[X509] CRL 발급 분배 점( Issuing Distribution Point )

CRL 발급 분배 점은 ( Issuing Distribution Point ) 는 CRL Version2 에서 정의 한 확장 필드이다.
이 발급 분배 점 정보는 CRL 파일을 얻을 수 있는 위치 정보를 나타낸다.
즉 해당 CRL 이 얻어 올 수 있는 위치 정보를 나타낸다.

아래 그림은 CRL 발급 분배점의 예시 화면이다.

CRL 발급 분배 점

예시 화면은 CRL 파일을 상세 보기한 화면이구 해당 CRL 파일은
URI=ldap://ldap.signgate.com:389/ou=dp7p27928,ou=crldp,ou=AccreditedCA,o=KICA,c=KR
위치에서 얻을 수 있다는 것이다.

CRL 발급 분배 점 ASN.1

   id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-ce 28 }

   IssuingDistributionPoint ::= SEQUENCE {
        distributionPoint          [0] DistributionPointName OPTIONAL,
        onlyContainsUserCerts      [1] BOOLEAN DEFAULT FALSE,
        onlyContainsCACerts        [2] BOOLEAN DEFAULT FALSE,
        onlySomeReasons            [3] ReasonFlags OPTIONAL,
        indirectCRL                [4] BOOLEAN DEFAULT FALSE,
        onlyContainsAttributeCerts [5] BOOLEAN DEFAULT FALSE }

CRL 발급 분배점 특성

• CRL 은 CRL 발급자의 개인키로 서명을 하는데 CRL 배포지점은 특별히 자체 키 쌍이 존재 하지 않는다.
• onlySomeReason 은 폐기 이유를 나타내는데 만약 이 필드가 없으면 모든 이유를 사용한다.
  만약 이 필드가 존재하면 해당 이유만으로 CRL 폐기 사유를 사용한다.
• CA는 폐기 사유에 따른 CRL 을 분할 할 수 있다.
  즉 다른 사유는 다른 IssuingDistributionPoint를 사용하기도 한다.
• 이 필드는 사실 인증서의 CRLDP 필드와 동일한 형식과 의미이다.
• 만약에 CRL 에서 CRL 발급 분배점이 없는 경우는 해당 CRL은 폐기된 모든 인증서를 가져야 한다.
• CRL 범위에서 CRL 발급자의 인증서만 대상이면 indirectCRL 은 FALSE 로 해야 하고
  만약 CRL 발급자 이외의 하나 이상의 기관에서 발급한 인증서를 포함하면 indirectCRL 은 TRUE 로 설정 한다.
• CRL 이 최종 엔터티 공개키만 표현하는 경우는 onlyContaintsUserCerts 가 TRUE 로 설정
  CA 인증서만 포함하는 경우는 onlyContainsCACerts 가 TRUE 로 설정
• onlyContainsUserCert, onlyContainsCACerts, indirectCRL 과 onlyContainsAttributeCerts 모두가 FALSE 라면
  distributionPoint 필드 또는 onlySomeReasons 필드가 하나는 있어야 한다.

마무리

인증서의 상태 확인을 하기 위해 CRL 을 체크 하고
그리고 해당 CRL 의 위치를 확인 하기 위해서 CRL 발급 분배점 정보를 이용한다.
사실 CRL 서명 정보만 맞으면 되고 일반적으로 인증서의 CRL 위치는 인증서 CRLDP 정보를 주로 참조하면 된다.