이번 포스팅은 x.509 인증서에 대하여 알아보도록 하겠습니다.
1. X.509 인증서 정의
CA가 인증서를 발급할 때, 인증서에 들어가는 항목의 종류와 항목의 값들을 CA 나름대로 기입한다면 인증서를 사용하는 사용자마다 다른 형식의 인증서를 가지고 있을 것이기 때문에 인증서의 내용을 이해하는데 문제가 있을 것입니다.
따라서 인증서를 작성함에 있어서 어떤 표준이 있어야 합니다. 현재 가장 널리 사용되고 있는 공개키 인증서의 표준은 X.509 형식 입니다. X.509라는 것은 표준 번호입니다. 그래서 이 형식대로 작성된 인증서를 X.509 라고 부르는 것입니다.
X.509 인증서란 이름은 1988년에 CCITT에서 발행된 문서로부터 처음 알려지게 되었습니다. 현재 X.509 인증서는 버전 3까지 발표된 상태입니다. 버전 3인 X.509 인증서를 “X.509 v3”이라고. 그리고 이 X.509 인증서는 IETF에 의해 현재 인터넷의 표준 인증서 형식으로 정해지게 되었습니다.
2. X.509 인증서 항목
현재 X.509 인증서의 버전은 3이라고 했습니다. 이 버전3의 X.509 인증서와 이전의 X.509 인증서와 다른 점은 버전 3에는 Extension이라고 하는 섹션이 추가되었다는 것입니다. 이 Extension 섹션은 여러 개의 항목으로 구성되어 있는데, 필수 적인 항목이 아니라 추가적인 사항을 나타내는 항목들로 구성되어 있습니다.
그럼 자세히 X.509 인증서(버전 3)에 들어가는 항목을 알아보겠습니다. Extension 항목은 중요한 것만 설명했습니다..
| 항목명 | 필수/옵션 여부 | 설명 |
| 필수 정보 | ||
| Version | 필수 | 인증서의 버전으로 v3의 값이 들어간다 |
| SerialNumber | 필수 | 인증서 고유의 일련 번호 |
| Signature | 필수 | 발급자의 서명 |
| Issuer | 필수 | 발급자의 정보. DN (distinguished name)형식으로 들어갑니다. |
| Validity | 필수 | 인증서의 유효 기간. 시작 날자와 종료 날자가 함께 들어 갑니다. |
| Subject | 필수 | 주체의 정보. DN (distinguished name)형식으로 들어갑니다. |
| SubjectPublicKeyInfo | 필수 | 주체의 공개키 |
| Extension | ||
| SubjectAltName | 필수/옵션 | 주체의 다른 이름을 나타냅니다. 여기서는 DN형식이 아니라 어떤 종류의 값이라도 들어갈 수 있습니다. 주로 주체의 도메인 네임이 들어갑니다. |
| PolicyMappings | 옵션 | 정책 정보를 다른 정책들과 연결 할 수 있는 정보를 제공합니다. |
| NameConstraints | 옵션 | |
| PolicyConstraints | 옵션 | 인증서 경로의 제약 사항을 정합니다. |
| IssuerAltName | 옵션 | 발급자의 다른 이름. 여기서는 DN형식이 아니라 어떤 종류의 값이라도 들어 갈 수 있습니다. 주로 발급자의 도메인 네임이 들어갑니다. |
| AuthorityKeyIdentifier | 옵션 | 발급자의 키를 나타낼 수 있는 키의 이름을 정합니다. |
| SubjectKeyIdentifier | 옵션 | 주체의 키를 나타낼 수 있는 키의 이름을 정합니다. |
| BasicConstraints | 필수/옵션 | 제약 사항. 주로 이 인증서가 다른 인증서를 발급 할 수 있는 권한이 있는지 없는지를 나타냅니다. |
| CRLDistributionPoints | 옵션 | 이 인증서의 CRL을 얻을 수 있는 곳을 정합니다. |
| KeyUsage | 옵션 | 인증서에 기입된 공개키가 사용되는 보안 서비스의 종류를 결정합니다. 보안 서비스의 종류는 서명, 부인방지, 전자 서명, 키교환 등이 있습니다. |
위의 표의 항목 중에 주체의 정보와 발급자의 정보에 해당하는 항목이 있습니다. 이 항목에는 DN (distinguished name) 형식으로 주체와 발급자의 정보를 넣게 됩니다. DN의 항목들과 설명은 다음 표와 같습니다.
| 항목 | 설명 | DN 항목 | 예 |
| countryName | 2자리의 국가를 나타내는 코드를 넣습니다. | C | KR |
| stateOrProvinceName | 주 이름을 넣는데, 우리나라는 주가 없으므로 도나,시정도를 넣습니다. | ST | <st1:city w:st="on">SEOUL</st1:city> |
| localityName | 시 이름을 넣으면 됩니다. 편한대로 구이름을 넣어도 됩니다. | L | SOCHO |
| organizationName | 소속 기관명을 입력합니다. | O | SearchCast |
| organizationalUnitName | 소속 부서명을 입력합니다. | OU | Web Dev |
| commonName | 주체를 나타낼수 있는 이름을 입력합니다. | CN | NTT_Test_CA |
| emailAddress | 이메일 주소를 입력합니다. | emailAddress | ntt@searchcast.net |
위 표의 예를 사용해서 실제로 X.509 인증서에 들어가는 subject 항목에 대한 값을 구성하면 다음과 같습니다.
| Subject: C=KR, ST=<st1:city w:st="on">SEOUL</st1:city>, L=SOCHO, O=SearchCast, OU=Web Dev, CN=NTT_Test_CA/emailAddress=ntt@searchcast.net |
이런 형식으로 주체와 발급자의 정보를 인증서안에 표시하게 됩니다.
앞서 설명한 X.509 인증서의 항목에 대한 값들이 실제 인증서에 어떻게 들어가 있나 살펴보시기 바랍니다.
| -------------------------------------------------------------------- Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1WithRSAEncryption Issuer: C=KR, ST=<st1:city w:st="on">SEOUL</st1:city>, L=SOCHO, O=SearchCast, OU=Web Dev, CN=NTT_Test_CA/emailAddress=ntt@searchcast.net Validity Not Before: Jan 22 05:45:36 2003 GMT Not After : Jan 22 05:45:36 2004 GMT Subject: C=KR, ST=<st1:city w:st="on">SEOUL</st1:city>, O=TestCompany, OU=TestDep, CN=TestCert/emailAddress=test@testcompany.co.kr Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c7:97:b3:f2:2b:b2:7f:b4:d4:ec:ce:a4:4d:aa: c6:0c:08:ab:02:62:9a:ad:f6:c3:b5:b1:0a:fa:ca: d1:a2:8f:e6:e7:76:04:ca:dc:da:cd:d9:ef:dc:cc: f2:ba:d0:8c:e6:13:86:7c:36:b9:f8:86:10:4c:80: 3b:9f:93:a6:aa:6a:3c:18:a8:20:80:27:c9:24:e0: b5:41:f5:14:12:07:4b:13:f6:bb:87:48:cf:ef:b4: e6:e0:9c:52:aa:3b:f4:f0:f0:c0:94:06:98:9d:ba: f7:6e:89:ad:48:fe:a7:9b:e2:6c:c3:b0:58:76:8e: 1c:b9:43:be:8b:3a:79:18:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate by NTT X509v3 Subject Key Identifier: DF:F6:BC:5F:80:D9:C7:AB:58:FB:94:42:92:B0:26:1E:F0:59:C8:1C X509v3 Authority Key Identifier: DirName:/C=KR/ST=SEOUL/L=SOCHO/O=SearchCast/OU=Web Dev/CN=NTT_Test_C A/emailAddress=ntt@searchcast.net serial:00 Signature Algorithm: sha1WithRSAEncryption 88:ff:26:1a:7f:a2:59:8d:19:31:fc:b8:cf:8b:b8:9a:8d:7f: db:82:45:51:f9:94:df:08:05:b2:7d:16:56:ed:7d:60:30:bf: e1:7c:27:bf:24:b2:f8:88:36:70:db:7a:4d:de:7c:55:82:7f: 94:30:0a:82:d1:9d:ae:ae:48:a0:88:47:e2:f7:2e:88:bb:46: 31:8a:2b:b0:ab:93:15:94:71:3d:88:90:12:85:01:51:39:87: 66:8f:d1:7c:86:23:ed:d6:33:b3:d2:a0:82:7b:5b:e7:ac:a7: 24:59:00:97:9d:06:f0:79:2f:d0:49:4c:a9:33:90:f6:b4:85: 5b:dc -----END CERTIFICATE---------------------------------------------------------- |
3. X.509 인증서가 저장되는 여러 가지 형식들
앞에서 X.509 인증서의 실제 모습을 보았습니다. 하지만 사실 X.509 인증서는 앞에서 본 모습대로 저장되는 것은 아닙니다.
앞에서 본 인증서의 모습은 사람이 보기 편하게 X.509 인증서의 내용을 재 구성한 것입니다. 하지만 실제의 인증서는 위의 예에서처럼 사람이 보기 편하게 텍스트 형식으로 저장되지 않습니다.
X.509 표준의 인증서 형식은 ASN.1 (Abstract Syntax Notation One)이라는 명명 규칙을 따릅니다. 그런데 이 ASN.1 표기 방식은 매우 복잡합니다. ASN.1 은 C 언어 같은 프로그래밍 언어와 비슷합니다. 많은 변수 형식이 있고, 많은 구조체 데이터 저장 형식이 있습니다. 인증서의 각 항목은 OID라는 일련번호로 나타낼 수 있으며 항목의 데이터는 ASN.1 타입의 데이터로 표현됩니다..
이러한 이유로 ASN.1 형식에 대한 자세한 설명은 하지 않겠습니다. X.509 인증서의 각 항목의 내용은 ASN.1의 형식에 맞게 저장된다고만 알아 두시면 되겠습니다.
대신 실제로 우리가 앞으로 인증서를 사용할 때 자주 보는 파일 저장 형식에 관해서 설명하겠습니다.그것은 PEM 형식과 DER 형식입니다.
ASN.1 형식으로 되어 있는 X.509 인증서의 내용을 파일로 저장할 때 주로 두 가지 종류의 형식으로 저장합니다.
첫 번째는 X.509 인증서 내용을 base64 encoding으로 인코딩하여 저장하는 것입니다.
두 번째는 X.509 인증서 내용을 바이너리 형태로 저장하는 것입니다.
첫 번째 형식을 PEM, 두 번째 형식을 DER이라고 합니다.
원래 PEM은 암호화된 메일을 나타내는 확장자입니다. DER과 PEM의 차이는 위에서 설명했던 ASN.1 형식으로 되어 있는 X.509 인증서 내용을 base64 encoding으로 인코딩하여 저장하는 것 과 X.509 인증서 내용을 바이너리 형태로 저장 하는 것의 차이입니다..
그럼 실제로 어떤 모습으로 저장되는지 보겠습니다.
PEM 형식은 영문자와 숫자, 그리고 몇 개의 기호로만 저장되기 때문에 사람이 보기에 편하고 다루기 쉽다는 장점이 있습니다. 따라서 앞으로 우리가 인증서나 공개키 같은 내용을 파일로 저장할 때에는 주로 PEM형식으로 저장하게 될 것입니다.
Reference
'Development > Security' 카테고리의 다른 글
| [Security] 전자서명 (0) | 2019.09.05 |
|---|---|
| [Security] 공개키 인증서 (0) | 2019.09.04 |
| [Security] 대칭키 암호화 Padding 과 Mode (0) | 2019.08.29 |
| [Security] Android KeyChain을 사용하여 대칭 키를 안전하게 저장 (0) | 2019.08.29 |
| [Security] 대칭키 암호화 (0) | 2019.08.29 |