it-swarm-korea.com

Microsoft 인증서 서비스 루트 인증서 갱신

현재 VPN 인증을 위해 1 년 인증서를 발급하는 도메인 구성원 컴퓨터에 Microsoft Enterprise Certificate Server가 설치되어 있습니다.

Dell Open Manage (시스템 관리 응용 프로그램) 및 Microsoft RDP를 보호하기 위해 CA에서 웹 서버 인증서 발급을 시작하려고합니다. 우리는 꽤 많은 서버 (100+)를 가지고 있으며 인증서 설치를 자동화하는 방법을 찾지 못했기 때문에 (참고 설치-배포가 아니라 자동 배포 방법을 알고 있습니다) 우리는 서버 수명 기간 동안 인증서 발급을 고려하고 있습니다. 대부분의 서버는 10 년 이하 동안 사용되므로 10-15 년 인증서를 원합니다.

내가 이해하는 것처럼 CA는 자신이 유효한 것보다 오래 인증서를 발급 할 수 없습니다. 따라서 10 년 SSL 인증서를 발급하려면 루트 CA 인증서가 11 년 이상 유효하지만 실제로는 15-20 년 동안 유효해야합니다.

또한 인증서 기간이 길수록 개인 키가 손상되기 쉬우므로 더 긴 인증서에 더 긴 키 길이를 사용하려는 경우도 있습니다.

더 오랜 기간 동안 루트 인증서 갱신을 고려하고 있지만 다음과 같은 질문이 있습니다.

1) 모범 사례 내에서 15-20 년 동안 루트 인증서를 생성합니까? 다시 한번 말하지만 우리는 짧은 기간 동안 인증서를 발급한다는 것이 이상적입니다. 그러나 매년 인증서를 설치하는 데 드는 수작업은 사소한 것이 아니기 때문에 더 긴 길이를 사용하려는 욕구는 합리적으로 안전합니다

2) 루트 CA에 4096 키 길이를 사용해야합니까, 더 짧은 키를 사용할 수 있습니까? 내가 읽은 일부 독서는 일부 네트워크 장치가 2048 비트보다 긴 인증서를 지원하지 않을 것을 제안합니다.

3) 루트 인증서를 갱신 할 때 기존 키 페어를 재사용하거나 새 키 페어를 생성 할 수 있습니다. 새 키 페어를 생성하는 것이 보안 관점에서 낫다는 것을 알고 있지만 그렇게하면 기존의 발급 된 인증서를 변경할 필요없이 계속 작동합니까?

감사
브래드

16
Brad

루트 인증서 (엄격히 말해서 "trust anchors")는 오래 지속되어야합니다. 아시다시피, 루트 인증서 변경은 가볍게 수행하면 안되기 때문에 비용이 많이 듭니다. 해당 인증서는 인증서의 전체 보안과 그 용도에 집중합니다. 상호 운용성을 위해 유효 기간을 2038 년 미만으로 유지하려고 할 수 있습니다. 1970 년 1 월 1 일 이후 부호있는 32 비트 정수를 통해 날짜를 초 단위로 내부적으로 인코딩하는 일부 (많은) 시스템이 있기 때문입니다. 2038 년의 특정 날짜에, 그 수는 음수 값으로 둘러 싸서 확대가 계속 될 것입니다. 이것은 Y2K 버그와 이진입니다. Hopefully, 그 운명적인 날짜에 도달하면 대부분의 아키텍처는이 문제가 오랫동안 발생하지 않는 64 비트 모델로 전환했을 것입니다. 또는 적어도 unsigned 32 비트 정수 이상의 카운트로, 추가로 68 년을 구입합니다. (Y2K는 아주 작은 것으로 판명되었으므로 당황 할 이유가 없습니다.)

RSA 키의 경우 장기 보안에 2048 비트이면 충분합니다. 물론 이것은 미래의 기술과 과학에 대한 내기이므로 보증은 없습니다. 권장 키 길이를 완전히 처리하려면 이 사이트 를 방문하십시오. 또는 루트 인증서에 ECDSA를 사용할 수 있는지 확인하십시오. 거의 모든 ECDSA 구현은 "P-521"표준 곡선을 지원합니다. 이는 "521 비트 보안"을 제공하며, 15360 비트 또는 RSO 키 ( 즉, 걱정하지 않아도됩니다).

새 루트 인증서가 동일한 키와 동일한 이름을 사용하는 경우 이전에 발급 된 인증서와 일치하며 문제가 없습니다. 키 및/또는 이름을 변경하면 새 인증서를 발급해야합니다. 중간 CA 인증서를 사용하는 경우 해당 인증서 만 다시 발행해야합니다. 루트 키 롤오버를 관리하는 "일반적인"방법은 새 루트를 정의하고 모든 검증 장치에 루트를 삽입하는 것입니다 without 기존 루트를 제거합니다. 몇 년 후 이전 루트와 관련된 모든 인증서가 만료되면 검증 시스템에서 해당 인증서를 제거 할 수 있습니다.

물론, 루트를 바꾸고 싶은 주된 이유는 키가 너무 오랫동안 존재했다고 믿고 있기 때문입니다. 동일한 키를 재사용하면 목적이 무효화됩니다. 기본적으로 루트는 고유합니다. 단 하나의 장소에있는 강화 된 조작 방지 HSM (하드웨어 보안 모듈)에 대해 걱정할 개인 키가 하나 있습니다. 이러한 HSM의 요점은 키를 모르면 키를 도난 당할 수 없다는 것입니다. 따라서 시작하기에 충분히 큰 키를 사용하는 한 키를 변경하지 않아도됩니다. 그렇지 않으면 urgently. 이 시점에서 루트 유효 날짜는 약해집니다. 루트 키를 도난당한 경우 향후 3 년이 아닌 지금 (최소한 주말까지) 새 키를 배포하려고합니다. 따라서, "현재의 관행"은 큰 열쇠를 사용하여 오래 지속 된 근본을 만들고 자신의 예상 퇴직 일을 넘어 몇 년 동안 근본 유효 기간을 설정하는 것입니다 (따라서 누군가의 다른 문제가 될 수 있습니다).

14
Thomas Pornin