인증 기관(CAS)은 인증서 요청을 관리하고 호스트, 네트워크 디바이스 또는 사용자 등 참가 엔터티에게 인증서를 발행합니다. CAS는 참가 엔터티에 대해 중앙화된 키 관리를 제공합니다.

공용 키 암호화에 기반한 디지털 서명은 디바이스 및 개별 사용자를 디지털로 인증합니다. RSA 암호화 시스템 같은 공용 키 암호화의 경우, 각 디바이스 또는 사용자는 개인 키와 공용 키를 모두 포함하는 키 쌍을 갖게 됩니다. 개인 키는 기밀로 유지되며 소유 디바이스 또는 사용자만 알 수 있습니다. 단, 공용 키는 모든 사람이 알 수 있습니다. 여러 키 중 한 가지 키로 암호화된 항목은 다른 키로 해독될 수 있습니다. 서명은 데이터가 발신인의 개인 키로 암호화될 경우 형성됩니다. 수신인은 발신인의 공용 키로 메시지를 해독하여 서명을 인증합니다. 이 프로세스는 수신인이 발신인의 공용 키 사본을 보유하고 있고, 발신인이 해당 키의 소유자이며 다른 사람이 발신인을 사칭하는 것이 아니란 점을 명확히 알고 있다는 걸 기반으로 합니다.

디지털 인증서는 디지털 서명을 발신인과 연결합니다. 디지털 인증서에는 이름, 일련 번호, 회사, 부서 또는 IP 주소 등 사용자 또는 디바이스를 식별하기 위한 정보가 포함되어 있습니다. 또한 엔터티의 공용 키 사본도 포함되어 있습니다. 인증서에 서명하는 CA는 수신인이 ID를 검증하고 디지털 인증서를 만들기 위해 명시적으로 신뢰하는 서드파티입니다.

CA의 서명을 검증하려면 수신인은 우선 CA의 공용 키를 알고 있어야 합니다. 일반적으로 이 과정은 대역 외에서 처리되거나, 설치 시 완료되는 작업을 통해 처리됩니다. 예를 들어, 대부분의 웹 브라우저는 기본적으로 여러 CAS의 공용 키로 구성됩니다.

PKI 신뢰 모델은 구성 가능한 다수의 신뢰할 수 있는 CA가 포함된 계층적 구조로 되어 있습니다. 각 참가 디바이스에 신뢰할 수 있는 CA 목록을 구성할 수 있습니다. 이렇게 하면 로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급한 경우 보안 프로토콜 교환 중 확보한 피어 인증서를 인증받을 수 있습니다. Cisco NX-OS 소프트웨어는 신뢰할 수 있는 CA(또는 하위 CA에 대한 인증서 체인)의 자체 서명 루트 인증서를 로컬에 저장합니다. 신뢰할 수 있는 CA의 루트 인증서(또는 하위 CA의 경우 전체 체인)을 안전하게 확보하고 로컬에 저장하는 과정을 CA 인증이라고 합니다.

사용자가 구성한 신뢰할 수 있는 CA에 대한 정보를 신뢰 지점이라 하고, CA 자체는 신뢰 지점 CA라고 합니다. 이 정보는 CA 인증서(또는 하위 CA의 경우 인증서 체인) 및 인증서 해지 확인 정보로 구성됩니다.

Cisco NX-OS 디바이스를 신뢰 지점에 등록하여 키 쌍과 연결하기 위한 ID 인증서를 확보할 수도 있습니다. 이 신뢰 지점을 ID CA라고 합니다.

하나 이상의 RSA 키 쌍을 생성하고, Cisco NX-OS 디바이스에 등록할 신뢰 지점 CA와 각 RSA 키 쌍을 연결하여 ID 인증서를 확보할 수 있습니다. Cisco NX-OS 디바이스는 CA당 한 개의 ID만 필요하며, 이는 한 개의 키 쌍과 CA당 한 개의 ID 인증서로 구성됩니다.

Cisco NX-OS 소프트웨어를 사용하면 구성 가능한 키 크기(또는 계수)와 RSA 키 쌍을 생성할 수 있습니다. 기본 키 크기는 512입니다. 또한 RSA 키 쌍 레이블을 구성할 수 있습니다. 기본 키 레이블은 디바이스의 정규화된 도메인 이름(FQDN)입니다.

다음 목록에는 신뢰 지점, RSA 키 쌍, ID 인증서의 관계가 요약되어 있습니다.

• 신뢰 지점은 애플리케이션(예: SSH)에 대한 피어 인증서 검증을 위해 Cisco NX-OS 디바이스가 신뢰하는 특정 CA에 해당합니다.

• Cisco NX-OS 디바이스는 다수의 신뢰 지점을 보유할 수 있으며, 디바이스에 있는 모든 애플리케이션은 신뢰 지점 CA에서 발급한 피어 인증서를 신뢰할 수 있습니다.

• 신뢰 지점은 특정 애플리케이션에 국한되지 않습니다.

• Cisco NX-OS 디바이스는 ID 인증서를 확보하기 위해 신뢰 지점에 해당하는 CA를 등록합니다. 디바이스에 여러 개의 신뢰 지점을 등록할 수 있습니다. 즉, 각 신뢰 지점에서 개별 ID 인증서를 확보할 수 있습니다. 발급 CA가 인증서에 명시한 용도에 따라 애플리케이션에서 ID 인증서가 사용됩니다. 인증서의 용도는 인증서에 인증서 확장명으로 저장됩니다.

• 신뢰 지점을 등록할 경우, RSA 키 쌍을 인증할지 지정해야 합니다. 이 키 쌍은 등록 요청을 생성하기 전에 신뢰 지점과 연결해야 합니다. 신뢰 지점, 키 쌍, ID 인증서 간의 연결은 인증서, 키 쌍 또는 신뢰 지점을 삭제하여 이러한 항목이 명시적으로 제거될 때까지 유효합니다.

• ID 인증서의 주체 이름은 Cisco NX-OS 디바이스의 정규화된 도메인 이름입니다.

• 디바이스에 대해 하나 이상의 RSA 키 쌍을 생성할 수 있으며, 각 쌍은 하나 이상의 신뢰 지점에 연결될 수 있습니다. 그러나 둘 이상의 키 쌍은 신뢰 지점과 연결할 수 없습니다. 즉, CA에서는 하나의 ID 인증서만 허용됩니다.

• Cisco NX-OS 디바이스가 다수의 ID 인증서(개별 CA의 각 인증서)를 확보할 경우, 피어와의 보안 프로토콜 교환 시 사용하기 위해 애플리케이션이 선택하는 인증서는 특정 애플리케이션마다 다릅니다.

• 애플리케이션에 대해 하나 이상의 신뢰 지점을 지정하지 않아도 됩니다. 인증서 용도가 애플리케이션 요구 사항을 충족하는 한, 애플리케이션은 신뢰 지점에서 발급한 모든 인증서를 사용할 수 있습니다.

• 신뢰 지점의 ID 인증서는 두 개 이상 필요하지 않으며, 둘 이상의 키 쌍을 신뢰 지점에 연결하지 않아도 됩니다. CA는 지정한 ID(또는 이름)를 한 번만 인증하며 동일한 이름으로 된 인증서를 여러 개 발급하지 않습니다. CA에 대해 한 개 이상의 ID 인증서가 필요하고 CA가 동일한 이름으로 된 다수의 인증서를 허용하는 경우, 동일한 CA에 대해 다른 신뢰 지점을 정의하고 다른 키 쌍을 연결한 후 인증해야 합니다.

Cisco NX-OS 디바이스는 다수의 신뢰 지점을 구성하고 각 CA를 개별 CA와 연결하여 다수의 CA를 신뢰할 수 있습니다. 다수의 신뢰할 수 있는 CA를 사용하면 피어에게 인증서를 발급한 특정 CA를 디바이스에 등록하지 않아도 됩니다. 그 대신, 피어가 신뢰하는 다수의 신뢰할 수 있는 CA를 디바이스에 구성할 수 있습니다. 그런 다음, Cisco NX-OS 디바이스는 이렇게 구성된 신뢰할 수 있는 CA를 사용하여 피어 디바이스의 ID에 정의된 동일한 CA에서 발급하지 않은 피어에서 수신한 인증서를 확인할 수 있습니다.

등록은 SSH 같은 애플리케이션에 사용되는 디바이스에 대한 ID 인증서를 얻는 과정입니다. 이러한 과정은 인증서를 요청하는 디바이스와 인증 기관 간에 발생합니다.

Cisco NX-OS 디바이스는 PKI 등록 과정을 수행할 경우 다음 단계를 진행합니다.

• 디바이스에서 RSA 암호 및 공용 키 쌍을 생성합니다.

• 인증서 요청을 표준 형식으로 생성하고 CA에 전달합니다.

요청이 CA에 접수되면 CA 관리자는 CA 서버에서 등록 요청을 수동으로 승인해야 할 수 있습니다.

• CA의 개인 키가 서명된 CA에서 다시 발급한 인증서를 수신합니다.

• 디바이스의 비휘발성 저장 영역에 인증서를 작성합니다( bootflash).

Cisco NX-OS 소프트웨어는 수동 잘라내기 및 붙여넣기 기능을 사용한 인증서 검색 및 등록을 지원합니다. 잘라내기 및 붙여넣기 등록은 디바이스와 CA 간의 인증서 요청 및 결과 인증서를 잘라서 붙여넣어야 한다는 것을 의미합니다.

수동 등록 프로세스에서 잘라내기 및 붙여넣기를 사용할 경우 다음 단계를 수행해야 합니다.

• 등록 인증서 요청을 생성합니다. 이는 Cisco NX-OS 디바이스를 base64로 인코딩된 텍스트 양식으로 표시합니다.

• 인코딩된 인증서 요청 텍스트를 이메일 또는 웹 양식으로 잘라내서 붙여넣은 후 CA로 전송합니다.

• CA에서 발급한 인증서(base64로 인코딩된 텍스트 양식)를 이메일 또는 웹 브라우저 다운로드로 수신합니다.

• 발급된 인증서는 인증서 가져오기 기능을 사용하여 인증서 가져오기 기능에 잘라내기 및 붙여넣기합니다.

다수의 ID CA는 디바이스가 둘 이상의 신뢰 지점에 등록할 수 있도록 합니다. 이렇게 하면 개별 CA에서 다수의 ID 인증서가 각각 생성됩니다. 이 기능을 통해 Cisco NX-OS 디바이스는 CA에서 발급한 다수의 피어에 대해 허용되는 인증서를 사용하여 이러한 다수의 피어가 있는 SSH 및 기타 애플리케이션에 참가할 수 있습니다.

다수의 RSA 키 쌍 기능을 사용하면 디바이스가 등록된 각 CA에 대한 개별 키 쌍을 유지 관리할 수 있습니다. 이렇게 하면 키 길이 등 다른 CA가 지정한 요구 사항과 충돌하지 않으면서 각 CA의 정책 요구 사항과 일치시킬 수 있습니다. 디바이스는 다수의 RSA 키 쌍을 생성하고 각 키 쌍을 개별 신뢰 지점과 연결할 수 있습니다. 그런 다음, 신뢰 지점을 등록할 경우 인증서 요청을 구성하기 위해 연결된 키 쌍이 사용됩니다.

Cisco NX-OS 디바이스에 대한 PKI 지원은 피어 인증서를 확인할 수 있습니다. Cisco NX-OS 소프트웨어는 SSH 같은 애플리케이션의 보안 교환 중 피어로부터 수신한 인증서를 확인합니다. 애플리케이션은 피어 인증서의 유효성을 확인합니다. Cisco NX-OS 소프트웨어는 피어 인증서를 확인할 때 다음 단계를 수행합니다.

• 로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급했는지 확인합니다.

• 현재 시간에 대해 피어 인증서가 유효한지(만료되지 않았는지) 확인합니다.

• 발급 CA에 의해 피어 인증서가 아직 해지되지 않았는지 인증합니다.

해지 확인을 위해 Cisco NX-OS 소프트웨어는 인증서 해지 목록(CRL)을 지원합니다. 신뢰 지점 CA는 이 방법을 사용하여 피어 인증서가 해지되지 확인할 수 있습니다.

Cisco NX-OS 소프트웨어는 CA 인증서의 해지 상태를 확인할 수 있습니다. 애플리케이션은 지정하는 순서대로 해지 확인 메커니즘을 사용할 수 있습니다. CRL, 없음을 선택하거나 이러한 방법을 조합할 수 있습니다.

CA 인증 및 등록 프로세스의 일환으로, 하위 CA 인증서(또는 인증서 체인) 및 ID 인증서는 표준 PEM(base64) 형식으로 가져올 수 있습니다.

신뢰 지점의 완전한 ID 정보는 비밀번호로 보호된 PKCS#12 표준 형식으로 된 파일로 내보낼 수 있습니다. 나중에 동일한 디바이스(예: 시스템 충돌 후) 또는 대체 디바이스로 이를 가져올 수 있습니다. PKCS#12 파일의 정보는 RSA 키 쌍, ID 인증서, CA 인증서(또는 체인)로 구성됩니다.

Cisco NX-OS 디바이스 재부팅 전반에 걸쳐 신뢰 지점 설정이 지속되도록 보장할 수 있습니다.

신뢰 지점 설정은 시작 구성에 명시적으로 복사한 경우에만 시스템 전체에서 지속되는 일반적인 Cisco NX-OS 디바이스 설정입니다. 시작 구성에서 이미 신뢰 지점 구성을 복사한 경우, 신뢰 지점과 연결된 인증서, 키 쌍, CRL은 자동으로 지속됩니다. 이와 반대로 신뢰 지점 구성이 시작 구성에 복사되지 않은 경우, 재부팅 후 해당하는 신뢰 지점 구성이 필요하기 때문에 신뢰 지점과 연결된 인증서, 키 쌍, CRL이 지속되지 않습니다. 설정해놓은 인증서, 키 쌍, CRL이 지속되도록 하려면 실행 중인 설정을 시작 구성에 항상 복사하십시오. 또한, 인증서 또는 키 쌍을 삭제한 후 실행 중인 구성을 저장하여 삭제가 영구적으로 지속되도록 합니다.

시작 구성에 특정 신뢰 지점이 이미 저장되어 있는 경우, 신뢰 지점과 연결된 인증서 및 CRL을 가져오면(즉, 시작 구성에 명시적으로 복사하지 않고) 자동으로 지속됩니다.

ID 인증서의 비밀번호로 보호된 백업을 생성하고 이를 외부 서버에 저장하는 것이 좋습니다.

외부 서버에 구성을 복사하는 작업에는 인증서 및 키 쌍이 포함됩니다.