Warehouse of PKI

명칭 제한 ( Name Constraints ) 확장 필드는 소유자 또는 소유자의 대체 명칭 확장 필드에서 사용 되는 명칭에 대해 제한 하기 위해 사용 되는 확장 필드이다. 이 필드는 CA 인증서에서만 사용되는 필드이다 만약 인증서에서 해당 타입의 이름이 없다면 그 인증서는 허용되는 것이다. 제한은 허용되는 하위 이름( permittedSubtrees)과 제한 되는 하위 이름( excludedSubtrees )의 두가지 이다. 그리고 excludedSubtrees 에 맞는 값이 존재 한다면 permittedSubtrees 의 값에 상관 없이 유효 하지 않게 된다. x400Address, ediPartName 또는 registeredID 형식에는 적용 되지 않는다. 이 명칭 제한을 사용하는 CA는 이름 제..

인증서 정책 매핑 ( Policy Mappings ) 확장 필드는 인증서비스 영역간의 상호 인증 시 상대방 인증서비스의 인증서 정책을 받아들일 때 사용 한다. 이 필드는 상호 인증을 위해 인증기관(CA) 인증서에서 선택적으로 사용 가능하다. 정책 매핑 ASN.1 id-ce-policyMappings OBJECT IDENTIFIER ::= { id-ce 33 } PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE { issuerDomainPolicy CertPolicyId, subjectDomainPolicy CertPolicyId } 정책 매핑 특성 이 확장 필드는 하나 이상의 OID 값의 쌍으로 이루어진 목록이다. 즉 항상 issuerDomainPolicy ..

정책 제한은 CA 인증서에서 사용 되어지는 확장 필드이다. 정책 제한은 인증서 경로 검증을 위해 두가지 제한을 위해 사용 된다. 첫째는 정책 매핑 금지를 요구 하기 둘째는 각각의 인증서 경로가 허용 가능한 정책 식별자를 포함하기 이렇게 두가지 제한을 한다. 아래 그림은 정책 제한의 예제 그림이다 정책 제한 ASN.1 id-ce-policyConstraints OBJECT IDENTIFIER ::= { id-ce 36 } PolicyConstraints ::= SEQUENCE { requireExplicitPolicy [0] SkipCerts OPTIONAL, inhibitPolicyMapping [1] SkipCerts OPTIONAL } SkipCerts ::= INTEGER (0..MAX) 정책 제한..

인증서 폐기 목록 분배점은 Version 3 의 확장 필드로서 인증서의 상태 정보를 확인하는 CRL 의 위치 정보를 나타내는 필드 이다. 즉 해당 인증서의 폐기에 관한 정보를 공개된 위치에 게시를 하게 되고 이 확장 필드에서 그 위치 정보를 얻게 되는 것이다. 아래 그림은 CRL Distribution Points 의 예제 그림이다. 위 그림에서 보면 http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl 이 위치에 해당 CRL 파일을 얻을 수 있음을 알려준다. 물론 2번째 위치에서도 가져 올 수 있다. 인증서 폐기 목록 분배점 ASN.1 id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 } CR..

발급자 정보 접근 ( Authority Information Access) 은 X509 Version3 에서 정의 된 확장 필드이다. 이 확장 필드는 인증서를 발급한 인증기관에 대한 정보를 보여준다. 즉 인증서를 발급한 인증기관 위치와 인증서의 상태를 알 수 있는 OCSP 정보를 나타낸다. 아래 그림이 발급자 정보 접근의 예제 화면이다. 예제 그림에서 보면 OCSP URI 와 CA Issuers 의 URI 정보를 볼 수 있다. 발급자 정보 접근 ASN.1 id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 } AuthorityInfoAccessSyntax ::= SEQUENCE SIZE (1..MAX) OF AccessDescription AccessD..

X509프로파일에서 가장 기본적인 필드인 버전에 대해서 알아보자 일반적으로 사용하는 인증서와 CRL 필드에 대한 정의를 하면서 지원 필드가 정해질 때 버전 값이 있다. 현재 일반적으로 사용되는 인증서의 버전은 V3 버전을 사용한다. 그리고 CRL 의 경우 일반적으로 사용하는 버전은 V2 버전을 사용한다. 즉 인증서 경우 V1, V2, V3 의 3번의 변경이 되었구 CRL 경우 V1, V2로 두번이 변경 되었다고 보면 된다. 아래 그림은 현재 사용하고 있는 인증서와 CRL 버전을 갭쳐 한것이다. Version에 대한 ASN.1 # X509 Certificate Version Version ::= INTEGER { v1(0), v2(1), v3(2) } # X509 CRL Version version Ver..

소유자 대체 명칭 확장 필드는 소유자에 대한 추가적인 명칭을 나타낸다. 즉 Subject DN의 추가 명칭 정보를 나타낸다. 참고로 소유자 대체 명칭과 같은 형식을 사용하는 발급자 대체 명칭 (Issuer Alternative Name) 도 존재 하는데 이 값은 발급자 즉 인증기관의 추가 적인 명칭을 나타낸다. 아래 그림은 Subject Alternative Name 을 사용한 인증서 예제 이다. 이 그림에서는 DNS 이름 정보를 소유자 대체 명칭으로 사용 되었다. 소유자 대체 명칭의 종류 소유자 대체 명칭의 타입에는 9가지 형식이 지원 된다. rfc822Name : 인터넷 전자 메일 dNSName : DNS 이름 iPAddress : IP 주소 uniformResourceIdentifier : URL ..

인증서 유효 기간 (Validty) 이란? 인증서 유효 기간은 CA 인증서가 발급한 인증서 정보에 대한 유효한 상태를 나타내는 시간의 간격을 말한다. 즉 해당 인증서의 유효한 기간을 말하는 것이다. 이 필드는 두개의 날짜를 SEQUENCE 형식으로 값이 표현 된다. ASN.1 형식 Validity ::= SEQUENCE { notBefore Time, notAfter Time } Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime } 유효 기간의 정보에는 두가지 필드가 존재 하는데 notBefore 필드와 notAfter 필드이다. 아래 그림 참조 이 예제 그림의 인증서의 유효 기간은 2022년 5월 23일 09시 부터 2023년 6월 8일 0..

인증서 정책 (Certificate Policies ) 용도 인증서 정책은 X.509 인증서의 확장 필드이다. 이 필드는 인증서를 발급하는 CA에서 해당 발급된 인증서 정책을 나타내는 것이다. 즉 한마디로 해당 인증서의 용도를 알려 주는 확장 필드 이다. 인증서 정책 예제 아래 그림은 SSL 인증서에서 인증서 정책 필드에 대한 예제이다. 해당 그림에서 처럼 인증서 정책 OID 정보와 CPS ( Certificate Practice Statement ) 정보가 나온다. 여기서 CPS 는 URI 형식의 정보이다. 해당 CPS 정보의 URI 주소를 참조 하면 해당 인증서 용도에 대한 내용을 확인 할 수 있다. 그리고 인증서 정책 정보에는 User Notice 정보도 존재 하는데 이 정보는 신뢰 당사자에게 인증..

X.509 인증서 기본 프로파일에서 주체키 식별자와 기관키 식별자 값이 존재한다. 이 식별자는 인증서의 경로 구성을 하기 위하여 공개키에 대한 구별 값으로 사용되는 값이다. 이 필드는 X.509 v3 에서 확장 필드의 값이다. 주체키 식별자 (Subject Key Identifier) 주체키 식별자는 해당 인증서의 공개키를 구별하기 위한 값이다. 주체키 식별자 ASN.1 id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 } SubjectKeyIdentifier ::= KeyIdentifier이렇게 KeyIdentifier 값 하나를 사용한다. 아래 인증서 그림에서 파란색 부분이 주체키 식별자(Subject Key Identifier) 값이다 이 값..