엔터프라이즈 PKI 스냅인을 사용하여 PKI(공개 키 인프라)의 다음 요소가 모두 제대로 작동하고, 사용 가능하고, 유효한지 확인할 수 있습니다.
-
CA(인증 기관). CA에서는 인증서 요청을 받고 CA 정책에 따라 요청자의 정보를 확인한 다음 개인 키를 사용하여 인증서에 서명합니다. 그런 다음 PKI에서 보안 자격 증명으로 사용하도록 인증서 주체에게 인증서를 발급합니다. 또한 CA는 인증서를 해지하고 CRL(인증서 해지 목록)을 게시해야 합니다.
-
CA 인증서. CA 인증서는 CA에서 자체 발급되는 인증서 또는 두 CA 간에 정의된 관계를 만들기 위한 용도로 두 번째 CA에 발급되는 인증서입니다. CA에서 자체 발급되는 인증서를 신뢰할 수 있는 루트 인증서라고 합니다. CA 인증서는 PKI에서 사용하도록 발급된 모든 최종-엔터티 인증서의 인증서 경로 및 사용 제한을 정의하는 데 중요합니다.
-
기관 정보 액세스 위치. 기관 정보 액세스 위치는 해당 기관 정보 액세스 확장의 인증서에 추가된 URL입니다. 응용 프로그램이나 서비스에서 이 URL을 사용하여 발급하는 CA 인증서를 검색할 수 있습니다. 그런 다음 이 CA 인증서를 사용하여 인증서 서명을 확인하고 신뢰할 수 있는 인증서의 경로를 만듭니다.
-
CRL. CRL은 만료되지 않았지만 해지된 인증서의 디지털 서명된 전체 목록입니다. 클라이언트에서 이 CRL을 검색한 후 구성된 CRL 수명을 기준으로 CRL을 캐시한 다음 사용하도록 제공된 인증서를 확인할 수 있습니다.
-
CRL 배포 지점. CRL 배포 지점은 해당 CRL 배포 지점 확장의 인증서에 추가된 위치이며, 일반적으로 URL입니다. 응용 프로그램이나 서비스에서 CRL 배포 지점을 사용하여 CRL을 검색할 수 있습니다. CRL 배포 지점은 응용 프로그램이나 서비스에서 유효 기간이 만료되기 전에 인증서가 해지되었는지 확인해야 할 경우에 연결됩니다.
관리자는 인증 기관 스냅인을 사용하여 단일 CA에 대한 이러한 PKI 요소를 모니터링하고 관리할 수 있습니다. 그러나 둘 이상의 CA가 관련된 경우 별도의 스냅인 인스턴스를 사용하여 PKI를 모니터링하고 관리해야 합니다. 또한 인증 기관 스냅인을 사용하여 타사 CA를 인프라에 통합할 수 없으며 기관 정보 액세스 위치 및 CRL 배포 지점 저장소를 쉽게 관리할 수 없습니다. 그러므로 엔터프라이즈 PKI 스냅인은 단일 스냅인에서 이러한 문제를 해결하는 데 사용할 수 있습니다.
CA, CA 인증서, 기관 정보 액세스 위치, CRL 배포 지점 및 CRL을 통해 공개 키 트러스트 계층 구조를 만드는 방법에 대한 자세한 내용은 인증서 서비스 작동 방법(
추가 참조
-
엔터프라이즈 PKI 개요
-
Active Directory 인증서 서비스(
https://go.microsoft.com/fwlink/?LinkID=48545(페이지는 영문일 수 있음) )