인증서 정보
디지털 인증서는 인증을 위해 디지털 신원 확인을 담당합니다. 디지털 인증서에는 어떤 디바이스나 사용자를 식별하는 정보, 이를테면 이름, 일련 번호, 회사, 부서 또는 IP 주소가 들어 있습니다. 디지털 인증서는 사용자 또는 디바이스의 공개 키 사본 하나도 포함합니다. 인증서는 HTTPS 및 LDAPS와 같은 SSL(Secure Socket Layer), TLS(Transport Layer) 및 DTLS(Datagram TLS) 연결에 사용됩니다.
다음과 같은 인증서 유형을 생성할 수 있습니다.
-
내부 인증서 — 내부 ID 인증서는 특정 시스템 또는 호스트용 인증서입니다. 이러한 인증서는 OpenSSL 툴킷을 사용하여 직접 생성하거나 인증 기관에서 받을 수 있습니다. 자체 서명 인증서를 생성할 수도 있습니다. 내부 인증서가 만료되거나 어떤 이유로 유효하지 않게 되면 다음 CLISH CLI 명령에서 다시 생성할 수 있습니다. > system support regenerate-security-keyring String Certificate to be regenerated, default or fdm
-
내부 CA(Certificate Authority) 인증서 — 내부 CA 인증서는 시스템에서 다른 인증서를 서명하는 데 사용할 수 있는 인증서입니다. 이러한 인증서는 CA 인증서에는 활성화되지만 ID 인증서에는 비활성화되는 기본 제약 조건 확장 및 CA 플래그와 관련된 내부 ID 인증서와 다릅니다. 이러한 인증서는 OpenSSL 툴킷을 사용하여 직접 생성하거나 인증 기관에서 받을 수 있습니다. 자체 서명된 내부 CA 인증서를 생성할 수도 있습니다. 자체 서명된 내부 CA 인증서를 구성할 경우, CA는 디바이스 자체에서 실행됩니다.
-
신뢰할 수 있는 CA(Certificate Authority) 인증서 — 신뢰할 수 있는 CA 인증서는 다른 인증서에 서명하는 데 사용됩니다. 자체 서명되며 루트 인증서라고도 합니다. 다른 CA 인증서를 통해 발급된 인증서는 하위 인증서라고 합니다.
CA(인증 증명)는 인증서에 "서명"하여 그 진위를 확인함으로써 해당 디바이스 또는 사용자의 ID를 보장하는 신뢰받는 기관입니다. CA는 PKI 컨텍스트에서 디지털 인증서를 발급하는데, PKI에서는 공개 키 또는 개인 키 암호화를 사용하여 보안을 보장합니다. CA는 VeriSign과 같이 신뢰받는 서드파티이거나, 조직 내에서 설정한 전용 (내부) CA일 수 있습니다. CA는 인증서 요청을 관리하고 디지털 인증서를 발급하는 기능을 담당합니다. 자세한 내용은 공개 키 암호화를 참고하십시오.
공개 키 암호화
RSA 암호화 시스템과 같은 공개 키 암호 방식에서는 각 사용자가 공개 키와 개인 키로 구성된 키 쌍을 갖습니다. 키는 상호 보완적 역할을 하는데, 둘 중 하나의 키로 암호화된 것은 다른 하나의 키를 사용하여 해독할 수 있습니다.
간단하게 설명하자면, 개인 키를 사용하여 데이터를 암호화할 때 서명이 생성됩니다. 이 서명이 데이터에 첨부되어 수신자에게 전송됩니다. 수신자는 발신자의 공개 키를 데이터에 적용합니다. 데이터와 함께 보내진 서명이 공개 키를 데이터에 적용한 결과와 일치하면 메시지가 유효한 것으로 확인됩니다.
이 프로세스에서는 수신자가 발신자의 공개 키 사본을 가지고 있어야 하며 이 키가 발신자를 가장하는 누군가가 아닌 발신자 본인의 것이어야 합니다.
발신자의 공개 키를 취득하는 것은 대개 외부에서 이루어지거나 설치 시 수행되는 어떤 작업을 통해 이루어집니다. 예를 들어, 대부분의 웹 브라우저는 기본적으로 여러 CA의 루트 인증서가 구성되어 있습니다.
openssl.org, Wikipedia 또는 기타 출처를 통해 디지털 인증서와 공개 키 암호화에 대해 자세히 알아볼 수 있습니다. SSL/TLS 암호화에 대해 숙지하면 디바이스에 대한 보안 연결을 쉽게 설정할 수 있습니다.
기능에 사용되는 인증서 유형
각 기능에 대해 적절한 유형의 인증서를 생성해야 합니다. 인증서가 필요한 기능은 다음과 같습니다.
- ID 정책(캡티브 포털) - 내부 인증서
-
(선택 사항). 캡티브 포털은 ID 정책에 사용됩니다. 사용자는 신원을 증명하고 IP 주소를 사용자 이름과 연결하기 위해 디바이스에 인증할 때 이 인증서를 수락해야 합니다. 인증서를 제공하지 않으면 디바이스는 자동으로 생성된 인증서를 사용합니다.
- ID 영역(ID 정책 및 원격 액세스 VPN) - 신뢰할 수 있는 CA 인증서
-
(선택 사항). 디렉터리 서버에 암호화된 연결을 사용하는 경우 디렉터리 서버 인증을 수행하려면 인증서를 허용해야 합니다. 사용자는 ID 및 원격 액세스 VPN 정책에 따라 메시지가 표시되면 인증을 해야 합니다. 디렉터리 서버에 대해 암호화를 사용하지 않는 경우에는 인증서가 필요하지 않습니다.
- 관리 웹 서버(관리 액세스 시스템 설정) — 내부 인증서
-
(선택 사항.) Device Manager는 웹 기반 애플리케이션으로, 웹 서버에서 실행됩니다. 브라우저에서 유효한 것으로 승인한 인증서를 업로드하면 신뢰할 수 없는 기관 경고를 피할 수 있습니다.
- 원격 액세스 VPN - 내부 인증서
-
(필수) 내부 인증서는 Secure Client가 디바이스에 대해 연결을 생성할 때 AnyConnect 클라이언트에 대해 디바이스 ID를 설정하는 외부 인터페이스용입니다. 클라이언트는 이 인증서를 허용해야 합니다.
- Site-to-Site VPN - 내부 및 신뢰할 수 있는 CA 인증서
-
사이트 간 VPN 연결에 인증서 인증을 사용하는 경우 연결에서 로컬 피어 인증에 사용하는 내부 ID 인증서를 선택해야 합니다. 이 인증서가 VPN 연결 정의의 일부는 아니지만, 시스템에서 피어를 인증할 수 있도록 로컬 및 원격 피어 ID 인증서에 서명하는 데 사용한 신뢰할 수 있는 CA 인증서도 업로드해야 합니다.
- SSL 암호 해독 정책 — 내부, 내부 인증서 및 신뢰할 수 있는 CA 인증서 및 인증서 그룹
-
(필수) SSL 암호 해독 정책은 다음 목적을 위해 인증서를 사용합니다.
-
내부 인증서는 알려진 키 암호 해독 규칙에 사용됩니다.
-
내부 CA 인증서는 클라이언트와 위협 방어 디바이스 사이에 세션을 생성할 때 암호 해독 재서명 규칙에 사용됩니다.
-
신뢰할 수 있는 CA 인증서는 위협 방어 디바이스와 서버 사이에 세션을 생성할 때 암호 해독 재서명 규칙에 간접적으로 사용됩니다. 신뢰할 수 있는 CA 인증서는 서버 인증서의 서명 기관을 확인하는 데 사용됩니다. 이러한 인증서를 직접 구성하거나 정책 설정의 인증서 그룹에서 구성할 수 있습니다. 시스템에는 CTA(Cisco-Trusted-Authorities)에서 수집된 신뢰할 수 있는 CA 인증서가 많이 포함되어 있으므로 추가 인증서를 업로드할 필요가 없을 수도 있습니다.
-
예: OpenSSL을 사용하여 내부 인증서 생성
다음 예에서는 OpenSSL 명령을 사용하여 내부 서버 인증서를 생성합니다. OpenSSL은 openssl.org에서 다운로드할 수 있습니다. 구체적인 정보는 OpenSSL 설명서를 참조하십시오. 이 예에서 사용되는 명령은 변경될 수 있으며 사용하려는 옵션이 아닌 다른 옵션이 제공될 수도 있습니다.
이 절차에서는 위협 방어에 업로드할 인증서를 얻는 방법을 대략 파악할 수 있습니다.
참고 |
여기에 표시되어 있는 OpenSSL 명령은 예로만 제공됩니다. 파라미터는 보안 요건에 맞게 조정하십시오. |
프로시저
단계 1 |
키를 생성합니다.
|
단계 2 |
CSR(인증서 서명 요청)을 생성합니다.
|
단계 3 |
키와 CSR을 사용하여 셀프 서명한 인증서를 생성합니다.
device manager는 암호화된 키를 지원하지 않으므로, 셀프 서명한 인증서를 생성할 때는 Return 키를 눌러 생성 과정에서 비밀번호를 입력하라는 메시지를 건너뜁니다. |
단계 4 |
device manager에서 내부 인증서 개체를 생성할 때 적절한 필드에 파일을 업로드합니다. 파일 내용을 복사하여 붙여 넣을 수도 있습니다. 샘플 명령은 다음 파일을 생성합니다.
|