소개
이 문서에서는 Cisco WSA(Web Security Appliance)에서 HTTPS 암호 해독에 사용해야 하는 인증서 유형에 대해 설명합니다.
인증서 개요
WSA에는 현재 인증서와 개인 키를 사용하여 HTTPS 암호 해독에 사용할 수 있는 기능이 있습니다. 그러나 일부 x.509 인증서가 작동하지 않으므로 사용해야 하는 인증서 유형에 혼란이 있을 수 있습니다.
인증서에는 서버 인증서와 루트 인증서의 두 가지 주요 유형이 있습니다. 모든 x.509 인증서에는 인증서의 유형을 식별하는 Basic Constraints 필드가 포함되어 있습니다.
- Subject Type=End Entity - 서버 인증서
- 주체 유형=CA - 루트 인증서
참고: WSA에서 HTTPS 암호 해독을 위해 루트 인증서(CA 서명 인증서라고도 함)를 사용해야 합니다.
루트 인증서
루트 인증서는 서버 인증서를 서명하기 위해 특별히 만들어집니다. 고유한 CA를 만들고 작동하며 고유한 서버 인증서를 서명할 수 있습니다.
참고: 루트 인증서는 다른 인증서에만 서명하므로 HTTPS 암호화 및 암호 해독을 수행하기 위해 웹 서버에서 사용할 수 없습니다.
WSA는 HTTPS 암호 해독을 위한 서버 인증서를 적극적으로 생성하기 위해 루트 인증서를 사용해야 합니다. 루트 인증서 사용에는 두 가지 옵션을 사용할 수 있습니다.
- WSA에서 루트 인증서를 생성합니다. WSA는 자체 루트 인증서 및 개인 키를 생성하며, 서버 인증서를 서명하기 위해 이 키 쌍을 사용합니다.
- 현재 루트 인증서 및 개인 키를 WSA에 업로드할 수 있습니다. 루트 인증서의 CN(Common Name) 필드는 서명이 포함된 서버 인증서를 신뢰하는 엔터티(일반적으로 법인 이름)를 식별합니다.
참고: 서버 인증서를 신뢰하려면 웹 브라우저에 공개 키가 있는 루트 인증서에서 서명해야 합니다.
서버 인증서
서버 인증서는 HTTPS 암호화 및 암호 해독에 사용하고 특정 서버의 신뢰성을 확인하기 위해 특별히 만들어집니다. 서버 인증서는 CA 루트 인증서를 사용하여 CA에 의해 서명됩니다. CA의 일반적인 예는 VeriSign 또는 Thawte입니다.
참고: 서버 인증서는 다른 인증서를 서명하는 데 사용할 수 없습니다. 따라서 서버 인증서가 WSA에 설치되어 있으면 HTTPS 암호 해독이 작동하지 않습니다.
서버 인증서의 CN 필드는 인증서를 사용할 호스트를 지정합니다. 예를 들어 https://www.verisign.com는 CN이 www.verisign.com인 서버 인증서를 사용합니다.
관련 정보