사용자 및 서버 키 롤오버

키 롤오버는 사용자 및 서버 ID 파일에 저장된 Notes® 공개 키 및 개인 키 세트를 업데이트하는 데 사용되는 프로세스입니다. 발견되지 않는 개인 키 손상에 대한 사전 예방 조치로, 개인 키의 알려진 손상에서 원격으로 복구하기 위해 또는 더 큰 키로 업데이트하여 보안을 향상시키기 위해 해당 키 세트를 주기적으로 대체해야 할 경우가 있습니다.

이 태스크 정보

서버 문서의 보안 설정 정책 문서를 통해 서버 키 롤오버에 대해 사용자 키 롤오버를 시작하도록 트리거를 설정합니다. 트리거는 다음 정보를 포함합니다.

  • 기존 키 크기
  • 기존 키의 발급 날짜
  • 기존 키의 기간

관리자는 키 롤오버를 사용하여 보안 설정 정책 문서를 통해 사용자의 그룹으로 교체 키를 배치할 수 있습니다.

또한 Notes® 사용자는 사용자 보안 대화 상자의 새 공개 키 작성 단추를 사용하여 키 롤오버를 트리거할 수도 있습니다. 인증 프로토콜을 인증서 요청 방법으로 선택하면, 현재 키는 정책 설정에 의해 트리거된 경우처럼 롤오버됩니다. 메일 프로토콜을 선택하는 경우, Domino® 6 이전의 메일 방법이 사용됩니다. 사용자가 키 롤오버를 트리거할 수 있는 방법에 대한 자세한 정보는 관련 링크를 참조하십시오.

정책이 설정되었거나 또는 사용자가 [사용자 보안] 대화 상자를 통해 키 롤오버를 트리거한 경우, 사용자가 다음 번에 홈 서버로 인증하면 키 롤오버 정보는 ID 파일에 기록됩니다. 트리거 조건이 발생할 때 사용자가 키 롤오버 수행을 허용하면 키 롤오버가 시작되고 새 키가 사용자 ID 파일에 생성되면서 보류 중으로 표시됩니다. 새 키/보류 중인 키가 생성된 후 사용자가 홈 서버로 인증할 때 새 키 요청 인증이 Administration Requests 데이터베이스에 작성됩니다.

키 롤오버 프로세스를 완료하려면:

프로시저

  1. Domino® Administrator에서 Administration Requests 데이터베이스를 엽니다.
  2. 새 키 요청 인증 보기에서 사용자의 요청을 선택한 후 선택된 항목 인증을 클릭합니다.
  3. "인증자 선택" 대화 상자에서 다음 작업 중 하나를 수행합니다.
    • 서버 기반 CA를 사용하는 경우 드롭 다운 목록에서 하나를 선택합니다.
    • 인증자 ID를 사용하는 경우 인증자 ID 위치 및 비밀번호를 제공합니다.

    요청이 완료되고 새 키가 인증되면 사용자 문서는 새 키 및 인증서 정보로 업데이트됩니다.

  4. 인증서 만료 날짜 대화 상자에서 날짜가 올바른지 확인하고 확인을 클릭합니다.
  5. 처리 통계 대화 상자에서 실패가 없는지 확인하고 확인을 클릭합니다.

결과

다음 번에 사용자가 홈 서버로 인증하면 새 사용자에게 새 공개 키를 승인할지 묻는 대화 상자가 나타납니다. 새 인증서를 승인하려면 확인을 클릭해야 합니다. 사용자 ID 파일의 새 키/보류 중인 키가 활성화되고 이전 키는 보관됩니다.

주: 보관된 키는 ID 파일에 남아 있으므로 해당 키로 암호화된 문서를 해독하는 데 사용할 수 있습니다.

서버 키 롤오버를 설정하려면

프로시저

  1. 서버 문서에서 관리를 클릭합니다.
  2. 다음 필드를 완료하십시오.
    1. 공개 키 요구사항 필드

    필드

    조치

    허용 가능한 최소 키 등급

    서버 ID에 대해 허용된 가장 약한 키 크기를 지정합니다. 이 크기보다 약한 키는 롤오버됩니다.

    • 최소값 없음(기본값)
    • 모든 릴리스와 호환 가능(630비트)
    • 릴리스 6 이후 버전과 호환 가능(1024비트)
    • 릴리스 7 이후 버전과 호환 가능(2048비트)

    허용 가능한 최대 키 등급

    허용된 가장 강한 키 크기를 지정합니다. 다음 크기보다 강한 키는 롤오버됩니다.

    • 모든 릴리스와 호환 가능(630비트)
    • 릴리스 6 이후 버전과 호환 가능(1024비트) (기본값)
    • 릴리스 7 이후 버전과 호환 가능(2048비트)

    원하는 키 등급

    키가 롤오버될 때 사용될 키 등급을 지정합니다.

    • 모든 릴리스와 호환 가능(630비트)
    • 릴리스 6 이후 버전과 호환 가능(1024비트) (기본값)
    • 릴리스 7 이후 버전과 호환 가능(2048비트)

    허용 가능한 최대 키 기간

    롤오버되기 전에 키가 도달할 수 있는 최대 기간(일)을 지정합니다. 기본값은 36500일(100년)입니다

    가능한 가장 빠른 키 작성 날짜

    이 날짜 전에 만든 키가 롤오버됩니다.

    다음 시간 전에는 새 키를 자동으로 생성하지 않음

    키 너비 요구사항에 맞지 않는 키를 롤오버하기 시작할 수 있는 가장 빠른 날짜를 지정합니다.

    새 키를 작성한 후 이전 키가 유효하게 남아 있는 최대 날짜 수

    네트워크 인증 중에 기존 키를 사용할 수 있는 시간을 지정합니다. Notes® 키 확인 중에 모든 인증서(이전 인증서와 새 인증서)와 모든 롤오버 키는 트리로 구성됩니다. 해당 트리를 이동하여 키를 확인하기 위해 연결할 수 있는 인증서 집합을 찾습니다. 인증서가 만료된 경우 해당 체인에서 인증서를 사용할 수 없습니다. 키가 노출될 수도 있으므로 롤오버할 때 해당 키에 발급된 이전 인증서를 사용할 수 있는 기간으로 짧은 값을 설정하는 것이 좋습니다. 이 설정으로 적합한 값은 1-36500일이고, 기본값은 365입니다.

  3. 문서를 저장하고 닫습니다. 키 롤오버 정보는 서버 ID 파일에 기록됩니다. 트리거 조건이 발생할 때 키 롤오버는 시작되고 새 키는 서버 ID 파일에 작성되며 보류 중으로 표시됩니다.
  4. 서버를 다시 시작하십시오.
  5. Domino® Administrator에서 Administration Requests 데이터베이스를 엽니다.
  6. 새 키 요청 인증 보기에서 서버의 요청을 선택한 후 선택된 항목 인증을 클릭합니다.
  7. "인증자 선택" 대화 상자에서 다음 작업 중 하나를 수행합니다.
    • 서버 기반 CA를 사용하는 경우 드롭 다운 목록에서 하나를 선택합니다.
    • 인증자 ID를 사용하는 경우 인증자 ID 위치 및 비밀번호를 제공합니다.
  8. 인증서 만료 날짜 대화 상자에서 날짜가 올바른지 확인하고 확인을 클릭합니다.
  9. 처리 통계 대화 상자에서 실패가 없는지 확인하고 확인을 클릭합니다.
  10. 서버 콘솔에 tell adminp process all을 입력하여 키 인증 처리를 완료합니다.
  11. restart server를 입력합니다.

결과

서버를 재시작하면 서버가 환경 설정을 읽고 새로 인증된 키를 승인합니다.