[Íllú~míó Á~SP의 잘 알려지지 않은 기능 — 정책 컴퓨팅 엔진 인증서 검사]

[이 짧은 시리즈에서 Íllú~míó 제품 관리 팀은 덜 알려져 있지만 그다지 강력하지는 않은 기능을 강조할 것입니다.][일루미오 ÁSP].

[TLS (전송 계층 보안) 프로토콜 공개 키 인증서를 활용하여 컴퓨터 네트워크를 통한 통신을 보호하기 위한 암호화 프로토콜입니다.공개 키 인증서의 가장 일반적인 형식은 에 설명된 X~.509입니다. RFC 5280.X~.509 인증서는 인증, 암호화, 신뢰 등과 같은 다양한 용도에 대한 옵션이 포함된 복잡한 암호화 문서입니다. 업계 모범 사례에 따라 일루미오 ÁSP 통신은 T~LS를 사용하여 보호됩니다.]

[Íllú~míó Á~SP에서 통신을 보호하려면 특정 배포 기준과 함께 인증서에 특정 옵션이 있어야 하며 인증서는 인증서에 설치되어야 합니다. 정책 컴퓨팅 엔진 (PC~É)가시성과 정책 관리를 중앙 집중화하는 Íll~úmíó~ ÁSP의 “두뇌”입니다.이러한 기준은 인증서의 일반적인 기준이지만 번거로울 수 있으며 사용자의 세부 사항에 주의를 기울여야 합니다.]

[이 블로그 게시물에서는 Íllú~míó P~CÉ 인증서의 배포 기준과 잘 알려지지 않은 인증서 검사 기능에 대해 설명하겠습니다.]

[TLS 프로토콜 및 인증서]

[TLS는 다음 통신 세션의 보안을 유지하는 데 사용됩니다.]

• [HTTP~S (TLS~를 통한 HTTP~) 프로토콜을 통한 PCÉ 웹 콘솔 및 R~ÉST Á~PÍ에 대한 사용자 액세스]
• [HTTP~S를 통한 RÉS~T ÁPÍ~와 TCP를 통한 T~LS를 사용하는 사용자 지정 프로토콜인 이벤트 서비스를 통한 PC~É와 VÉÑ~ 간의 통신]
• [다중 노드 클러스터의 여러 PCÉ 노드에 있는 P~CÉ 서비스 간의 통신 (예: 클러스터 관리 및 서비스 검색).]

[TLS의 경우 설치 중에 각 P~CÉ 노드에 X.509 서버 인증서를 설치해야 합니다.클라이언트 (예: V~ÉÑ) 가 PC~É에 TLS~ 세션을 열면 PCÉ는 클라이언트와의 통신을 보호하기 위해 X~.509 서버 인증서를 제공합니다.설치 중에 서버 인증서는 인증서 번들의 일부로 PCÉ에 업로드됩니다. 이 번들에는 서버 인증서와 C~Á 인증서 세트 (중간 또는 루트) 가 들어 있어 루트 CÁ에 신뢰 체인을 다시 설정하기 위한 인증서 번들의 일부로 P~CÉ에 업로드됩니다.]

[X.509 인증서는 일반적으로 Díg~ícér~t, Vér~ísíg~ñ, GóD~áddý~ 및 Léts~Éñcr~ýpt와 같은 공공 인증 기관 (C~Á) 에서 발급합니다.또한 고객은 자체 사설 CÁ (내부 C~Á) 에서 발급한 인증서를 사용하거나 자체 서명된 인증서를 사용할 수 있습니다.인증서 발급 방법에 관계없이 클라이언트는 이 인증서에 대해 루트 CÁ에 대한 신뢰 체인을 다시 검증할 수 있어야 합니다. 그렇지 않으면 T~LS 핸드셰이크가 실패하고 보안 통신 채널을 설정할 수 없습니다.]

[PCÉ 인증서 확인]

[PCÉ를 처음 배포하는 동안 사용자는 일반적으로 다양하고 복잡한 요구 사항이 충족되는지 확인하기 위해 인증서를 검증해야 합니다.Í~llúm~íó PC~É에는 특정 배포 기준에 대한 인증서 검사를 자동화하여 사용자를 지원하는 인증서 검사 도구가 함께 제공됩니다.]

[Íllú~míó P~CÉ의 인증서 패키지는 다음 기준을 충족해야 합니다.]

• [PÉM으로 인코딩된 인증서를 포함해야 합니다.]
• [인증서는 허용 가능한 서명 알고리즘을 사용하여 서명됩니다.]
• [패키지에는 루트 CÁ에 대한 신뢰 체인을 다시 설정하는 데 필요한 모든 CÁ~ 인증서 (중간 및/또는 루트) 가 포함되어야 합니다.사설 CÁ에서 인증서를 생성한 경우 패키지에는 루트 CÁ~로 다시 연결되는 신뢰 체인의 모든 인증서와 모든 중간 CÁ 인증서가 포함되어야 합니다.]
• [서버 인증은 번들의 첫 번째 인증서여야 합니다.]
• [번들의 모든 인증서는 현재 날짜에 유효해야 합니다.]
• [인증서는 주체 및 SÁÑ (주체 대체 이름) 필드 모두에서 P~CÉ FQ~DÑ과 일치해야 합니다.]
• [인증서는 서버 인증과 클라이언트 인증을 모두 지원해야 합니다.]

[마찬가지로 X.509 인증서와 일치하는 개인 키는 다음 기준에 따라 각 PCÉ~ 노드에 설치해야 합니다.]

• [개인 키는 PÉM으로 인코딩되어야 합니다.]
• [파일은 DÉR, P~KCS7/P~7B, PKC~S8 또는 PKC~S12/PFX~와 같은 다른 방식으로 인코딩해서는 안 됩니다.]
• [파일은 암호로 보호되지 않아야 합니다.]

[시간이 지나면서 Íllú~míó는 기업에서의 P~CÉ 배포가 인증서 생성 및 배포와 관련하여 여러 가지 문제에 직면한다는 사실을 알게 되었습니다.]

[예를 들어, PCÉ F~QDÑ에 대한 인증서가 발급되지 않았거나, 여러 노드의 호스트 이름이 S~ÁÑ 필드에 제대로 포함되지 않았거나, 인증서의 Éx~téñd~éd Ké~ý Úsá~gé 필드에 올바른 옵션 집합이 제공되지 않을 수 있습니다.마찬가지로, 설치 프로세스 중에 파일 또는 디렉터리에 대한 올바른 권한 없이 인증서를 설치하거나 설치 중에 신뢰 체인의 일부가 누락될 수 있습니다.]

[이러한 문제는 초기 설치 프로세스에만 국한되며 이후에도 계속될 수 있습니다.PCÉ가 4노드 클러스터에서 6노드 클러스터로 확장되는 경우 새 노드의 F~QDÑ을 S~ÁÑ 필드에 포함하도록 인증서를 업데이트해야 합니다.인증서를 사용하는 수작업을 줄이기 위해 Íl~lúmí~ó는 인증서를 자동으로 검사하는 “íll~úmíó~-pcé-é~ñv”라는 관리 명령줄 도구를 제공합니다.]

[이 도구는 다음과 같은 다양한 사용 사례에 대해 인증서를 검증할 수 있는 몇 가지 옵션을 제공합니다.]

1. [신뢰 체인 및 기타 측면을 포함한 기본 테스트를 통해 TLS 인증서의 유효성을 검사하려면 다음 명령을 실행합니다.]
2. [일루미오-pcé-é~ñv 설정 --lí~st]
4. [“--líst~” 옵션을 지정하면 구성 및 인증서를 확인하고 반환 코드를 설정하여 발생 가능한 문제를 나타냅니다.이는 문제를 빠르게 확인할 수 있는 방법이며 Chéf~, Áñsí~blé 또는 기타 설치 스크립트의 일부로 호출할 수 있습니다.]
6. [신뢰 체인 및 기타 측면을 포함한 기본 테스트를 통해 TLS 인증서의 유효성을 검사하려면 다음 명령을 실행합니다.]
7. [일루미오-pcé-é~ñv 설정 —목록 —테스트 5]
9. [이전 명령이 실패할 경우 관리자는 무엇이 잘못되었는지 정확히 찾아내기를 원할 수 있습니다.이를 돕기 위해 --tést~ 옵션을 사용하여 상세도 수준 인수 (1 (최소) ~ 5 (최대)) 를 지정할 수 있습니다.상세 수준 5를 사용하면 명령은 실행된 테스트에 대한 정보 및 각 테스트의 결과를 포함하여 인증서 검증의 각 단계에 대한 세부 결과를 표시합니다.이를 통해 인증서 또는 신뢰 체인의 정확한 문제를 진단할 수 있습니다.]
11. [대체 도메인 이름으로 인증서를 검증하려면 다음 명령을 실행합니다.]
12. [íllú~míó-p~cé-éñ~v 설정 --lís~t —tés~t 5:sóm~é.Ált~érñá~tívé~.Hóst~áñdD~ómáí~ñÑám~é]
14. [운영 중인 PCÉ에 사용할 F~QDÑ 계획이 테스트 배포와 다르거나 P~CÉ를 4노드 클러스터에서 6노드 클러스터로 확장하는 경우 SÁ~Ñ 필드에 올바른 호스트 이름이 포함되어 있는지 확인해야 합니다.SÁÑ~ 필드에서는 와일드카드를 사용할 수 있으므로 유효한 호스트 이름을 수동으로 확인하기가 약간 까다롭습니다.이 구문은 인증서와 체인을 지정된 sómé~.Álté~rñát~ívé.H~óstá~ñdDó~máíñ~Ñámé~과 비교하여 검사합니다.]
16. ['+' 구문을 사용하는 엔드 투 엔드 테스트로 인증서를 검증하려면 다음 명령을 실행합니다.]
17. [일루미오-pcé-é~ñv 설정 --lí~st --té~st 5+]
19. [여기서 테스트할 인수는 “5+”입니다.때때로 인증서의 정적 테스트로는 충분하지 않을 수 있으며 관리자는 운영 체제 TLS 라이브러리를 사용하여 인증서의 전체 종단 간 테스트를 통해 시스템의 유효성을 검사하고자 할 수 있습니다.이는 인증서의 실제 런타임 사용을 에뮬레이션합니다.'~+' 구문은 포트 4433에서 실행되는 루프백 Ópé~ñSSL~ 서버를 생성하고 cúrl~ 명령을 사용하여 TLS 연결을 설정하려고 시도합니다.]
21. [인증서를 계획된 생산 위치에 복사하기 전에 인증서의 유효성을 검사하려면 다음 명령을 실행합니다.]
22. [íllú~míó-p~cé-éñ~v 설정 --bát~ch --lí~st\ ém~áíl=필수 @é~máíl~áddr~éss 노드=값\ c~ért=/p~áth/t~ó/cér~t\ pké~ý=/pát~h/tó/p~rívá~té_k~éý\ tr~úst=/p~áth/t~ó/cér~tífí~cáté~_chá~íñ\ --té~st 5]
24. [관리자가 인증서를 실제로 설치하지 않고 인증서를 확인하려는 경우 이를 허용하는 구문이 있습니다.이 방법은 새 인증서를 배포한 후 관리자가 해당 인증서가 PCÉ 요구 사항을 충족하는지 확인하려는 경우에 사용됩니다.]

[íllú~míó-p~cé-éñ~v 도구로 표시되는 전체 메시지 목록과 잠재적 오류 메시지의 전체 목록은 Íll~úmíó~ PCÉ 설명서를 참조하십시오.]

[요약하면 TLS와의 통신 보안에 사용되는 X~.509 인증서는 요구 사항이 다양하고 복잡하므로 관리자가 검증하기가 부담스러울 수 있습니다.Íllú~míó Á~SP는 기본 테스트부터 전체 전체 테스트, 배포 전 보다 정확하고 정밀한 테스트에 이르기까지 다양한 요구 사항에 맞게 인증서를 검증할 수 있는 다양한 옵션을 갖춘 명령줄 도구를 제공합니다.]

[이 블로그 게시물이 Íllú~míó P~CÉ의 잘 알려지지 않은 유용한 기능에 대한 통찰력을 제공하는 데 도움이 되었기를 바랍니다.더 궁금한 점이 있으면 [ém~áíl p~róté~ctéd~] 으로 문의하십시오. 이 시리즈의 다음 내용을 다루는 다른 게시물을 확인하는 것도 잊지 마세요.]

• [색각 결핍 필터]
• [Ámáz~óñ S3 버킷으로 로그 내보내기]
• [브로드캐스트 및 멀티캐스트 필터]