인증서는 세 가지 주요 목적을 갖는다.
1. 인증
Common Name(CN) 또는 주체 대체 이름(SAN) 필드의 값으로 인증서가 나타내는 장치를 식별하는 데 사용.
2. 암호화 및 복호화
개인키(private key) 와 공개키(public key)의 쌍으로 트래픽을 암호화하고 복호화하는 데 사용.
3. 무결성(Integrity)
트래픽은 발신자와 수신자가 모두 알고 있는 비밀키를 이용하여 해시됨.
수신자는 비밀키를 사용하여 해시 값을 확인하고 메시지의 데이터 무결성 및 진위성을 확인.
암호 기반 인증은 사용자가 정의하고 관리에 의존하는 반면, 인증서 기반 인증은 인증 기관에서 발급하고 관리하기 때문에 비교적 암호화 강도가 높고 안전하다.
CA(인증서 발급 기관)는 인증서를 발급(sign)하고 이를 보증한다.
일반적으로 엔드포인트 PC(브라우저)에는 CA 루트 인증서가 설치되어 있어 CA와 CA가 서명하는 모든 인증서를 신뢰한다.
CA인증서에는 3가지 종류가 있다.
1. Public CA
PC에 설치된 잘 알려진 Public CA로 여기에서 인증서를 발급 받으려면 비용이 발생한다.
PC에 이미 설치되어 있기 때문에 엔드포인트에서 별도의 작업 필요 없다.
2. Let's Encrypt
Let's Encrypt는 무료, 자동화, 개방형 CA 이다.
FortiGate에는 Let's Encrypt와 직접 상호 작용할 수 있는 자동 인증서 관리 환경(ACME)가 포함되어 무료 인증서 발급을 쉽게 할 수 있다.
이렇게 발급 받은 인증서는 유효기간이 90일 이기 때문에 만료되기 전에 갱신해야 한다.
대부분의 엔드포인트에는 Let' Encrypt CA 루트 인증서가 설치되어 있지만, 레거시 장치의 경우 설치되지 않아 인증서 오류가 발생 할 수 있다.
3. Private CA
FortiAuthenticator, Microsoft Server, OpenSSL, XCA 등을 사설 인증 기관으로 사용하여 비용없이 인증서를 발급하고 사용 할 수 있다.
단, 엔드포인트에 해당 CA루트 인증서가 설치되어 있지 않기 때문에, CA루트 인증서를 "신뢰할 수 있는 루트 인증기관"에 설치하는 과정이 필요하다.
즉, 어떤 종류의 CA를 사용하든 엔드포인트 장치에는 CA가 발급(sign)한 인증서를 신뢰하기 위해 CA 루트 인증서가 설치되어 있어야 한다.
'FortiGate > Authentication' 카테고리의 다른 글
| RADIUS 서버 설정에서 Authentication Method 설정 (0) | 2023.11.09 |
|---|---|
| v7.4.1 : Local user를 위한 password policy 기능 확장 (0) | 2023.09.08 |
| Token을 이용한 2-factor 인증을 사용할 경우 사용자 인증이 되지 않는 경우 (0) | 2023.06.27 |
| LDAP에서 'Invalid LDAP server' 에러 (0) | 2023.04.20 |
| Windows PC의 CMD에서 AD의 정보 확인 (0) | 2023.04.11 |
댓글