인터넷 CA 설정

보안 계획의 중요 영역은 인터넷 인증서 발급을 위한 CA 설정 여부와 그 방법을 결정하는 것입니다. CA 또는 인증자는 디지털 인증서를 발급하고 관리하는 신뢰된 관리 도구입니다. 인증서는 개별 사용자, 서버, 또는 조직의 신원을 확인한 후, 통신에 SSL을 사용하고 메일 교환에 S/MIME을 사용할 수 있도록 허용합니다. 인증서에는 인증자의 디지털 서명이 있으며, 이것은 인증서 소유자가 인증서에 지정된 사람임을 인증서 수신인에게 알려줍니다.

또한 인증자는 다른 CA에 의해 작성된 인증서가 있는 클라이언트와 서버가 서로 통신할 수 있도록 신뢰된 루트 인증서를 발급할 수 있습니다.

주: Notes® 인증자와 인터넷 인증자를 구별하는 것이 중요합니다. 도메인에 첫 번째 Domino® 서버를 설치 및 설정하는 경우, Notes® 인증자가 자동으로 설정되어 Notes® 클라이언트에게 Notes® 인증서를 발행합니다. 이러한 인증서는 Domino® 서버로 인증하는 Notes® 클라이언트와 서로 인증하는 Domino® 서버에 대해 필수적입니다. 따라서 Notes® 인증자는 모든 웹 클라이언트 환경에서 중요합니다. 여기서 설명된 것과 같은 인터넷 인증자는 인터넷을 통한 안전한 통신에 필수적인 인터넷 인증서(X.509)를 발급합니다. 필요에 따라 인터넷 인증자를 설정합니다.

조직에 적합한 인터넷 인증자 선택

조직에 대한 인터넷 인증자를 설정하기 위한 여러 옵션이 있습니다. (이 항목의 나머지 부분에서 '인터넷' 인증자는 이하 인증자로 표시합니다.) 써드파티 상용 인증자(예: VeriSign)를 사용하거나 두 가지 유형의 Domino® 인터넷 인증자 중 하나를 사용할 수 있습니다. 각 인증자마다 장점과 단점이 있습니다. 인증자 관리에 사용 가능한 시간 및 자원과 조직의 업무 필요사항에 따라 인증자를 선택해야 합니다.

인터넷 인증자: Domino® 써드파티 비교

1. 인터넷 인증자

인터넷 인증자 유형

이점

Domino® 인증자
  • 써드파티 인증자가 클라이언트 및 서버 인증서 발급 및 갱신에 부과하는 비용이 발생하지 않습니다.
  • 많은 관리자가 Domino®에 대해 이미 알고 있으므로, 써드파티 인증자와는 달리 별도의 교육이 필요하지 않습니다.
  • 필요에 따라 보다 쉽고 빠르게 새 인증서를 설정 및 배치할 수 있습니다.

써드파티 인증자(VeriSign, RSA, 등)
  • 클라이언트 구성을 단순화할 수 있습니다. 사용하는 브라우저가 신뢰하는 방식으로 미리 설정된 인증자로부터 인증서를 확보한 경우, 클라이언트 구성에서 한 단계를 생략할 수 있습니다.
  • 이와 유사하게, S/MIME 메일을 교환하고 있는 외부 회사의 메일 클라이언트에서 신뢰된 대로 인증자를 미리 설정하는 경우 구성 단계가 줄어듭니다.

Domino® 인터넷 인증자: 서버 기반 인증 기관과 Domino® 5 인증 기관 비교

서버 기반 인증 기관 프로세스를 사용하는 Domino® 인증 기관을 설정하거나 인증 기관 키 링을 사용하는 Domino® 5 인증 기관을 설정하도록 선택할 수 있습니다.

2. Domino® 인터넷 인증자

Domino® 인터넷 인증자 유형

이점

서버 기반 CA(Server-based certification authority)
  • 관리자는 인증 기관 프로세스를 통해 Notes® 및 인터넷 인증자를 모두 관리할 수 있습니다.
  • 보안 산업 표준(예: X.509v3 및 PKIX)을 준수하는 인터넷 인증서를 발급합니다.
  • 사용자 및 서버를 등록하는데 인증자 ID 및 ID 비밀번호에 대한 관리자 권한이 필요 없습니다. 그러면 관리자는 인증자를 노출할 위험 없이 이 태스크를 위임할 수 있습니다.
  • 관리자에게 인증서 승인/거부 프로세스 위임을 허용하는 PKIX RA 역할을 지원합니다.
  • 취소되거나 만료된 인터넷 인증서에 대한 정보가 들어 있는 CRL(인증서 취소 목록)을 발급합니다.
  • 웹 관리자 클라이언트를 사용하여 Notes® 사용자를 등록할 경우에 필요합니다.

Domino® 5 인증 기관
  • 검사 및 시험을 위해 인터넷 인증자를 쉽게 설정할 수 있습니다.

도메인에서 두 가지 유형의 Domino® 인터넷 인증 기관 사용

도메인에서 두 가지 유형의 인증자(CA 프로세스 및 CA 키 링)을 모두 가질 수 있습니다. 그러나 하나의 인증자가 키 링과 CA 프로세스를 둘 다 사용하여 인터넷 인증서를 발급하지 않도록 주의해야 합니다. CA 프로세스 사용 가능 인증자는 도메인의 모든 서버에서 액세스 가능한 데이터베이스인 ICL(발급된 인증서 목록)에 발급된 인증서를 추적합니다. 반면, 키 링 유형의 인증자는 인증서가 사용된 워크스테이션에서 로그를 작성하기 때문에 발급된 인증서에 대한 중앙 목록이 없습니다(여러 개의 부분 목록만 있음). 그러므로 CA 키 링 파일로 작성된 인증서가 CA 프로세스에 의해 인식되지 않는 것처럼 CA 프로세스로 발급된 인증서는 CA 키 링에 의해 인식되지 않습니다.

서버 기반 CA에 있는 인터넷 인증서를 취소할 수 있기 때문에 특히 인터넷 인증서에서 문제가 될 수 있습니다. 인터넷 인증서를 취소하려면 ICL에서 인증서를 선택해야 합니다. 인증서가 키 링을 사용하여 처음 발급된 경우, ICL에 나타나지 않기 때문에 취소할 수 없습니다.

그러므로 각 인증자에 대해 CA 프로세스 또는 CA 키 링 중에서 하나를 선택할 것을 강력하게 권장합니다.