인증서 관리 규격 - 발급/갱신/폐지

PKI에서는인증기관,등록기관,그리고사용자간의각종인증서업무를처리하기위한표준적인 통신프로토콜이필요하다.

이를CMP(CertificateManagementProtocols)라하며,인증서발 급/갱신/폐지요청및응답처리에사용된다.

인증서관리프로토콜은PKI구성요소간의 온라인 상호연동뿐만아니라,상호인증하려는 두인증기관사이에서도 사용될수있다.

 

 

본 상세서를 지원하는 인증서 관리규격들은 다음의 표준을 준수한다.

 

■ RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)

• 인증서관리를 수행
• PKI의 초기화와 사용자의 등록, 인증서 발급, 갱신, 폐지 등 PKI 관리를 위한 방안을 기술하 고, 이를 구현하기 위한 메시지 구문을 정의한다.

 

■ RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)

• 인증서 관리를 위한 메시지 
• RFC4210에서 기술된 내용 중 인증서 요청과 관련된 메시지 구문을 정의한다

 

기관용 및 개인용 인증서 관리 프로세스

인증서관리 메시지

■ 데이터 구조

인증서 관리에 사용되는 모든 메시지는 다음과 같은 구조를 가지고 있다.

 

PKI Header는인증서관리메시지에공통적으로적용되는정보인주소지정(addressing)과발급, 갱신, 폐지등을 구분할 수 있는 정보를 포함한다. PKI Body는 특정 메시지와 관련된 정보를 포함한다.

 

 

■ 메시지 프로파일

인증서 관리메시지는 크게 인증서 발급(InitialRegistration),인증서 갱신(Key Update),인증서 폐지(Revocation) 세가지로 구분되어, 전자서명용과 암호화용 인증서를 함께 발급/갱신 /폐지 요청한다.

또한 인증서 정책 정보를 전달하기 위해 사용되는 General Message와 General Response 가 존재한다.

 

 

■ IR 데이터 구조

인증기관를 통하여 인증서를 발급시 인증서발급 요청 메시지(IR) 구조는 다음과 같다.

 

oPKIHeader

 

oPKIBody:IR(CertReqMessages)

 

oPKIProtection

 

■ IP 데이터 구조

PKI Body의 response에는 여러 개의 certResponse가 들어갈 수 있다. certResponse에는 상태정보를 나타내는 status필드가 포함되며, status값이 granted(0)일 때만 인증서가 들어 있는 certifiedkeyPair필드가 포함된다.

 

oPKIHeader

 

oPKIBody:IP(CertResMessages)

 

oPKIProtection

 

■ CONF 메시지

CONF 메시지의 PKI Body에는 아무런 정보도 포함되지 않는다. 중요한 정보는 모두 PKI Header에 들어있다.

 

oPKIHeader

 

oPKIBody

 

oPKIProtection

 

 

인증서 갱신

 

■ KUR 데이터 구조

인증기관를 통하여 인증서를 갱신시 인증서 갱신요청 메시지 구조(KUR)는 다음과 같다.

 

oPKIHeader