CA 키 롤오버

인증자 키 롤오버를 지원하기 위해 Domino® 신뢰 모델을 확장하여 새로운 유형의 인증서, 즉 롤오버 인증서를 포함했습니다. 이러한 인증서는 엔티티 자체에서 발급한 인증서입니다. 계층 인증서에는 단일 발급자 이름, 단일 제목 이름 및 단일 제목 키가 있습니다. 롤오버 인증서에는 단일 이름(발급자와 제목 둘 다)과 두 개의 제목 키가 있습니다. 키 하나는 인증서에 서명하는 데 사용되고 제목 이름이 적법하게 다른 키를 소유한다는 사실을 입증합니다.

일반적으로 키가 롤오버될 때 두 개의 롤오버 인증서가 발행됩니다. 하나는 이전 키에 의해 서명되어 새 키가 올바름을 나타내고 다른 하나는 새 키에 의해 서명되어 이전 키가 올바름을 나타냅니다. 각 인증서는 고유한 만료 날짜를 가집니다.

롤오버 인증서는 이전 키에 발급된 인증서의 만료 날짜를 제한하는 데 필요합니다. 키를 롤오버하는 이유 중 하나는 이전 키가 손상되었거나 적어도 손상 가능성이 허용 범위를 넘는 것으로 간주될 정도로 오래된 것으로 간주되기 때문입니다. 이런 경우, 롤오버 인증서에 지정된 만료 날짜를 제한하는 방식으로 롤오버 인증서에서 만료 날짜를 충분히 앞당겨 이전에 발급된 하위 인증서의 수명을 제한할 수 있습니다.

인증자 롤오버는 전체 조직에 영향을 미칩니다. 인증자를 롤오버했으면 모든 사용자 ID, 서버 ID 및 해당 인증자가 발급한 교차 인증서를 롤오버하거나 다시 인증해야 합니다.

전체 고객 사이트를 롤오버하는 가장 좋은 방법은 루트 인증서에서 시작하여 계층 구조의 아래로 이동하는 것입니다. 루트 CA를 롤오버하여 시작한 다음 OU CA를 롤오버합니다. 그런 다음 서버 및 사용자 키를 롤오버합니다. 상위 CA보다 먼저 사용자 또는 서버 키가 롤오버되면 새 사용자 또는 서버 키를 두 번 인증해야 합니다. 즉, 현재(이전) CA 키로 한 번 인증한 다음 CA 키가 롤오버될 때 다시 인증해야 합니다. 추가 재인증은 시간과 노력이 많이 듭니다. 사용자 및 서버를 재인증하려면 관리자의 작업이 필요할 뿐만 아니라, 사용자 및 서버 문서 복제도 필요합니다.