Warehouse of PKI

CRL 발급 분배 점은 ( Issuing Distribution Point ) 는 CRL Version2 에서 정의 한 확장 필드이다. 이 발급 분배 점 정보는 CRL 파일을 얻을 수 있는 위치 정보를 나타낸다. 즉 해당 CRL 이 얻어 올 수 있는 위치 정보를 나타낸다. 아래 그림은 CRL 발급 분배점의 예시 화면이다. 예시 화면은 CRL 파일을 상세 보기한 화면이구 해당 CRL 파일은 URI=ldap://ldap.signgate.com:389/ou=dp7p27928,ou=crldp,ou=AccreditedCA,o=KICA,c=KR 위치에서 얻을 수 있다는 것이다. CRL 발급 분배 점 ASN.1 id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-c..

인증서 폐기 목록에서 확장 필드인 CRL Number 가 있다. 이것은 CRL을 식별할 수 있는 일련 번호를 말한다. 일련 번호는 인증기관이 발급하는 순차적으로 증가하는 양의 정수 번호이다. CRL Number 는 20바이트를 넘을 수 없다. 아래 그림이 CRL Number 예시 화면이다. CRL Number ASN.1 id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 } CRLNumber ::= INTEGER (0..MAX) 마무리 CRL Number 는 한마디로 CA가 CRL 발급시 마다 순차적으로 증가하는 구별값이다. 즉 CRL 구별 값으로 사용하면 된다.

X.509 에서는 기본 필드인 이번 업데이트 (This Update) 와 다음 업데이트 (Next Update) 정보가 있다. 해당 필드는 현재 CRL 이 발급된 시간을 나타내는 것이 이번 업데이트(ThisUpdate) 이구 다음에 발급 제한 시간이 다음 업데이트(NextUpdate) 정보이다. 현재 CertMan에서는 버전에 따라 ThisUpdate 를 LastUpdate로 표현 되기도 했다. 추후 이 표현은 ThisUpdate로 고정 변경 예정이다. 즉 다음 CRL 발급은 다음 업데이트 시간 전에 이루어 져야 한다. 아래 그림은 이번 업데이트와 다음 업데이트 정보 예시 화면이다. 참고로 다음 업데이트는 옵션 정보라 없을 수 있다. 마지막 업데이트와 다음 업데이트 ASN.1 thisUpdate Time..

X.509 인증서에는 Version 1 에서 정의 한 기본 필드인 인증서에 발급하는 유일한 양의 정수 값이다. 모든 인증서의 일련 번호는 20바이트를 넘을 수 없다. 이 값은 CRL 발급시 인증서의 폐기 때 사용하는 참조 정보로 사용 된다. 아래 그림은 일련 번호 예제이다. 일련 번호 ASN.1 CertificateSerialNumber ::= INTEGER마무리 X509 인증서의 일련 번호는 CA 발급자가 고유한 번호로 발급하게 된다. 그러므로 CA의 Issuer 의 DN 과 일련번호의 값은 그 인증서의 고유한 식별자가 된다. 즉 CA가 발급하는 인증서는 고유한 일련 번호를 사용하기 때문이다.

명칭 제한 ( Name Constraints ) 확장 필드는 소유자 또는 소유자의 대체 명칭 확장 필드에서 사용 되는 명칭에 대해 제한 하기 위해 사용 되는 확장 필드이다. 이 필드는 CA 인증서에서만 사용되는 필드이다 만약 인증서에서 해당 타입의 이름이 없다면 그 인증서는 허용되는 것이다. 제한은 허용되는 하위 이름( permittedSubtrees)과 제한 되는 하위 이름( excludedSubtrees )의 두가지 이다. 그리고 excludedSubtrees 에 맞는 값이 존재 한다면 permittedSubtrees 의 값에 상관 없이 유효 하지 않게 된다. x400Address, ediPartName 또는 registeredID 형식에는 적용 되지 않는다. 이 명칭 제한을 사용하는 CA는 이름 제..

인증서 정책 매핑 ( Policy Mappings ) 확장 필드는 인증서비스 영역간의 상호 인증 시 상대방 인증서비스의 인증서 정책을 받아들일 때 사용 한다. 이 필드는 상호 인증을 위해 인증기관(CA) 인증서에서 선택적으로 사용 가능하다. 정책 매핑 ASN.1 id-ce-policyMappings OBJECT IDENTIFIER ::= { id-ce 33 } PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE { issuerDomainPolicy CertPolicyId, subjectDomainPolicy CertPolicyId } 정책 매핑 특성 이 확장 필드는 하나 이상의 OID 값의 쌍으로 이루어진 목록이다. 즉 항상 issuerDomainPolicy ..

정책 제한은 CA 인증서에서 사용 되어지는 확장 필드이다. 정책 제한은 인증서 경로 검증을 위해 두가지 제한을 위해 사용 된다. 첫째는 정책 매핑 금지를 요구 하기 둘째는 각각의 인증서 경로가 허용 가능한 정책 식별자를 포함하기 이렇게 두가지 제한을 한다. 아래 그림은 정책 제한의 예제 그림이다 정책 제한 ASN.1 id-ce-policyConstraints OBJECT IDENTIFIER ::= { id-ce 36 } PolicyConstraints ::= SEQUENCE { requireExplicitPolicy [0] SkipCerts OPTIONAL, inhibitPolicyMapping [1] SkipCerts OPTIONAL } SkipCerts ::= INTEGER (0..MAX) 정책 제한..

인증서 폐기 목록 분배점은 Version 3 의 확장 필드로서 인증서의 상태 정보를 확인하는 CRL 의 위치 정보를 나타내는 필드 이다. 즉 해당 인증서의 폐기에 관한 정보를 공개된 위치에 게시를 하게 되고 이 확장 필드에서 그 위치 정보를 얻게 되는 것이다. 아래 그림은 CRL Distribution Points 의 예제 그림이다. 위 그림에서 보면 http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl 이 위치에 해당 CRL 파일을 얻을 수 있음을 알려준다. 물론 2번째 위치에서도 가져 올 수 있다. 인증서 폐기 목록 분배점 ASN.1 id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 } CR..

발급자 정보 접근 ( Authority Information Access) 은 X509 Version3 에서 정의 된 확장 필드이다. 이 확장 필드는 인증서를 발급한 인증기관에 대한 정보를 보여준다. 즉 인증서를 발급한 인증기관 위치와 인증서의 상태를 알 수 있는 OCSP 정보를 나타낸다. 아래 그림이 발급자 정보 접근의 예제 화면이다. 예제 그림에서 보면 OCSP URI 와 CA Issuers 의 URI 정보를 볼 수 있다. 발급자 정보 접근 ASN.1 id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 } AuthorityInfoAccessSyntax ::= SEQUENCE SIZE (1..MAX) OF AccessDescription AccessD..

X509프로파일에서 가장 기본적인 필드인 버전에 대해서 알아보자 일반적으로 사용하는 인증서와 CRL 필드에 대한 정의를 하면서 지원 필드가 정해질 때 버전 값이 있다. 현재 일반적으로 사용되는 인증서의 버전은 V3 버전을 사용한다. 그리고 CRL 의 경우 일반적으로 사용하는 버전은 V2 버전을 사용한다. 즉 인증서 경우 V1, V2, V3 의 3번의 변경이 되었구 CRL 경우 V1, V2로 두번이 변경 되었다고 보면 된다. 아래 그림은 현재 사용하고 있는 인증서와 CRL 버전을 갭쳐 한것이다. Version에 대한 ASN.1 # X509 Certificate Version Version ::= INTEGER { v1(0), v2(1), v3(2) } # X509 CRL Version version Ver..