IT BLOG(KR)

안녕하세요.

오늘은 ASA Certificate를 공부 하기 전에 SSL에 대해서 알아보겠습니다.

ASA Remote Access VPN를 사용 할때 Certificate이 필요합니다. 

CA를 통해서 인증되지 않는  인증서는 아래와 같이 Warning Message가 발생합니다.

CA인증기관으로부터 인증서를 인증 받으서 CISCO ASA에 등록 하면, 유저가 VPN에 접속 할때 인증서 경고 메시지가 발생지 않습니다.

CA인증기관은 여러기관이 있지만, 대표적으로 아래와 같습니다. 

[각 브랜드 별 웹사이트]

Comodo(Sectigo) - https://www.comodo.com/ (+ PositiveSSL, EssentialSSL, InstantSSL ...)
Thawte by DigiCert - https://www.thawte.com/
GeoTrust by DigiCert - https://www.geotrust.com/ (+ RapidSSL)
Verisign - https://www.verisign.com/ 
GoDaddy - https://godaddy.com/
GlobalSign - https://www.globalsign.com/ (+ AlphaSSL)
DigiCert - https://www.digicert.com/

용도 

CA(Certificate Authority) 

CA인증기관은 서버 또는 네트워크 장비등으로 부터 CSR를 받으면 CA인증기관이 CSR를 승인하여 신뢰할 수 있는 사이트인지 아닌지 구분해주는 인증서 발급해주는 기관입니다.

 ROOT CA 

- 무조건 신뢰할 수 있는 기관이 몇군데 존재하는데 그 CA 기관들을 최상위 인증 기관이라고 합니다. Root CA는 본인들만의 

고유한 비밀 키를 가지고 있습니다. 그리고 관련해서 동개키를 전세계에 배도합니다.

그리고 이 ROOT CA 인증서는 암묵적으로 신뢰 할수 있는 기관으로 간주 합니다.

키 종류

공개키 PUBLIC KEY - 공개키는 공개해도 되는 키 입니다. 이 공개키로 암호화를 수행 할 수 있습니다. (개인키 Private Key 함깨 사용)

개인키 PRIVATE KEY - 공개키로 암호화된 파일을 복호화 할때 사용하는 키가 바로 개인키 Private Key입니다. 

이 개인키 Private Key는 외부로 노출 되면 안됩니다. (공개키 PUBLIC KEY랑 함깨 사용)

대칭키 : 암호화와 복호화에 같은 키를 사용하는 방식을 대칭키 입니다

비대칭키: 암호화할 때와 복호화 할때 사용하는 키가 서로 다른갓을 비댕칭키라고 합니다.

Kevin의 공개키로 암호화된 데이터는 Kevin의 개인키로만 복호화 가능 합니다.

Kevin의 개인키로 암호화된 데이터는 Kevin의 공개키로만 복호화 가능 합니다. 

SSL 인증은 도메인 기반으로 인증 됩니다. 

kevin.rest라는 도메인이 있다고 가정합니다. SSL 인증은 이 kevin.rest라는 도메인으로 인증이 됩니다. 

IP주소가 변경 되어도 도메인주소가 같으면 상관 없습니다.

이번에는 도메인에 대해서 알아보겠습니다.

https://www.kevin.rest

https - Protocol

www - host

kevin - name

rest - TLD (Top-level Domain)

Root Domain - kevin.rest  의미 합니다.

Sub Domain - A레코드를 추가한 상태를 의미 합니다.

www.kevin.rest 

ftp.kevin.rest
mail.kevin.rest

위와 같이 A레코드를 추가한 도메인을 서브 도메인이라고 합니다.

SSL 도메인 기반으로 동작하기 떄문에 만약에 아래처럼 도메인이 있다고 가정합니다.

kevin.rest

kevin.com

2개에 SSL 인증서가 필요합니다. 

아래처럼 2개에 서브 도메인이 있다고 가정합니다.

asa.kevin.rest

pa.kevin.rest

2개에 SSL인증서가 필요합니다. 

CSR - Certificate Signing Request

SSL인증서를 신청자의 신원의 정보가 담겨져 있습니다. 아래와 정보를 이용해서 CA인증기관에 승인을 받아 인증서를 발급 받습니다. 

1. 신청자의 국가

2. 지역

3. 회사명

4. 도메인 정보

5. 공개키

SSL 인코딩 인증서 확장자 종류

1. DER (Distinguished Encoding Representation) 바이너리 포맷입니다.

2. PEM (Privacy Enhanced Mail) - Base 64 인코딩된 ASCII Test File입니다. 

    메모장으로 열고 수정이 가능 합니다. 

    개인키, 서버인증서, 루드 인증서, 체인 인증서 및 SSL 발급 요청시 생성하는 CSR 등등에 정보들이 포함 되어져 있습니다. 

   ----- BEGIN CERTIFICATE --------

   xxx

   ----- END CERTIFICATE -------- 

표시 됩니다.

SSL 인증서 확장자

1. csr - Certificate Signing Request의 약자이며 대부분 PEM포맷입니다.  SSL발급 신청을 위해서 본 파일 내용을 인증기관인 CA에 제풀할때 사용하는 파일 입니다. 

2. crt - 대부분 PEM포맷이며, 주로 유닉스, 리눅스 기반에 사용되는 인증서 파일 입니다. 

3. cer - 대부분 PEM포맷이며, 주로 windows 기반에서 사용되는 인증서 파일 입니다. 

SSL 인증서 등급 DV, OV, EV나뒵니다.

등급에 따라 암호화 기술에 차이가 있다고 생각 할 수 있지만 보안 기술은 모두 동일합니다. 

DV 인증서 - 도메인 소유/관리 정보를 검증하기 위한 DCV domain control Validated 인증만 진행 합니다

OV 인증서 - DCV인증뿐 아니라, 기업이 실제로 존재하는지 확인하기 위해 회사 정보가 기재되어 있는 서류와 발급 신청자의 전화 인증 절차를 거칩니다. 

EV 인증서 - 기존 OV인증서에 더해, 기업 인사 당담자와의 유선 연락을 통해 신청자의 재직 여뷰를 확인하는 인증서입니다. 

가격

DV -> OV -> EV