Private CA 사용
    • PDF

    Private CA 사용

    • PDF

    기사 요약

    Classic/VPC 환경에서 이용 가능합니다.

    Private CA에서는 사설 CA를 운영하여 사설 인증서를 안전하게 발급하고 관리, 폐기할 수 있습니다. 폐기한 인증서의 경우 별도 목록으로 관리하고 정보도 확인할 수 있습니다.

    참고

    Private CA 사용에서는 인증 관련 다양한 용어가 등장합니다. 이해를 돕기 위해 Private CA 용어를 반드시 참고해 주십시오.

    Private CA 화면

    Private CA 이용을 위한 기본적인 설명은 다음과 같습니다.

    privateca-use_01_ko

    영역설명
    ① 메뉴 이름서비스 이름과 생성한 CA 개수
    ② 기본 기능CA 생성, Private CA 상세 정보 확인, Private CA 화면 새로고침
    ③ 생성 후 기능CA 인증서 확인, 권한 관리, 비활성화 및 삭제 설정, 사설 인증서 발급 및 폐기
    ④ CA 목록CA 목록 및 상세 정보 확인, OCSP 관리, 인증서 등록, 만료 인증서 삭제

    CA 목록 확인

    생성한 CA 목록에서 각 CA별 정보를 확인할 수 있습니다. 확인하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에 접속해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    4. 생성한 CA 목록이 나타나면 요약 정보를 확인하거나 CA를 클릭하여 상세 정보를 확인해 주십시오.
      privateca-use_02_ko
      • 타입: 사설 CA의 이름
      • 이름: 사설 CA의 이름
      • 만료 일시: 사설 CA의 유효 기간 종료 날짜
      • 상태: 사설 CA의 운영 상태로 자세한 내용은 CA 상태 참고
      • CA Tag: 고객이 리소스 확인 시 사용하는 CA 고유 식별자
      • 일반 이름(Common Name): 주체(발급자)의 일반 이름
      • 생성 일시: 사설 CA를 생성한 날짜
      • 발급 인증서: CA에서 발급한 인증서 개수
        • clouddbforredis_ico-02_vpc_ko: 클릭 시 발급된 사설 인증서 일련 번호 목록 확인이 가능하며 일련 번호 클릭 시 인증서 파일을 로컬 CP에 다운로드 가능
          privateca-use_20_ko
      • CA 발급자: 로 자세한 내용은 CA 정보 URL 참고
      • CRL 배포 지점: 인증서 폐기 목록(Certificate Revocation List) URL 정보로 자세한 내용은 CA 정보 URL 참고
      • OCSP: 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol) URL 정보로 자세한 내용은 CA 정보 URL 참고
      • 메모: CA에 대한 추가 정보
      • [CSR 다운로드] 버튼: 등록 대기 상태의 CA 활성화를 위한 서명 요청 파일
      • [인증서 등록] 버튼: 등록 대기 상태의 CA 활성화를 위해 서명한 인증서와 발급 CA의 인증서를 등록하려는 경우 클릭

    CA 상태

    CA 상태에 따라 기본 기능의 이용 가능 여부가 달라집니다. 상태별 이용 가능한 기본 기능 정보는 다음과 같습니다.

    CA 인증서 보기권한 관리비활성화/활성화삭제 요청사설 인증서 발급사설 인증서 폐기
    활성OO비활성화 OOOO
    비활성OX활성화 OOXX
    등록 대기OXXOXX
    만료OXXXXX
    삭제 예정OXX-XX
    완전 삭제XXXXXX

    CA가 비활성 상태가 되면 기본적으로 조회 기능을 제외한 기타 기능의 수행이 불가능합니다. 특히 인증서 발급이 불가능할 뿐 아니라 이미 발급된 인증서도 인증 방법에 따라 신뢰되지 않을 수 있으며 배포된 URL을 통한 기능을 이용할 수 없습니다. 따라서 CA 상태는 중요하게 관리되어야 하며, 상태 변경을 초래하는 비활성화/활성화 및 삭제 요청 기능은 신중하게 진행해 주십시오.

    참고

    만료된 CA는 [지금 삭제] 버튼을 클릭하여 완전 삭제할 수 있으며 복구는 불가능합니다.
    privateca-use_21_ko

    CA 정보 URL

    사설 인증서에는 인증서 검증과 조회에 필요한 정보를 조회할 수 있도록 세 종류의 URL 포인트가 명시됩니다.

    privateca-use_03_ko

    통신 연결 시 프로토콜 내부에서 자동으로 조회할 수도 있고, 해당 URL을 통해 직접 조회도 가능합니다. Private CA로 발급하는 사설 인증서에 포함되는 CA 정보 URL은 기본 제공되기도 하고, 사용자의 필요에 따라 포함되어 제공되기도 합니다. CA 정보 URL의 제공 여부는 다음과 같습니다.

    • 발급자 체인(Issuer Chain): Private CA에서 기본 제공
    • 인증서 폐기 목록(Certificate Revocation List, CRL): Private CA에서 기본 제공
    • 온라인 인증서 상태 프로토콜 (Online Certificate Status Protocol, OCSP): 사용자 필요 시 Private CA에서 제공. 자세한 정보는 6. OCSP 관리 참고

    사설 CA 생성

    사설 CA를 생성합니다. Private CA에서는 루트 CA와 중간 CA 모두 생성이 가능합니다. CA를 생성하기 위해 다음의 1.~4.는 필수적으로 진행해야 하는 단계입니다. 5. 인증서 등록은 중간 CA를 직접 서명 방식으로 생성하려는 경우에만 진행하는 단계입니다. 6. OCSP 관리는 OCSP 생성을 원하는 사용자에 한해 진행하는 단계입니다.
    루트 CA나 중간 CA를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에 접속해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    4. [이용 신청] 버튼을 클릭해 주십시오.
      privateca-use_04_ko
    5. 이용 신청 화면이 나타나면 다음 단계를 차례대로 진행해 주십시오.
    참고

    네이버 클라우드 플랫폼 포털의 서비스 > Security > Private CA 에 있는 [이용 신청하기] 버튼을 클릭하면 4.의 화면으로 바로 이동할 수 있습니다.

    1. 일반 설정

    사설 CA 생성을 위한 일반 정보를 설정합니다. 설정하는 방법은 다음과 같습니다.

    1. 일반 설정 화면이 나타나면 필요한 정보를 입력해 주십시오.
      privateca-use_05_ko
      • 타입: 생성할 CA 종류 선택
      • 이름: 생성할 CA의 이름을 영어로 시작하되 영어, 숫자, 특수문자(-,_)를 조합하여 3~15자 사이로 입력
      • 메모: 생성할 CA에 대한 추가 정보를 1000바이트 이하로 입력
    2. [다음] 버튼을 클릭해 주십시오.

    2. 기본 정보 입력

    생성할 CA에 대한 기본적인 정보를 설정합니다. 1. 일반 설정에서 선택한 타입과 2. 기본 정보 입력에서 선택한 방식에 따라 입력해야 하는 기본 정보는 다음과 같습니다.

    • 루트 CA를 선택한 경우: 유효 기간, 키 타입
    • 중간 CA를 선택하고 상위 CA 지정 방식을 선택한 경우: 상위 CA, 유효 기간, 키 타입
    • 중간 CA를 선택하고 직접 서명 방식을 선택한 경우: 키 타입
    참고

    인증서의 유효기간은 서명 시점에 설정하기 때문에 직접 서명 방식의 경우에는 유효기간을 지정할 수 없습니다.

    설정하는 방법은 다음과 같습니다.

    1. 기본 정보 입력 화면이 나타나면 필요한 정보를 입력하거나 선택해 주십시오.
      privateca-use_06_ko
      • 상위 CA: 중간 CA를 생성하는 경우 클릭하여 선택
        • 상위 CA 지정 방식: Private CA에 이미 생성되어 있는 CA를 발급자(Issuer) 역할로 자동 지정하려는 경우 원하는 CA를 클릭하여 선택
        • 직접 서명 방식: 고객이 직접 관리하는 CA를 사용하여 진행하려는 경우 직접 서명을 클릭하여 선택
      참고

      루트 CA를 생성하는 경우 상위 CA 항목은 비활성화되어 선택할 수 없습니다.

      • 유효기간: 생성할 CA 수명을 1~3650일 사이로 입력. 지정 가능한 최대 기간으로 설정하려면 'MAX' 입력
      • 키 타입: 생성할 CA에 사용할 공개키 암호화 알고리즘을 클릭하여 선택
        • RSA2048: RSA(Rivest-Shamir-Adleman) 알고리즘의 한 종류로 자세한 설명은 RFC7518 참고
        • RSA4096: RSA(Rivest-Shamir-Adleman) 알고리즘의 한 종류로 자세한 설명은 RFC7518 참고
        • EC256: EC(Elliptic Curves) 알고리즘의 한 종류로 자세한 설명은 Certicom 자료 참고
        • EC521: 알고리즘의 한 종류로 자세한 설명은 Certicom 자료 참고
    2. [다음] 버튼을 클릭해 주십시오.
    참고

    중간 CA 생성 시 유효 기간은 상위 CA의 만료일을 초과하여 설정할 수 없습니다.

    3. 고급 설정 정보 입력

    생성할 CA에 대한 고급 설정 정보를 설정합니다. 설정할 수 있는 고급 설정 정보는 다음과 같습니다.

    • 주체 정보(Subject Info): 인증서 소유자 주체 식별 정보
    • 주소 정보(Address Info): 인증서에 기재할 주소 정보
    • SANs 정보(Subject Alternative Names Info): 멀티 도메인 인증서 생성을 위한 정보(인증서 하나로 함께 보안을 유지할 DNS/Email, IP 정보)
    참고

    CA 인증서는 일반적으로 SANs 설정이 필요하지 않기 때문에 SANs 정보는 필수 설정값이 아닙니다.

    설정하는 방법은 다음과 같습니다.

    1. 고급 설정 정보 입력 화면이 나타나면 주체 정보(Subject Info)를 입력해 주십시오.
      privateca-use_07_ko
      • 일반 이름(Common Name): 인증서 소유자 주체를 식별할 수 있는 고유 정보나 발급자의 일반적인 이름
      • 조직(O): 인증서 소유자 주체의 조직 정보
      • 부서(OU): 인증서 소유자 주체의 부서 정보
    2. 주체 정보(Subject Info) 설정을 완료한 후 주소 정보(Address Info)를 클릭하여 선택하거나 입력해 주십시오.
      privateca-use_08_ko
      • 국가: 인증서에 기재할 국가 정보
      • 도(State/Province): 인증서에 기재할 주/도나 지방 이름 정보
      • 시(Locality): 인증서에 기재할 도시 이름 정보
      • 상세주소(Street/Address): 국가, 도, 시 외에 인증서에 기재할 나머지 주소 정보
    3. 주소 정보(Address Info) 설정을 완료한 후 SANs 정보(Subject Alternative Names Info)를 입력해 주십시오.
      privateca-use_09_ko
      • DNS/Email SANs: 도메인/호스트 네임이나 메일 주소를 입력하되 2개 이상 입력 시 쉼표로 구분. 도메인 입력 시 특수문자 * 사용 가능
      • IP SANs: IP 주소를 입력하되 2개 이상 입력 시 쉼표로 구분
    4. [다음] 버튼을 클릭해 주십시오.

    4. 확인

    생성할 CA 정보를 확인한 다음 생성을 시작합니다.

    1. CA 정보 확인 화면이 나타나면 생성 정보를 확인한 후 [생성] 버튼을 클릭해 주십시오.
      privateca-use_10_ko
    2. 중간 CA를 직접 서명 방식으로 생성한 경우 CA 등록 대기 팝업 창이 나타나면 [확인] 버튼을 클릭해 주십시오.
    3. 생성한 CA 목록이 나타나면 결과를 확인해 주십시오.

    5. 인증서 등록

    중간 CA를 직접 서명 방식으로 생성한 경우 CSR(서명 요청 파일)이 생성됩니다. CSR이 생성된 시점에서 24시간 이내에 서명하여 인증서를 등록해야 합니다. 24시간 이내에 인증서를 등록하지 않은 경우 CSR은 자동 삭제됩니다. 서명하여 인증서를 등록하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 인증서 서명을 위해 등록 대기 상태인 중간 CA의 [CSR 다운로드] 버튼을 클릭해 주십시오.
      privateca-use_11_ko
    4. CSR 파일 서명 방식에는 여러 가지가 있지만 openssl을 이용하면 손쉽게 CSR을 서명하여 인증서를 발급할 수 있습니다. 다음은 openssl을 이용하여 직접 관리하는 CA의 개인키 my_local_ca.key로 다운로드한 CSR 파일을 서명 365일의 유효 기간을 가지는 인증서 TEST_SUB_crt.pem을 생성하는 명령 예시입니다.
      openssl x509 -req -days 365 -in MY_SUB_csr.pem -signkey my_local_ca.key -out TEST_SUB_crt.pem
    5. 서명한 인증서와 발급 CA의 인증서를 등록하기 위해 등록 대기 상태인 중간 CA의 [인증서 등록] 버튼을 클릭해 주십시오.
      privateca-use_12_ko
      주의

      발급 CA의 인증서는 CA의 개인키가 아니므로 이용 시 주의해 주십시오.

    6. 인증서 등록 팝업 창이 나타나면 필요한 정보를 등록해 주십시오.
      privateca-use_13_ko
      • 인증서 체인: 발급 CA가 계층 구조로 구성되어 있는 경우 상위 발급 CA들의 인증서 체인을 모두 등록
      • 인증서 본문: 서명한 인증서 본문을 등록
    7. [확인] 버튼을 클릭해 주십시오.
    8. 사설 CA 목록에서 인증서 등록 후 변경된 CA 상태를 확인해 주십시오.
      • 활성화: CA의 모든 기능을 이용할 수 있는 정상 운영 상태
    참고

    6.에서 등록하는 인증서 체인 파일 예시는 다음과 같습니다.

    -----BEGIN CERTIFICATE-----
    MIIDbjCCAlagAwIBAgIUIee5Ez90s6yqnC1RHYBkw3NpNc4wDQYJKoZIhvcNAQEL
    BQAwPjELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEhMB8GA1UEAwwYW0JFVEFd
    IEJlYWdsZV9Jb1QgU3ViIENBMB4XDTIwMDYyOTAxMDkzMVoXDTI5MDQxNzE4NTYw
    M1owPzELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDESMBAGA1UECxMJQ2xvdWQg
    ....
    z0rXUrhhU2KMXtylXfzJqZkj3VLqjoNmjFcCgeeweto/1A8in9UhK1KzSUVcKVlL
    XcHpYjn3BoxbVV+EsVCjhz+9dtKASo9ptZUDrOHLrYnaONShGI6pwxj5Dew4ttvm
    VE39KQYNcdt7ajrXMmVfatq2zk+PoiSDjZ5flbzJoIrK3TE1NAgXYpXYjzphBXZ2
    Gt9B53lFQHNnnMDDnjbIiQUp
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDazCCAlOgAwIBAgIUPIsBMXl3zeP5rSAcbahl6crbjwcwDQYJKoZIhvcNAQEL
    BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
    IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjIwMjE5NDVaFw0yOTA0MTcxODU2MTRa
    MD4xCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxITAfBgNVBAMMGFtCRVRBXSBC
    ....
    EWwyIcKDmymr7n14G15loPU0Q+cH2hTS/r9RXxw6Gjd7DnKcjF/970TR41tlxetW
    f3DCAKP6KIUKh2eAy7HHt82HExP+KRLJbocA5QRwtwWY3zVIuHg6oLM5mdtDfBwl
    kMLaJCAzSSgmcg63fQChz2kUuldaw7/5H1CI3i8VB+9JcM2l4imDhiaGlCquTKL3
    VMfHx+eysnncEUxP54DD
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDaTCCAlGgAwIBAgIUNQfx2Rk2TqCM1o9PeN7/TJCz4iMwDQYJKoZIhvcNAQEL
    BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
    IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjAxODU1NDdaFw0yOTA0MTcxODU2MTda
    MDwxCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxHzAdBgNVBAMMFltCRVRBXSBO
    ....
    IQV7Vqgs0NsKqJ9rPKi88gu9x3y6/pEo8C9s2aTZ1l7sYauh00gySffRQeu2WCWx
    mdxRKMRIlFaLFVHpXxGhga/DEvFo9EhouNP4CjaIe4FcvWBZ30Msp/fJbzg/Bnby
    VXGZcU0qiFHZbIa7dViO0re5AujhqKt4HYuhT787xNLLyG95m/6XUKcEvxBGR9ZZ
    vpDcpjcEC94qLxPHXg==
    -----END CERTIFICATE-----
    
    주의

    인증서를 직접 서명하는 CA 인증서에는 CA용 확장 필드(Basic constraints의 CA 옵션)가 활성화되어 있어야 합니다. 예시는 다음과 같습니다.

    ...
    
    X509v3 extensions:
         X509v3 Key Usage: critical
             Certificate Sign, CRL Sign
         X509v3 Basic Constraints: critical
             CA:TRUE
    
    ...
    

    6. OCSP 관리

    Private CA는 고객 편의를 위해 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol, OCSP) 기능을 기본적으로 제공하고 있습니다. 필요 시 OCSP 조회 기능을 활성화하여 발급할 사설 인증서에 포함하도록 설정할 수 있습니다.

    OCSP 생성

    기본으로 제공되는 OCSP 기능을 활성화하고 OCSP URL을 인증서에 배포하기 위해 OCSP를 생성합니다. OCSP를 생성한 CA로 발급한 인증서에는 다음과 같은 OCSP URL을 포함하게 됩니다.

      Authority Information Access:
          OCSP - URI:{NCP PrivateCA OCSP URL}
          CA Issuers - URI:{NCP PrivateCA CA URL}
      X509v3 CRL Distribution Points:
          Full Name:
            URI:{NCP PrivateCA CRL URL}
    

    OCSP를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. OCSP를 생성할 CA를 클릭하여 선택한 다음 OCSP[생성] 버튼을 클릭해 주십시오.
      privateca-use_14_ko
    참고

    인증서 폐기 여부를 조회하려면 CRL을 직접 참조할 수도 있지만 Pirvate CA가 제공하는 OCSP 정보를 조회하여 확인할 수도 있습니다. OCSP를 조회하여 인증서 폐기 여부를 조회하기 위한 명령어는 다음과 같습니다.

    openssl ocsp -issuer {Chain cert} -cert {Cert} -header Host {NCP Private CA Host Name} -url {OCSP URL} -VAfile {OCSP Responder cert} -text
    

    OCSP 삭제

    사용 중이던 OCSP 기능을 비활성화하고 삭제할 수 있습니다. OCSP를 삭제한 CA로 발급한 인증서에는 OCSP URL을 포함하지 않게 됩니다. OCSP를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. OCSP를 삭제할 CA를 클릭하여 선택한 다음 OCSP[삭제] 버튼을 클릭해 주십시오.
    4. OCSP 삭제 팝업 창이 나타나면 [삭제] 버튼을 클릭해 주십시오.

    CA 인증서 보기

    생성한 CA별 상세 정보와 발급된 인증서를 확인하고 인증서 본문과 체인 정보를 PEM 파일로 다운로드할 수 있습니다. CA 인증서를 확인하거나 다운로드하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 확인할 CA를 클릭하여 선택한 다음 [CA 인증서 보기] 버튼을 클릭해 주십시오.
    4. CA 인증서 상세 정보 팝업 창이 나타나면 필요한 정보를 확인해 주십시오.
    5. 인증서 본문이나 인증서 체인을 다운로드하려면 [다운로드] 버튼을 클릭해 주십시오.
    6. [확인] 버튼을 클릭해 주십시오.
    참고

    루트 CA는 상위 CA가 없기 때문에 4.에서 체인 정보가 표시되지 않습니다.

    권한 관리

    개별 CA(사용자가 선택한 특정 CA)에 대한 관리 권한을 부여할 서브 계정을 등록하거나 등록한 서브 계정을 삭제할 수 있습니다. 권한 등록 및 삭제는 활성 상태인 CA에 대해서만 가능합니다.
    권한 관리 기능을 이용하려면 먼저 네이버 클라우드 플랫폼의 Sub Account에서 서브 계정을 추가해야 합니다. Sub Account 계정 생성 방법은 Sub Account 사용 가이드를 참고해 주십시오.
    권한을 등록하거나 삭제하는 방법은 다음과 같습니다.

    참고

    Sub Account는 이용 신청 시 별도의 요금이 부과되지 않는 무료 서비스입니다. Sub Account 소개와 요금제에 대한 자세한 설명은 Private CA 권한 관리와 네이버 클라우드 플랫폼 포털의 서비스 > Management & Governance > Sub Account 메뉴를 참고해 주십시오.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 권한을 관리할 CA를 클릭하여 선택한 다음 [권한 관리] 버튼을 클릭해 주십시오.
    4. CA 사용자 관리 팝업 창이 나타나면 필요한 관리를 진행해 주십시오.
      • 관리 계정 추가: 추가할 계정을 클릭하여 선택한 다음 [추가] 버튼 클릭
        privateca-use_15_ko
      • 관리 계정 삭제: 삭제할 계정의 [삭제] 버튼 클릭
    5. [닫기] 버튼을 클릭해 주십시오.
    참고

    4.의 CA 사용자 관리 팝업 창에서 [Sub Account] 버튼 클릭 시 Sub Account로 이동하여 계정을 추가, 수정, 삭제할 수 있습니다.

    활성화/비활성화

    정상적으로 운영 중이던 CA를 특정 사유로 인해 비활성 상태로 변경하거나 비활성 상태인 CA를 다시 활성 상태로 변경할 수 있습니다. 비활성 상태가 되면 CA는 조회 기능을 제외한 대부분의 기능이 차단됩니다. CA의 활성 여부를 설정하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 활성 여부를 설정할 CA를 클릭하여 선택한 다음 설정을 진행해 주십시오.
      • 활성 상태를 비활성 상태로 변경하려는 경우: [비활성화] 버튼 클릭
      • 비활성 상태를 활성 상태로 변경하려는 경우: [활성화] 버튼 클릭

    삭제 요청

    생성한 CA에 대한 삭제를 요청할 수 있습니다. 삭제 요청이 인입되면 72시간의 대기를 거친 후 자동 삭제(폐기)됩니다. 삭제 대기 중인 CA는 비활성 상태와 마찬가지로 조회를 제외한 대부분의 기능이 차단됩니다. 자동 삭제 시 복구가 불가능하고 연계 시스템에 심각한 영향을 초래할 수 있으므로 신중한 진행이 필요합니다.

    주의

    대기 시간인 72시간이 지난 후 CA 자동 삭제 시 하위 CA를 포함하여 삭제된 CA가 발급한 인증서의 운영 상태 및 만료 여부 등을 확인하지 않고 삭제를 진행하며, 한 번 삭제한 CA는 개인 키가 영구 삭제되어 복구가 불가능하므로 신중하게 결정해 주십시오. 삭제된 CA는 더이상 신뢰되지 않으며, 발급된 모든 인증서는 인증에 이용할 수 없습니다.

    삭제 대기 중인 CA의 삭제 요청을 취소하기 위해서는 72시간의 대기 시간이 경과되기 전에 [삭제 취소] 버튼을 클릭해 주십시오. 버튼 클릭 시 삭제 요청은 철회되며 즉시 비활성 상태로 전환됩니다. CA를 다시 운영하려면 활성 상태로 전환하면 됩니다. 단, 등록 대기 상태의 CA에 대한 삭제 요청을 철회하면 등록 대기 상태로 전환됩니다.
    삭제 요청을 진행하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 삭제 요청할 CA를 클릭하여 선택한 다음 [삭제 요청] 버튼을 클릭해 주십시오.
    4. CA 삭제 팝업 창이 나타나면 CA 이름 입력에 삭제할 CA 이름을 입력해 주십시오.
      privateca-use_16_ko
    5. [삭제 요청] 버튼을 클릭해 주십시오.
    6. 사설 CA 목록에서 삭제 요청 후 변경된 CA 상태를 확인해 주십시오.
      • 삭제 예정: 삭제 요청이 접수되어 완전 삭제까지 72시간 동안 대기 중인 상태
    7. 상태 필드에 표시된 삭제 예정 날짜에 삭제하지 않고 즉시 삭제하려면 [지금 삭제] 버튼을 클릭해 주십시오.
      privateca-use_17_ko
    8. CA 즉시 삭제 팝업 창이 나타나면 주의 사항을 확인한 후 [삭제] 버튼을 클릭해 주십시오.
      privateca-use_18_ko
    주의

    CA 즉시 삭제 역시 하위 CA를 포함하여 삭제된 CA가 발급한 인증서의 운영 상태 및 만료 여부 등을 확인하지 않고 삭제를 진행하며, 한 번 삭제한 CA는 개인 키가 영구 삭제되어 복구가 불가능하므로 신중하게 결정해 주십시오. 삭제된 CA는 더이상 신뢰되지 않으며, 발급된 모든 인증서는 인증에 이용할 수 없습니다.

    사설 인증서 발급

    생성한 CA에서 사설 인증서를 발급할 수 있습니다. 사실 인증서 발급 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 사설 인증서를 발급할 CA를 클릭하여 선택한 다음 [사설 인증서 발급] 버튼을 클릭해 주십시오.
    4. 사설 인증서 발급 팝업 창이 나타나면 발급할 인증서 정보를 입력해 주십시오.
    5. [발급] 버튼을 클릭해 주십시오.
    6. 사설 인증서 상세 정보 팝업 창이 나타나면 인증서 정보를 확인해 주십시오.
      • 발급자: 사설 인증서를 발급한 CA 이름
      • 일련번호: 사설 인증서를 식별하는 고유 번호
      • 인증서 본문: 인증서 본문 정보. 로컬 PC에 저장하려면 [다운로드] 버튼 클릭
      • 인증서 개인키: 인증서 개인키 정보. 로컬 PC에 저장하려면 [다운로드] 버튼 클릭
        privateca-use_19_ko
      • 인증서 체인: 발급자가 계층 구조인 경우 포함되는 인증서 체인 정보. 로컬 PC에 저장하려면 [다운로드] 버튼 클릭
      • OCSP 인증서: CA 포인트 URL이 생성되어 있는 경우 포함되는 OCSP 정보. 로컬 PC에 저장하려면 [다운로드] 버튼 클릭
      주의

      Private CA는 사설 인증서 개인키를 저장하지 않기 때문에 이 화면 종료 후 다시 획득할 수 없습니다. 따라서 발급된 사설 인증서 개인키는 반드시 다운로드하여 보관해 주십시오.

    사설 인증서 폐기

    발급한 사설 인증서를 폐기할 수 있습니다. 폐기 시 즉시 CRL(인증서 폐기 목록)에 등록되며, 폐기 작업은 취소할 수 없으므로 신중하게 진행해 주십시오. 사설 인증서 폐기 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Security > Private CA 메뉴를 차례대로 클릭해 주십시오.
    3. 폐기할 인증서가 발급된 CA를 클릭하여 선택한 다음 [사설 인증서 폐기] 버튼을 클릭해 주십시오.
    4. 사설 인증서 폐기 팝업 창이 나타나면 폐기할 인증서의 일련 번호를 입력해 주십시오.
    5. [폐기] 버튼을 클릭해 주십시오.
    주의
    • 폐기된 인증서의 일련 번호는 발급 인증서 목록에서 삭제되지 않습니다. 따라서 인증서 유효성 검사를 위한 폐기 여부 확인은 반드시 CRL(또는 OCSP 조회)을 참조해 주십시오.
    • 하위 CA 인증서는 발급 인증서 목록에 표시되지만 직접 폐기할 수 없습니다. 하위 CA 인증서는 CA 삭제 시 자동으로 폐기됩니다.
    참고

    인증서 폐기가 등록된 CRL 예시는 다음과 같습니다.

    $ curl {CRL URL} | openssl crl -text -noout
    
    Certificate Revocation List (CRL):
            Version 2 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
            Issuer: /C=KR/ST=\xEA\xB2\xBD\xEA\xB8\xB0\xEB\x8F\x84/L=\xEC\x84\xB1\xEB\x82\xA8\xEC\x8B\x9C/O=Naver Cloud Platform/OU=Security Dev/CN=My sub CA
            Last Update: Jul 15 15:29:22 2020 GMT
            Next Update: Jul 18 15:29:22 2020 GMT
            CRL extensions:
                X509v3 Authority Key Identifier:
                    keyid:17:43:8A:2C:FD:8A:7C:20:44:6F:F1:52:6B:9D:7E:27:8F:E8:0B:0C
    
    Revoked Certificates:
        Serial Number: 658D43B364DD48B6F69AFB3E27010F6A42D61D66
            Revocation Date: Jul 15 15:29:22 2020 GMT
        Signature Algorithm: sha256WithRSAEncryption
             23:9e:a9:a8:76:32:db:c3:2c:15:ba:3c:15:94:ea:ef:d2:fd:
             3a:7d:0f:da:68:b2:69:8a:d0:c2:3e:21:19:f8:c7:b4:6a:a6:
             2e:2f:c1:3b:13:61:a0:98:ff:6d:f8:40:8f:2f:5b:09:db:c8:
             b6:85:5b:69:3b:5c:5a:8e:37:3a:12:eb:46:bd:e8:fd:4f:ba:
             e3:94:a3:75:96:bb:3c:4c:4d:3e:25:f1:54:bd:ae:09:ca:63:
             fb:31:2a:e4:b0:e0:de:0e:2f:83:f2:96:26:ef:7c:b8:c2:24:
             80:ce:38:d5:d4:b4:e4:04:13:56:c1:c4:63:26:9d:34:c9:e4:
             67:73:1d:0f:e0:5c:ca:b6:00:ea:f3:39:e6:f9:c8:67:07:3f:
             d5:cc:ca:82:7a:45:ae:ff:6f:b4:5f:bc:62:a8:9c:0c:7e:d3:
             88:e1:c9:5b:c8:d0:3c:b7:22:20:dd:3a:98:b9:82:61:25:e0:
             3b:6f:e1:f7:ea:94:b0:e5:a8:9b:49:e4:1c:0d:bc:6a:25:65:
             40:04:02:4b:eb:ea:71:d7:2f:74:85:c4:b9:aa:92:f2:60:e7:
             6c:bd:85:5f:17:f2:ca:0f:35:b1:fb:5e:33:65:0f:d8:50:70:
             2d:61:76:8d:19:d3:a0:f3:87:ee:7a:f8:10:fd:5f:c9:dc:44:
             e4:c3:7c:00
    

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.