PKI(공개 키 인프라)는 공개 키 암호화의 사용을 통해 전자 트랜잭션에 관여하는 각 엔터티의 유효성을 검증하고 인증하는 디지털 인증서, CA(인증 기관) 및 등록 기관으로 이루어지는 시스템입니다. PKI의 표준은 계속 발전하고 있으며 전자 상거래의 필수 요소로 널리 구현되고 있습니다. PKI 계획 및 공개 키 암호화 사용에 대한 자세한 내용은 Active Directory 인증서 서비스 리소스를 참조하십시오.
Microsoft PKI는 확장 가능한 계층 구조적 CA 모델을 지원하며 점점 늘어나는 상거래 및 기타 CA 제품과의 일관성을 제공합니다.
가장 간단한 형태의 인증 계층 구조는 하나의 CA로 구성됩니다. 하지만 계층 구조에는 상위/하위 관계가 명확하게 정의된 여러 CA가 포함되는 경우가 많습니다. 이 모델에서 자식 하위 CA는 부모 CA에서 발급한 인증서로 인증되며 이를 통해 CA의 공개 키가 해당 ID로 바인딩됩니다. 계층 구조에서 최상위에 있는 CA를 루트 CA라고 합니다. 루트 CA의 자식 CA를 하위 CA라고 합니다. 자세한 내용은 인증 기관의 유형을 참조하십시오.
Windows에서 루트 CA를 신뢰하는 경우(해당 CA의 인증서를 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 저장함으로써) 계층 구조에서 유효한 CA 인증서가 있는 모든 모든 하위 CA를 신뢰하게 됩니다. 따라서 루트 CA는 조직에서 신뢰의 중요한 지점이므로 적절한 보안을 적용해야 합니다. 자세한 내용은 CA 인증서를 참조하십시오.
여러 하위 CA를 설정하는 실질적 이유에는 다음을 포함한 여러 가지가 있습니다.
-
용도. 보안 전자 메일 및 네트워크 인증 등과 같은 여러 목적으로 인증서를 발급할 수 있습니다. 이러한 용도별 발급 정책은 고유할 수 있으며 이렇게 구분하는 것은 이러한 정책을 관리하는 토대가 됩니다.
-
조직 구분. 조직에서 엔터티의 역할에 따라 여러 가지 인증서 발급 정책이 있을 수 있습니다. 하위 CA를 만들어서 이러한 정책을 분리하고 관리할 수 있습니다.
-
지리적 구분. 조직은 여러 물리적 사이트에 엔터티를 가지고 있을 수 있습니다. 이러한 사이트를 네트워크를 통해 연결하려면 여러 사이트 또는 모든 사이트에 대한 개별적인 하위 CA가 필요할 수 있습니다.
-
부하 분산. PKI를 사용하여 많은 수의 인증서를 발급 및 관리하는 경우 CA가 하나뿐이면 단일 CA에 대한 네트워크 부하가 상당히 커질 수 있습니다. 여러 개의 하위 CA를 사용하여 같은 종류의 인증서를 발급하면 CA 간에 네트워크 부하를 분산시킬 수 있습니다.
-
백업 및 내결함성. CA가 여러 개이면 사용자 요청에 응답할 수 있는 작동 가능한 CA가 항상 네트워크에 있을 가능성이 높아집니다.
CA 계층 구조는 다음을 포함한 관리 이점도 제공합니다.
-
보안과 유용성 간의 균형을 조정하기 위한 CA 보안 환경의 유연한 구성. 예를 들어 루트 CA에 전용 암호화 하드웨어를 설치하고 물리적으로 안전한 영역에서 운영하거나 오프라인으로 운영할 수 있습니다. 하지만 이는 비용이나 유용성 고려 사항 때문에 하위 CA에는 적합하지 않을 수 있습니다.
-
설정된 트러스트 관계에 영향을 주지 않은 채 CA 계층 구조의 특정 부분을 해제할 수 있는 기능. 예를 들어 조직의 다른 부분에는 영향을 주지 않은 채 특정 비즈니스 단위와 연결된 발급하는 CA 인증서를 쉽게 종료하고 해지할 수 있습니다.