오늘은 인증서 파일을 열어보고 인증서에 어떤 값들이 있는지, 어떤 역할을 하는 지 알아보자!
everything으로 본인 이름을 검색하면 NPKI폴더\인증서 발급자\USER 폴더에 있는 파일이 나올 것이다.
그 폴더 위치를 열어보면 확장자가 der인 파일이 존재한다.
해당 파일을 더블 클릭해서 열어보자!
그럼 다음과 같은 창이 나타난다
이 화면에서 자세히 탭을 클릭하면 인증서 정보를 볼 수 있다.
인증서 파일을 통해 알 수 있는 정보는 아래와 같다.
참고로 현재 대부분의 인증서는 X509 규격을 표준으로 사용한다.
| 필드명 | 설명 |
|---|---|
| 버전 | 인증서의 버전. X509 규격의 버전을 의미한다. 1~3버전이 있음 |
| 일련 번호 | CA에서 인증서를 발행할 때 마다 할당되는 유일한 번호 |
| 서명 알고리즘 | 인증서 발급자가 서명하는 데 사용하는 알고리즘의 식별자 |
| 서명 해시 알고리즘 | 인증서 발급자가 서명하는 데 사용하는 알고리즘의 식별자 |
| 발급자 | 발급자 정보. DN 형식 |
| 유효 기간(시작) | 인증서 유효 기간의 시작값 |
| 유효 기간(종료) | 인증서 유효 기간의 종료값 |
| 주체 | 소유자의 정보. DN 형식 |
| 공개키 | 소유자의 공개키 |
| 공용 키 매개변수 | 공개 키에 사용되는 매개변수 |
| 기관 키 식별자 | 발급자의 공개키를 식별하기 위함(KeyID, Certificate User, Certificate SerialNumber값이 들어 포함함) |
| 주체 키 식별자 | 소유자의 공개키를 식별하기 위함 |
| 주체 대체 이름 | 소유자의 다른 이름 |
| CRL 배포 지점 | 해당 인증서의 CRL(Certificate Revocation List:인증서 폐기 목록)을 확인할 수 있는 위치정보 |
| 기관 정보 액세스 | 인증기관이 제공하는 인증서 관련 서비스에 접근할 수 있는 URL이나 프로토콜 관련 정보 |
| 키 사용 | 어느 용도로 해당 인증서를 사용할 수 있는지 나타냄(서명, 부인방지, 전자서명, 키교환 등) |
| 인증서 정책 | 인증서 사용 목적, 공표 방법 등 인증서와 관련된 일련의 규정을 의미 |
참고로 인증서 검증 방식에는 CRL과 OCSP가 있다.
CRL 검증
CRL 검증은 인증서가 폐기 목록에 있는 지 없는 지 확인한다.
인증서 위에서 본 인증서 정보중 CRL 배포 지점의 주소에서 ldap 프로토콜을 통해 폐기 인증서 목록을 가져와 인증하려는 인증서가 그 안에 있는지 확인한다.
내 인증서의 경우 yessign에서 발급하였으므로 아래 빨간색 표시된 URL에 접근하여 폐기 목록을 받아올 것이다.
폐기 목록은 관리 기관에서 주기적으로 업데이트 된다.
OCSP 검증
OCSP 검증은 CRL 검증의 주기적으로 업데이트 되야한다는 단점을 보완한 검증 방식이다. 인증 기관의 서버에서 실시간으로 인증서 유효성을 검증할 수 있다는 장점이 있다.
자료 출처
https://gruuuuu.github.io/security/what-is-x509/
https://itwiki.kr/w/X.509
http://terms.tta.or.kr/dictionary/dictionaryView.do?subject=%EC%9D%B8%EC%A6%9D%EC%84%9C+%EC%A0%95%EC%B1%85
https://epicarts.tistory.com/156
https://cert.crosscert.com/ssl%EC%9D%B8%EC%A6%9D%EC%84%9C-%EC%9C%A0%ED%9A%A8%EC%84%B1-%EA%B2%80%EC%A6%9D-ocspcrl/
