X.509 Digital Certification(X.509 디지털 인증)

디지털 인증서의 기본 작업은 주체의 공개 키에 대한 액세스를 제공하는 것입니다. 인증서는 인증서의 공개 키가 인증서의 주체에 속하는지도 확인합니다. 예를 들어 CA( 인증 기관 )는 일부 사용자의 이름(예: "Alice") 및 공개 키를 포함하는 특수 메시지(인증서 정보)에 디지털 서명할 수 있습니다. 이 작업은 누구나 인증서가 발급되고 CA 이외의 다른 사용자가 서명했는지 확인할 수 있는 방식으로 수행해야 합니다. CA가 신뢰할 수 있고 Alice의 인증서가 해당 CA에서 발급되었는지 확인할 수 있는 경우 Alice 인증서의 모든 수신기는 해당 인증서에서 Alice의 공개 키를 신뢰할 수 있습니다.

디지털 인증의 일반적인 구현에는 인증서 서명 프로세스가 포함됩니다.

프로세스는 다음과 같습니다.

  1. Alice는 자신의 이름, 공개 키 및 일부 추가 정보가 포함된 서명된 인증서 요청을 CA에 보냅니다.
  2. CA는 Alice의 요청에서 메시지 m을 만듭니다. CA는 프라이빗 키로 메시지에 서명하여 별도의 서명 메시지인 sig를 만듭니다. CA는 메시지, m 및 서명 sig를 Alice에게 반환합니다. 함께 msig는 Alice의 인증서를 형성합니다.
  3. Alice는 인증서의 두 부분을 Bob에게 보내 공개 키에 대한 액세스 권한을 부여합니다.
  4. Bob은 CA의 공개 키를 사용하여 서명을 확인합니다. 서명이 유효한 것으로 입증되면 인증서의 공개 키를 Alice의 공개 키로 수락합니다.

디지털 서명과 마찬가지로 CA의 공개 키에 액세스할 수 있는 모든 수신기는 특정 CA가 인증서에 서명했는지 여부를 결정할 수 있습니다. 이 프로세스는 비밀 정보에 액세스할 필요가 없습니다. 방금 제시된 시나리오에서는 Bob이 CA의 공개 키에 액세스할 수 있다고 가정합니다. Bob은 해당 공개 키가 포함된 CA 인증서의 복사본이 있는 경우 해당 키에 액세스할 수 있습니다.

X.509 디지털 인증서에는 사용자의 이름과 공개 키뿐만 아니라 사용자에 대한 기타 정보도 포함됩니다. 이러한 인증서는 디지털 신뢰 계층 구조의 디딤돌 이상입니다. 이를 통해 CA는 인증서의 수신자에게 인증서 주체의 공개 키뿐만 아니라 인증서의 주체에 대한 기타 정보를 신뢰하는 수단을 제공할 수 있습니다. 다른 정보에는 이메일 주소, 지정된 값의 문서에 서명할 수 있는 권한 부여 또는 CA가 되고 다른 인증서에 서명할 수 있는 권한 부여가 포함될 수 있습니다.

X.509 인증서 및 다른 많은 인증서에는 유효한 기간이 있습니다. 인증서는 만료될 수 있으며 더 이상 유효하지 않습니다. CA는 여러 가지 이유로 인증서를 해지할 수 있습니다. 해지를 처리하기 위해 CA는 CRL( 인증서 해지 목록 )이라는 해지된 인증서 목록을 유지 관리하고 배포합니다. 네트워크 사용자는 CRL에 액세스하여 인증서의 유효성을 확인합니다.