키 사용 확장 및 확장 키 사용
키 사용 확장은 인증서에 포함된 공개 키의 목적을 정의합니다. 키 사용 확장을 사용하여 공개 키를 극소수로 또는 작업에 필요한 만큼으로 제한할 수 있습니다. 예를 들어 서명 및 서명 확인 전용으로 사용된 키가 있는 경우, 디지털 서명 및/또는 Non-repudiation 확장을 설정하십시오. 그렇지 않으면 키 관리 전용 키를 사용할 경우, Key encipherment 사용을 설정하십시오.
키 사용 확장
다음 표는 CA 프로세스를 사용하여 작성한 인증서에서 사용 가능한 키 사용 확장에 대해 설명합니다.
| 키 사용 확장 |
설명 |
|---|---|
| Digital signature |
Non-repudiation, Certificate signing 또는 CRL signing을 제외한 보안 서비스를 지원하는데 디지털 서명 메커니즘에 공개 키를 사용할 경우 사용하는 확장입니다. Digital signature는 엔티티 인증 및 데이터의 기존 인증의 무결성을 확인하는데 사용되는 경우가 많습니다. |
| Non-repudiation |
Non-repudiation 서비스를 제공하기 위해 사용한 디지털 서명을 확인하는데 공개 키를 사용할 경우 사용하는 확장입니다. Non-repudiation은 일부 수행을 잘못 거부하는 서명 엔티티로부터 보호합니다(인증서 또는 CRL 서명 제외). |
| Key encipherment |
키 암호화 프로토콜과 함께 인증서를 사용할 경우 사용하는 확장입니다. 예를 들어 빠른(대칭) 키가 인증서의 공개 키로 암호화되는 S/MIME enveloping입니다. 또한 SSL 프로토콜은 Key encipherment도 수행합니다. |
| Data encipherment |
사용자 데이터 암호화에 암호화 키가 아니라 공개 키를 사용할 경우 사용하는 확장입니다. |
| Key agreement |
공개 키의 발신인 및 수신인이 암호화를 사용하지 않고 키를 가져와야 하는 경우 사용하는 확장입니다. 발신인과 수신인 간에 메시지를 암호화할 때 이 키를 사용할 수 있습니다. 일반적으로, Key agreement는 Diffie-Hellman cipher와 함께 사용합니다. |
| Certificate signing |
인증서의 서명 확인을 위해 제목 공개 키를 사용할 경우 사용하는 확장입니다. 이것은 CA 인증서에서만 사용할 수 있습니다. |
| CRL signing |
취소 정보(예: CRL)에서 서명 확인 시 제목 공개 키를 사용하는 경우 사용하는 확장입니다. |
| Encipher only |
Key agreement가 사용 가능할 때만 사용합니다. Key agreement 수행 시 공개 키를 데이터 암호화 전용으로 사용하도록 설정하는 확장입니다. |
| Decipher only |
Key agreement가 사용 가능할 때만 사용합니다. Key agreement 수행 시 공개 키를 데이터 해독 전용으로 사용하도록 설정하는 확장입니다. |
확장 키 사용
확장 키 사용은 키 사용 확장을 좀 더 세분화하며, 중요하거나 중요하지 않은 확장 키가 있습니다. 확장이 중요할 경우, 인증서를 원래 목적에서만 반드시 사용해야 합니다. 인증서를 다른 목적으로 사용할 경우 CA 정책에 위반됩니다.
중요하지 않은 확장의 경우 의도된 키 목적을 표시할 수 있으며, 다중 키와 다중 인증서를 가지고 있는 엔티티에서 올바른 키 및 인증서를 찾을 수 있습니다. 확장은 정보 필드에 불과하며, CA가 키를 지정된 목적으로 제한하여 사용하고 있다는 뜻은 아닙니다. 그럼에도 불구하고 인증서를 사용하는 애플리케이션은 인증서가 허용 가능하도록 특정 목적을 표시할 것을 요구할 수 있습니다.
인증서에 중요한 키 사용 필드와 중요한 확장 키 사용 필드가 모두 포함된 경우, 두 개의 필드는 독립적으로 처리되어야 하고 양쪽 필드와 일치하는 목적으로만 반드시 인증서를 사용해야 합니다. 양쪽 필드와 일치하는 목적이 없는 경우, 인증서를 어떤 목적에도 사용할 수 없습니다.
| 확장 키 |
키 사용 확장에 사용 |
|---|---|
| TLS Web server authentication |
Digital signature, Key encipherment 또는 Key agreement |
| TLS Web client authentication |
Digital signature 및/또는 Key agreement |
| Code Signing |
Digital signature |
| Email protection |
Digital signature, Non-repudiation 및/또는 Key encipherment 또는 Key agreement |
| IPSEC End System(호스트 또는 라우터) |
Digital signature 및/또는 Key encipherment 또는 Key agreement |
| IPSEC Tunnel |
Digital signature 및/또는 Key encipherment 또는 Key agreement |
| IPSEC User |
Digital signature 및/또는 Key encipherment 또는 Key agreement |
| Timestamping |
Digital signature, non-repudiation. |
| 애플리케이션 |
필수 키 사용 확장 |
|---|---|
| SSL 클라이언트 |
Digital signature |
| SSL 서버 |
Key encipherment |
| S/MIME 서명 |
Digital signature |
| S/MIME 암호화 |
Key encipherment |
| 인증서 서명 |
Certificate signing |
| 오브젝트 서명 |
Digital signature |