인증서 요구 사항 및 사전 요건
지원되는 도메인
모두
사용자 역할
관리자
네트워크 관리자
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
모두
관리자
네트워크 관리자
PKI 등록 개체가 연결된 후 디바이스에 설치되면 인증서 등록 프로세스가 즉시 시작됩니다. 이 프로세스는 자체 서명 및 SCEP 등록 유형의 경우 자동으로 진행되므로, 관리자의 추가 작업이 필요하지 않습니다. 수동 인증서 등록에는 관리자의 작업이 필요합니다.
인증서 등록이 완료되면 디바이스에 인증서 등록 개체와 이름이 동일한 트러스트 포인트가 존재하게 됩니다. 이 트러스트 포인트를 VPN 인증 방법의 컨피그레이션에서 사용하십시오.
threat defense 디바이스는 Microsoft CA 서비스, Cisco Adaptive Security Appliance 및 Cisco IOS Router에서 제공하는 CA 서비스를 사용한 인증서 등록을 지원합니다.
threat defense 디바이스는 CA(Certificate Authority)로 구성할 수 없습니다.
인증서 등록은 하위 또는 상위 도메인에서 수행할 수 있습니다.
상위 도메인에서 등록이 완료되면 동일한 도메인에 인증서 등록 개체가 포함되어야 합니다. 디바이스의 트러스트 포인트가 하위 도메인에 오버라이드된 경우, 오버라이드된 값이 디바이스에 구축됩니다.
리프 도메인의 디바이스에 인증서 등록이 완료되면 상위 도메인 및 다른 하위 도메인에 표시됩니다. 추가 인증서를 추가할 수 있습니다.
리프 도메인을 삭제하면 포함된 디바이스의 인증서 등록이 자동으로 제거됩니다.
디바이스에 한 도메인의 인증서가 등록되면 다른 도메인에서도 등록이 허용됩니다. 인증서가 다른 도메인에 추가될 수 있습니다.
한 도메인에서 디바이스를 이동하면 인증서도 이동됩니다. 디바이스에서 등록을 제거하면 알림을 받게 됩니다.
디지털 인증서의 소개는 PKI 인프라 및 디지털 인증서을 참조하십시오.
관리되는 디바이스에서 인증서를 가져오고 등록하는 데 사용되는 개체에 대한 설명은 인증서 등록 개체을 참조하십시오.
단계 1 |
을(를) 선택합니다. 이 화면에 나열된 각 디바이스에 대해 다음 열을 볼 수 있습니다.
|
||
단계 2 |
디바이스에 등록된 개체를 연결하고 설치하려면 (+) 추가를 선택합니다. 인증서 등록 개체가 연결된 후 디바이스에 설치되면 인증 등록 프로세스가 즉시 시작됩니다. 이 프로세스는 자체 서명 및 SCEP 등록 유형의 경우 자동으로 진행되므로, 관리자의 추가 작업이 필요하지 않습니다. 수동 인증서 등록에는 관리자의 추가 작업이 필요합니다.
|
CLI 명령을 통해 CA 인증서를 자동으로 업데이트하도록 관리 센터를 설정할 수 있습니다. 기본적으로 CA 인증서는 버전 7.0.5를 설치하거나 버전으로 업그레이드할 때 자동으로 업데이트됩니다.
참고 |
IPv6 전용 구축에서는 일부 Cisco 서버가 IPv6을 지원하지 않기 때문에 CA 인증서의 자동 업데이트가 실패할 수 있습니다. 이 경우 configure cert-update run-now force 명령을 사용하여 CA 인증서를 강제로 업데이트합니다. |
단계 1 |
SSH를 사용하여 FMC CLI에 로그인하거나(가상인 경우) VM 콘솔을 엽니다. |
단계 2 |
로컬 시스템의 CA 인증서가 최신 버전인지 확인할 수 있습니다. configure cert-update test 이 명령은 로컬 시스템의 CA 번들을 Cisco 서버의 최신 CA 번들과 비교합니다. CA 번들이 최신 버전이면 연결 확인이 실행되지 않으며 테스트 결과가 아래와 같이 표시됩니다. 예:
CA 번들이 최신 상태가 아닌 경우 다운로드한 CA 번들에서 연결 확인이 실행되고 테스트 결과가 표시됩니다. 예:
예:
|
단계 3 |
(선택 사항) CA 번들을 즉시 업데이트하려면 다음을 수행합니다. configure cert-update run-now 예:
이 명령을 실행하면 Cisco 서버의 CA 인증서에서 SSL 연결이 확인됩니다. Cisco 서버 중 하나라도 SSL 연결 확인에 실패하면 프로세스가 종료됩니다. 예:
연결 실패에도 불구하고 업데이트를 계속 진행하려면 force 키워드를 사용합니다. 예:
|
단계 4 |
CA 번들을 자동으로 업데이트하지 않으려면 구성을 비활성화합니다. configure cert-update auto-update disable 예:
|
단계 5 |
CA 번들의 자동 업데이트를 다시 활성화하려면 다음을 수행합니다. configure cert-update auto-update enable 예:
|
단계 6 |
(선택 사항) CA 인증서의 자동 업데이트 상태를 확인합니다. show cert-update 예:
|
단계 1 |
장치 > 인증서 화면에서 새 인증서 추가 대화 상자를 열려면 추가를 선택합니다. |
단계 2 |
디바이스 드롭다운 목록에서 디바이스를 선택합니다. |
단계 3 |
다음 방법 중 하나로 인증서 등록 객체를 이 디바이스와 연결합니다.
|
단계 4 |
추가를 누르면 자체 서명된 자동 등록 프로세스가 시작됩니다. 자체 서명된 등록 유형의 트러스트 포인트의 경우 CA 인증서 상태가 항상 표시되며 관리되는 디바이스는 자체 CA로 작동하여 자체 ID를 생성하는 CA 인증서가 필요하지 않습니다. 디바이스가 자체 서명된 ID 인증서를 생성하면 ID 인증서는 InProgress에서 Available 상태로 변경됩니다. |
단계 5 |
이 장치에 대해 생성된 자체 서명된 ID 인증서를 보려면 돋보기를 클릭합니다. |
등록이 완료되면 디바이스에 동일한 이름의 트러스트 포인트가 인증서 등록 개체로 존재하게 됩니다. 설정 시 사이트 간 원격 VPN 인증 방법으로 이 트러스트 포인트를 사용하십시오.
참고 |
EST 등록을 사용할 경우 매니지드 디바이스와 CA 서버 간에 직접 연결이 설정됩니다. 등록 프로세스를 시작하기 전에 디바이스가 CA 서버에 연결되었는지 확인하십시오. |
참고 |
EST의 인증서 만료시 디바이스를 자동 등록하는 기능은 지원되지 않습니다. |
단계 1 |
Devices > Certificates(디바이스 > 인증서) 화면에서 Add New Certificate(새 인증서 추가) 대화 상자를 열려면 Add(추가)를 선택합니다. |
단계 2 |
디바이스 드롭다운 목록에서 디바이스를 선택합니다. |
단계 3 |
다음 방법 중 하나로 인증서 등록 객체를 이 디바이스와 연결합니다.
|
단계 4 |
Add(추가)를 클릭하여 디바이스에 인증서를 등록합니다. ID 인증서는 디바이스가 특정 CA에서 EST를 사용해 ID 인증서를 가져오므로 InProgress에서 Available 상태로 변경됩니다. 경우에 따라 ID 인증서를 가져오기 위해 수동 갱신이 필요할 수 있습니다. |
단계 5 |
이 장치에 생성되고 설치된 ID 인증서를 보려면 돋보기를 클릭합니다. |
참고 |
SCEP 등록을 사용할 경우 매니지드 디바이스와 CA 서버 간에 직접 연결이 설정됩니다. 등록 프로세스를 시작하기 전에 디바이스가 CA 서버에 연결되었는지 확인하십시오. |
단계 1 |
장치 > 인증서 화면에서 새 인증서 추가 대화 상자를 열려면 추가를 선택합니다. |
단계 2 |
디바이스 드롭다운 목록에서 디바이스를 선택합니다. |
단계 3 |
다음 방법 중 하나로 인증서 등록 객체를 이 디바이스와 연결합니다.
|
단계 4 |
Add(추가)를 누르면 자동 등록 프로세스가 시작됩니다. SCEP 등록 유형 트러스트 포인트의 경우 CA 서버에서 CA 인증서를 가져와 디바이스에 설치하므로 CA 인증서 상태가 InProgress에서 Available로 전환됩니다. Identity Certificate(ID 인증서)는 디바이스가 특정 CA에서 SCEP를 사용해 ID 인증서를 가져오므로 InProgress에서 Available 상태로 변경됩니다. 경우에 따라 ID 인증서를 가져오기 위해 수동 갱신이 필요할 수 있습니다. |
단계 5 |
이 장치에 생성되고 설치된 ID 인증서를 보려면 돋보기를 클릭합니다. |
등록이 완료되면 디바이스에 동일한 이름의 트러스트 포인트가 인증서 등록 개체로 존재하게 됩니다. 설정 시 사이트 간 원격 VPN 인증 방법으로 이 트러스트 포인트를 사용하십시오.
단계 1 |
장치 > 인증서 화면에서 새 인증서 추가 대화 상자를 열려면 추가를 선택합니다. |
단계 2 |
디바이스 드롭다운 목록에서 디바이스를 선택합니다. |
단계 3 |
다음 방법 중 하나로 인증서 등록 객체를 이 디바이스와 연결합니다.
|
단계 4 |
추가를 누르면 등록 프로세스가 시작됩니다. |
단계 5 |
ID 인증서를 가져오기 위해 PKI CA 서버에서 적절한 작업을 실행합니다. |
단계 6 |
ID 인증서를 가져오려면 가져오기를 선택합니다. 가져오기가 완료되면 ID 인증서 상태는 Available이 됩니다. |
단계 7 |
장치에 대한 ID 인증서를 보려면 돋보기를 클릭합니다. |
등록이 완료되면 디바이스에 동일한 이름의 트러스트 포인트가 인증서 등록 개체로 존재하게 됩니다. 설정 시 사이트 간 원격 VPN 인증 방법으로 이 트러스트 포인트를 사용하십시오.
단계 1 |
장치 > 인증서 화면에서 새 인증서 추가 대화 상자를 열려면 추가를 선택합니다. |
||
단계 2 |
디바이스 드롭다운 목록에서 사전 구성된 관리되는 디바이스를 선택합니다. |
||
단계 3 |
다음 방법 중 하나로 인증서 등록 객체를 이 디바이스와 연결합니다.
|
||
단계 4 |
추가를 누릅니다. CA 인증서 및 ID 인증서 상태는 PKCS12 파일이 디바이스에 설치됨에 따라 In Progress(진행 중)에서 Available(사용 가능)으로 전환됩니다.
|
||
단계 5 |
사용 가능 상태에서 장치에 대한 ID 인증서를 보려면 돋보기를 클릭합니다. |
관리되는 디바이스의 인증서(트러스트 포인트)는 PKCS#12 파일과 동일합니다. VPN 인증 설정에서 이 인증서를 사용합니다.
인증서 등록 환경의 차이로 인해 문제가 발생했는지 여부는 Secure Firewall Threat Defense VPN 인증서 가이드라인 및 제한 사항을 참조하십시오. 다음을 확인합니다.
CA 서버의 호스트 이름이 등록 개체에 지정된 경우 Flex Config를 사용해 서버에 적절히 연결하는 DNS를 구성합니다. CA 서버의 IP 주소를 사용해도 됩니다.
Microsoft 2012 CA 서버를 사용하는 경우 관리되는 디바이스에서 기본 IPsec 템플릿을 허용하지 않으므로 변경해야 합니다.
작업 템플릿을 구성하려면 MS CA 설명서를 참조하여 다음 단계를 따르십시오.
IPsec(오프라인 요청) 템플릿을 복제합니다.
Extensions(확장) > Application policies(애플리케이션 정책)에서 IP security IKE intermediate(IP 보안 IKE 중급) 대신 IP security end system(IP 보안 최종 시스템)을 선택합니다.
권한 및 템플릿 이름을 설정합니다.
새 템플릿을 추가하고 새 템플릿 이름을 반영하기 위해 레지스트리 설정을 변경합니다.
management center에서 threat defense 디바이스와 관련된 다음 상태 알림을 받을 수 있습니다.
코드 - F0853; 설명 - 기본 키 링의 인증서가 유효하지 않습니다. 이유: 만료됨
이 경우 다음 명령을 사용하여 CLISH CLI에서 기본 인증서를 다시 생성합니다.
> system support regenerate-security-keyring default
기능 |
버전 |
최소 Threat Defense |
세부 사항 |
---|---|---|---|
OCSP 및 CRL IPv6 URL 지원 |
7.4 |
Any(모든) |
이제 인증서 인증(해지 확인)을 위해 IPv6 OCSP 및 CRL URL을 추가할 수 있습니다. IPv6 주소는 대괄호로 묶어야 합니다. |
수동 등록 기능 향상 |
6.7 |
Any(모든) |
이제 ID 인증서 없이 CA 인증서만 생성할 수 있습니다. CA 인증서 없이 CSR을 생성하고 CA에서 ID 인증서를 가져올 수도 있습니다. |
PKCS CA 체인 |
6.7 |
Any(모든) |
인증서를 발급하는 인증 기관(CA)의 체인을 보고 관리할 수 있습니다. 인증서 복사본을 내보낼 수도 있습니다. |