Warehouse of PKI

인증서 폐기 목록 분배점은 Version 3 의 확장 필드로서 인증서의 상태 정보를 확인하는 CRL 의 위치 정보를 나타내는 필드 이다. 즉 해당 인증서의 폐기에 관한 정보를 공개된 위치에 게시를 하게 되고 이 확장 필드에서 그 위치 정보를 얻게 되는 것이다. 아래 그림은 CRL Distribution Points 의 예제 그림이다. 위 그림에서 보면 http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl 이 위치에 해당 CRL 파일을 얻을 수 있음을 알려준다. 물론 2번째 위치에서도 가져 올 수 있다. 인증서 폐기 목록 분배점 ASN.1 id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 } CR..

발급자 정보 접근 ( Authority Information Access) 은 X509 Version3 에서 정의 된 확장 필드이다. 이 확장 필드는 인증서를 발급한 인증기관에 대한 정보를 보여준다. 즉 인증서를 발급한 인증기관 위치와 인증서의 상태를 알 수 있는 OCSP 정보를 나타낸다. 아래 그림이 발급자 정보 접근의 예제 화면이다. 예제 그림에서 보면 OCSP URI 와 CA Issuers 의 URI 정보를 볼 수 있다. 발급자 정보 접근 ASN.1 id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 } AuthorityInfoAccessSyntax ::= SEQUENCE SIZE (1..MAX) OF AccessDescription AccessD..

X509프로파일에서 가장 기본적인 필드인 버전에 대해서 알아보자 일반적으로 사용하는 인증서와 CRL 필드에 대한 정의를 하면서 지원 필드가 정해질 때 버전 값이 있다. 현재 일반적으로 사용되는 인증서의 버전은 V3 버전을 사용한다. 그리고 CRL 의 경우 일반적으로 사용하는 버전은 V2 버전을 사용한다. 즉 인증서 경우 V1, V2, V3 의 3번의 변경이 되었구 CRL 경우 V1, V2로 두번이 변경 되었다고 보면 된다. 아래 그림은 현재 사용하고 있는 인증서와 CRL 버전을 갭쳐 한것이다. Version에 대한 ASN.1 # X509 Certificate Version Version ::= INTEGER { v1(0), v2(1), v3(2) } # X509 CRL Version version Ver..

소유자 대체 명칭 확장 필드는 소유자에 대한 추가적인 명칭을 나타낸다. 즉 Subject DN의 추가 명칭 정보를 나타낸다. 참고로 소유자 대체 명칭과 같은 형식을 사용하는 발급자 대체 명칭 (Issuer Alternative Name) 도 존재 하는데 이 값은 발급자 즉 인증기관의 추가 적인 명칭을 나타낸다. 아래 그림은 Subject Alternative Name 을 사용한 인증서 예제 이다. 이 그림에서는 DNS 이름 정보를 소유자 대체 명칭으로 사용 되었다. 소유자 대체 명칭의 종류 소유자 대체 명칭의 타입에는 9가지 형식이 지원 된다. rfc822Name : 인터넷 전자 메일 dNSName : DNS 이름 iPAddress : IP 주소 uniformResourceIdentifier : URL ..

인증서 유효 기간 (Validty) 이란? 인증서 유효 기간은 CA 인증서가 발급한 인증서 정보에 대한 유효한 상태를 나타내는 시간의 간격을 말한다. 즉 해당 인증서의 유효한 기간을 말하는 것이다. 이 필드는 두개의 날짜를 SEQUENCE 형식으로 값이 표현 된다. ASN.1 형식 Validity ::= SEQUENCE { notBefore Time, notAfter Time } Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime } 유효 기간의 정보에는 두가지 필드가 존재 하는데 notBefore 필드와 notAfter 필드이다. 아래 그림 참조 이 예제 그림의 인증서의 유효 기간은 2022년 5월 23일 09시 부터 2023년 6월 8일 0..

인증서 정책 (Certificate Policies ) 용도 인증서 정책은 X.509 인증서의 확장 필드이다. 이 필드는 인증서를 발급하는 CA에서 해당 발급된 인증서 정책을 나타내는 것이다. 즉 한마디로 해당 인증서의 용도를 알려 주는 확장 필드 이다. 인증서 정책 예제 아래 그림은 SSL 인증서에서 인증서 정책 필드에 대한 예제이다. 해당 그림에서 처럼 인증서 정책 OID 정보와 CPS ( Certificate Practice Statement ) 정보가 나온다. 여기서 CPS 는 URI 형식의 정보이다. 해당 CPS 정보의 URI 주소를 참조 하면 해당 인증서 용도에 대한 내용을 확인 할 수 있다. 그리고 인증서 정책 정보에는 User Notice 정보도 존재 하는데 이 정보는 신뢰 당사자에게 인증..

X.509 인증서 기본 프로파일에서 주체키 식별자와 기관키 식별자 값이 존재한다. 이 식별자는 인증서의 경로 구성을 하기 위하여 공개키에 대한 구별 값으로 사용되는 값이다. 이 필드는 X.509 v3 에서 확장 필드의 값이다. 주체키 식별자 (Subject Key Identifier) 주체키 식별자는 해당 인증서의 공개키를 구별하기 위한 값이다. 주체키 식별자 ASN.1 id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 } SubjectKeyIdentifier ::= KeyIdentifier이렇게 KeyIdentifier 값 하나를 사용한다. 아래 인증서 그림에서 파란색 부분이 주체키 식별자(Subject Key Identifier) 값이다 이 값..

X.509 에서 CA 인증서의 필수 값인 Basic Constraints 에 대해서 알아보자. 보통 한글로는 기본 제한 이라고 표현한다. 아래 그림을 보면 X.509 CA 인증서에서 basicConstrains 값이 존재 한다. CA( RootCA 포함) 인증서에서는 필수로 이 값이 존재한다. 한마디로 CA 인증서를 만들려면 이 확장 필드가 필수 값이다. Basic Constrains ASN.1 정의 id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 } BasicConstraints ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL } 위 ASN.1 정의..

X.509 인증서 필드 중에 KeyUsage 라는 필드가 있다. 이 필드는 해당 인증서에 있는 비대칭키의 사용 목적을 정의한 필드이다. 아래 그림은 RootCA 인증서의 KeyUsage 필드를 볼 수 있다. 이 인증서의 keyUsage 내용은 keyCertSign, cRLSign 으로 나오는데 인증서 서명 및 CRL 서명용이라는 뜻이다. 해당 필드의 ASN.1 형식은 다음과 같다. id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 } KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyC..

인증서 DN 에 대해서 알아 보자 여기서 DN 은 Distinguished Name 의 약자이다. 그리고 인증서에서는 DN 이 두군데 존재 한다 즉 주체자의 DN 과 발급자의 DN 이 있다. 한마디로 이 인증서의 주체자와 발급자에 대한 이름이 DN 이다. 즉 주체자의 DN 은 해당 인증서의 주체의 이름이고 발급자의 DN 은 해당 인증서를 발급한 CA 인증서의 이름이다. 그럼 DN에 대하여 좀더 구체적으로 분석을 해보자. DN은 하나 이상의 RDN ( Relative Distinguished Name ) 이 순서를 가지고 구성 되어 있다. DN의 ASN.1 형식 Name ::= CHOICE { RDNSequence } RDNSequence ::= SEQUENCE OF RelativeDistinguished..