[Dongclee의 2012년 5월 세 번째 포스팅] Windows Server 2012 Series 10 : 무거운 CRL(Certificate Revocation List)을 버리고, 날렵한 OCSP(Online Certificate Status Protocol)을 사용합시다
안녕하세요,,, 최근 Windows Server 2012 Hyper-V에 관한 포스팅을 지속적으로 준비 중이었습니다. 그런데, 최근 제 동료가 CRL(Certificate Revocation List) 때문에, 고객사에서 큰 혼란이 발생했다고 저에게 얘기해 주더라구요,,, 즉, CRL 갱신이 클라이언트에게 정상적으로 전달되지 못 해서 발생하는 문제였습니다. 사실 클라이언트 OS가 Windows Vista 이상이면, Windows Server 2008 에서부터 지원되는 OCSP(Online Certificate Status Protocol) 서비스를 구축하여, CRL을 더 이상 사용하지 않고, OCSP를 사용하여 “해지 인증서(Revocation Certificate)”를 확인할 수 있습니다. OCSP는 Microsoft 사의 독창적인 프로토콜이 아니라, “해지 인증서”를 HTTP를 통해 확인할 수 있는 IEEE 표준의 프로토콜입니다.
본 포스팅에서는 OCSP 구축을 위해 Windows Server 2012 서버를 사용하였습니다. Windows Server 2008 및 R2의 OCSP 구축과 약간의 UI 차이만 있을 뿐, 큰 차이점은 없습니다. 제 포스팅의 대부분은 제가 거의 직접 시나리오를 구성하여 진행하지만, 이번 포스팅의 대부분은 아래 링크의 한글 자료를 참조하였고, 제가 필요한 설명을 추가하였습니다. 이 점 양해해 주셨으면 합니다.
- 온라인 응답자 ( https://technet.microsoft.com/ko-kr/library/cc754223 )
- 온라인 응답자(Microsoft OCSP 응답자) 설치, 구성 및 문제 해결 ( https://technet.microsoft.com/ko-kr/library/cc770413(v=ws.10).aspx )
좀 더 구체적으로 OCSP는 무엇일까요?
OCSP는 인증서 상태 정보에 대한 개별 클라이언트 요청을 받아 응답하는 신뢰할 수 있는 서버입니다. OCSP는 인증서 유효성에 대한 정보를 전달하기 위한 일반적인 두 가지 방법 중 하나로 사용됩니다. 주기적으로 배포되며 해지되었거나 일시 중단된 모든 인증서에 대한 정보를 포함하는 CRL(인증서 해지 목록)과 달리, OCSP는 인증서 상태 정보에 대한 클라이언트의 개별 요청만 받아 응답합니다. 요청당 검색되는 데이터 양은 해지된 인증서 수에 관계없이 일정하게 유지됩니다.
여러 환경에서 OCSP는 CRL을 사용할 때보다 더 효율적으로 인증서 상태 요청을 처리할 수 있습니다. 예를 들면 다음과 같습니다.
- 클라이언트가 네트워크에 원격으로 연결되어 있으며 대용량 CRL을 다운로드 하는 데 필요한 고속 연결이 필요하지도, 이러한 연결을 갖추고 있지도 않습니다.
- 동시에 많은 수의 사용자가 로그온 하거나 서명된 전자 메일을 보낼 때와 같이 네트워크에서 너무 많은 해지 확인 작업을 처리해야 합니다.
- 조직에 타사 CA(인증 기관)에서 발급한 인증서의 해지 데이터를 배포하기 위한 효율적인 수단이 필요합니다.
- 조직에서 해지되었거나 일시 중단된 모든 인증서에 대한 정보를 사용할 수 있게 하는 대신 개별 인증서 상태 요청을 확인하는 데 필요한 해지 확인 데이터만 제공하려고 합니다.
Microsoft Online Responder는 OCSP 프로토콜을 구현합니다. 인증서를 받는 사람은 이 프로토콜을 통해 HTTP(Hypertext Transfer Protocol)를 사용하여 OCSP 응답자에게 인증서 상태 요청을 전송할 수 있습니다. 이 OCSP 응답자는 인증서 상태를 나타내는 디지털로 서명된 최종 응답을 반환합니다. 요청당 검색되는 데이터 양은 CA의 해지된 인증서 수에 관계없이 일정합니다.
본 포스팅의 데모 환경은 아래와 같이 간단합니다.
Microsoft Online Responder는 외부 네트워크의 클라이언트들이 접근할 수 있도록, 필요시 ISA 및 TMG를 통해 외부 클라이언트에 공개할 수도 있습니다. 이러한 외부 공개 URL도 AIA(Authority Information Access) 정보에 포함시켜서 외부 클라이언트들이 접근 가능하게 할 수 있습니다.
CRL은 크기 및 배포에 있어서 관리자의 어려움을 가중시키는 구조입니다. 이제, 더 이상 무거운 CRL을 벗어 던지고, OCSP를 구축하여 “해지 인증서” 확인을 좀 더 효율적으로 할 수 있도록 해야 합니다.
여러분 다음 번 포스팅까지 늘 즐겁게 사세요 ^-^