com"의 표시는 "example.com" 이 호스트인 어떤 메일 주소도 해당 된다.
• DNS name
  DNS 이름이 "host.example.com" 으로 표현 인 경우 왼쪽 라벨 값이 추가는 어떤 경우도 해당 된다. 즉 "www.host.example.com" 은 만족 하지만 "host1.example.com" 은 만족 하지 않는다.
• directoryName
  이 제한은 subject 필드와 subjectAltName 확장에 적용 되어 진다.
  이 필드를 적용할때 DN 의 속성을 비교 해야 한다 예를 들면 "CN=Hello" 같은 형식이다.

마무리

이 명칭 제한은 주체자와 주체자의 대체 이름을 제한하기 위해 사용된다.
실제로 명칭 제한을 사용하는 인증서를 아직은 본적이 없다. 물론 CertMan 을 통해 이 필드를 적용 해 볼 수는 있지만..
아직 이 필드도 용도의 이해가 더 필요하다.
그리고 minmum 과 maximum의 용도가 아직 잘 모르겠다.