CA(인증 기관)에 대한 암호화 옵션을 선택하는 것은 보안, 성능 및 호환성 측면에서 해당 CA에 중요한 영향을 미칠 수 있습니다. 기본 암호화 옵션이 대부분의 CA에 적합할 수 있지만 사용자 지정 옵션을 구현할 수 있으면 암호화와 이러한 유연성의 필요성을 잘 이해하고 있는 관리자와 응용 프로그램 개발자에게 유용할 수 있습니다. 암호화 옵션은 CSP(암호화 서비스 공급자) 또는 키 저장소 공급자를 사용하여 구현할 수 있습니다.
CSP는 일반 암호화 기능을 제공하는 Windows 운영 체제의 하드웨어 및 소프트웨어 구성 요소입니다. CSP를 작성하여 다양한 암호화 및 서명 알고리즘을 제공할 수 있습니다.
키 저장소 공급자는 Windows Server 2008 R2, Windows Server 2008, Windows 7 또는 Windows Vista를 실행하는 컴퓨터에서 강력한 키 보호를 제공할 수 있습니다.
CA 설정 프로세스의 암호화 구성 페이지에서 다음 옵션을 구성할 수 있습니다.
-
CSP(암호화 서비스 공급자)를 선택하십시오. Windows Server 2008 R2 및 Windows Server 2008에는 여러 개의 CSP가 포함되어 있으며 그 외의 CSP 또는 키 저장소 공급자를 추가할 수도 있습니다. Windows Server 2008 R2 및 Windows Server 2008에서 공급자 목록에는 알고리즘 이름이 포함됩니다. 이름에 번호 기호(#)가 있는 모든 공급자는 CNG(Cryptography Next Generation) 공급자입니다. CNG 공급자는 여러 개의 비대칭 알고리즘을 지원할 수 있습니다. CSP는 하나의 알고리즘만 구현할 수 있습니다.
참고 자세한 내용은 CNG(Cryptography Next Generation)(
https://go.microsoft.com/fwlink/?LinkID=85480(페이지는 영문일 수 있음) )를 참조하십시오. -
키 문자 길이. 각 CSP는 암호화 키에 대해 여러 문자 길이를 지원합니다. 키 문자 길이를 길게 구성할수록 악의적 사용자가 키를 해독하기 어려워지므로 보안이 향상되지만 암호화 작업의 성능은 저하될 수 있습니다.
-
이 CA가 발급한 인증서를 서명할 해시 알고리즘을 선택하십시오. 해시 알고리즘은 CA 인증서 및 CA가 발급한 인증서가 변조되지 않았음을 확인하기 위해 해당 인증서에 서명하는 데 사용됩니다. 각 CSP는 여러 해시 알고리즘을 지원할 수 있습니다.
참고 CA를 설정하기 전에 컴퓨터에 설치된 CAPolicy.inf 파일에 DiscreteAlgorithm 옵션이 구성된 경우에는 사용 가능한 해시 알고리즘의 목록이 더 제한될 수 있습니다.
-
CSP가 제공하는 강력한 개인 키 보호 기능을 사용합니다(이 기능을 사용하려면 CA가 개인 키를 액세스할 때마다 관리자의 조작이 필요할 수 있음). 이 옵션을 사용하면 모든 암호화 작업을 수행하기 전에 관리자가 암호를 입력해야 하므로 CA 및 개인 키가 무단으로 사용되지 않도록 하는 데 도움이 됩니다.