공개 키 인증서로 IKEv1 구성

언어:

공개 키 인증서를 사용하면 통신 시스템이 아웃오브밴드에서 보안 키 입력 도구를 공유할 필요가 없습니다. CA(인증 기관)의 공개 인증서를 사용하려면 일반적으로 외부 조직과의 협상이 필요합니다. 간편한 인증서 확장을 통해 통신하는 여러 시스템을 보호할 수 있습니다.

또한 공개 키 인증서를 생성하여 연결된 하드웨어에 저장할 수 있습니다. 절차는 연결된 하드웨어를 찾도록 IKEv1 구성을 참조하십시오.

모든 인증서에는 X.509 distinguished name(DN, 고유 이름) 형식의 고유한 이름이 있습니다. 또한 인증서에는 전자 메일 주소, DNS 이름, IP 주소 등과 같은 주체 대체 이름이 하나 이상 있을 수 있습니다. 인증서의 전체 DN이나 주체 대체 이름 중 하나로 IKEv1 구성에서 인증서를 식별할 수 있습니다. 이러한 대체 이름의 형식은 tag=value입니다. 여기서 값의 형식은 태그 유형에 해당합니다. 예를 들어, email 태그의 형식은 name@domain.suffix입니다.

다음 작업 맵에는 IKEv1에 대한 공개 키 인증서를 만드는 절차가 나와 있습니다. 이 절차에서는 인증서를 빠르게 만들고 연결된 하드웨어에 저장하는 방법을 설명합니다.

표 10-1 공개 키 인증서로 IKEv1 구성 작업 맵

작업	설명	지침
자체 서명된 공개 키 인증서로 IKEv1을 구성합니다.	다음과 같은 키와 두 개의 인증서를 만들어 각 시스템에 저장합니다. 자체 서명된 인증서와 해당 키 피어 시스템의 공개 키 인증서	자체 서명된 공개 키 인증서로 IKEv1을 구성하는 방법
인증 기관과 함께 IKEv1을 구성합니다.	인증서 서명 요청을 만든 다음 CA에서 받은 인증서를 각 시스템에 배치합니다. IKE에서 공개 키 인증서 사용을 참조하십시오.	CA가 서명한 인증서로 IKEv1을 구성하는 방법
로컬 하드웨어에서 공개 키 인증서를 구성합니다.	다음 작업 중 하나를 수행합니다. 로컬 하드웨어에서 자체 서명된 인증서를 생성한 다음 원격 시스템의 공개 키를 하드웨어에 추가합니다. 로컬 하드웨어에서 인증서 서명 요청을 생성한 다음 CA의 공개 키 인증서를 하드웨어에 추가합니다.	하드웨어에서 IKEv1에 대한 공개 키 인증서를 생성하고 저장하는 방법
CA의 CRL(인증서 해지 목록)을 업데이트합니다.	중앙 배포 지점에서 CRL에 액세스합니다.	IKEv1에서 해지된 인증서를 처리하는 방법

주 - Trusted Extensions 시스템에서 패킷 및 IKE 협상에 레이블을 지정하려면 Trusted Extensions 구성 및 관리 의 레이블이 있는 IPsec 구성 절차를 따르십시오.

공개 키 인증서는 Trusted Extensions 시스템의 전역 영역에서 관리됩니다. Trusted Extensions는 인증서 관리 및 저장 방법을 변경하지 않습니다.