모든 인증서는 특정 유효 기간이 지정되어 발급됩니다. 원래 유효 기간이 만료되기 전에 인증서를 해지하면 신뢰할 수 있는 보안 자격 증명으로서의 인증서가 무효화됩니다. 예약된 만료 날짜에 도달하기 전에 인증서가 보안 자격 증명으로서 신뢰할 수 없게 되는 이유에는 여러 가지가 있습니다. 다음과 같은 예를 들 수 있습니다.
-
인증서 주체 개인 키가 침해되었거나 침해가 의심됨
-
CA(인증 기관) 개인 키가 침해되었거나 침해가 의심됨
-
인증서가 부정한 방법으로 취득되었음이 발견됨
-
신뢰할 수 있는 엔터티로서의 인증서 주체의 상태가 변경됨
-
인증서 주체의 이름이 변경됨
인증서의 유효성에 대한 정보를 얻기 위해 CA나 기타 신뢰할 수 있는 서버에 항상 연결할 수 있는 것은 아닙니다. 인증서 상태 검사를 효과적으로 지원하기 위해서는 클라이언트가 해지 데이터에 액세스하여 인증서가 유효한지 또는 해지되었는지 여부를 확인할 수 있어야 합니다. AD CS(Active Directory 인증서 서비스)에서는 다양한 시나리오를 지원하기 위해 산업 표준 방식의 인증서 해지를 지원합니다. 여기에는 AD DS(Active Directory 도메인 서비스), 웹 서버 및 네트워크 파일 공유를 포함한 다양한 위치에서 클라이언트가 사용할 수 있도록 CRL(인증서 해지 목록)과 델타 CRL을 게시하는 것이 포함됩니다.
참고 | |
Windows Server 2008 R2 및 Windows Server 2008에서는 온라인 응답자를 사용하여 복잡한 네트워크 환경에서 CRL 데이터를 보다 쉽게 액세스할 수 있도록 만들 수 있습니다. 온라인 응답자는 CRL의 인증서 해지 데이터를 사용하여 클라이언트의 인증서 상태 요청을 개별적으로 처리합니다. |
CRL은 해지된 인증서의 디지털 서명된 전체 목록입니다. 이러한 목록은 정기적으로 게시되며 CRL의 구성된 수명을 기반으로 클라이언트가 검색 및 캐시할 수 있으며 인증서의 해지 상태를 확인하는데 사용됩니다.
CRL은 CA에서 발급하고 해지하는 인증서의 수에 따라 크기가 커질 수 있기 때문에 델타 CRL이라고 하는 크기가 더 작은 중간 CRL을 게시할 수도 있습니다. 델타 CRL에는 마지막 정규 CRL이 게시된 이후 해지된 인증서만 포함됩니다. 이를 통해 클라이언트는 더 작은 델타 CRL을 검색하여 해지된 인증서의 전체 목록을 더 빠르게 구성할 수 있습니다. 또한 델타 CRL은 크기가 작아서 전체 CRL을 전송하는 것보다 전송 시간이 적게 걸리기 때문에 델타 CRL을 사용하면 해지 데이터를 더 자주 게시할 수 있습니다.