TLS 인증서에 대한 자동 인증 관리

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기16분

    • 인증 인벤토리 및 관리 버전 1.3.8에는 새 인증, 갱신 또는 인증서 해지를 위한 요청 플로우를 자동화하는 기능이 추가되었습니다.

    인증 인벤토리 및 관리에서는 PKI 팀의 수동 개입 없이도 CA에서 인증서를 자동으로 검색할 수 있습니다. 인증 인벤토리 및 관리 버전 2.1.0은 자동 이행 플로우에 대한 DigiCert 및 Entrust CA Gateway를 지원합니다. OV DigiCert 인증서만 요청할 수 있습니다. 자세한 내용은 제공자 설명서를 참조하십시오. 인증 인벤토리 및 관리 버전 2.3.2는 Microsoft CA Gateway를 지원합니다.

    자동화된 플로우에 사용되는 DigiCert 또는 Entrust CA Gateway 사용자는 인증서를 요청, 갱신 및 해지할 수 있는 권한이 있어야 합니다.

    Microsoft Gateway 사용자는 다음 권한이 필요합니다.
    • CA 및 MID 서버에서 CredSSP를 구성해야 합니다.
    • 사용자가 엔터프라이즈 관리자에 속해 있어야 합니다.
    • 사용자가 사용된 템플릿의 보안 그룹에 있어야 합니다.
    • 사용자에게는 CA에서 인증서 읽기, 발급 및 관리, CA 관리, 그리고 인증서 요청에 대한 권한이 있어야 합니다.

    중간 서버를 사용하는 경우 MID 서버와 중간 서버 간에 CredSSP를 구성해야 합니다.

    인증서 관리에 자동화된 플로우 사용

    인증 인벤토리 및 관리에서 TLS 인증서에 대해 자동 인증 관리를 사용하려면 따라야 할 특정 필요 조건 및 단계가 있습니다.

    시작하기 전에

    필요한 역할: PKI 관리자 또는 관리자

    프로시저

    1. (sn_disco_certmgmt.cert_task_default_approval_group) 시스템 속성을 기본 승인 그룹 이름으로 설정합니다.
      승인 그룹 이름은 인증서 요청이 수동 모드로 전환될 때 사용되는 기본 그룹입니다(예를 들어 일치하는 정책이 없는 경우 또는 두 개 이상의 일치하는 정책이 있는 경우). 승인 그룹을 콤마로 구분하여 두 개 이상 추가할 수 있습니다. 작업 도메인에 속한 목록의 첫 번째 그룹이 승인에 사용됩니다. 도메인별 그룹을 찾을 수 없는 경우 전역 도메인 목록의 첫 번째 이름이 사용됩니다.
    2. (sn_disco_certmgmt.default_cert_order_validity_period) 시스템 속성을 업데이트하여 인증서 주문의 유효 기간을 설정합니다.
      기본값은 730일(2년)입니다.
    3. 각 인증 기관(예: DigiCert, Entrust 또는 Microsoft CA Gateway)에 대한 라우팅 정책을 설정합니다.
      단일 CA에 대한 여러 라우팅 정책을 정의하면 다른 계정을 사용하여 인증서를 가져올 수 있습니다. Microsoft CA의 경우 다음 중 하나를 수행할 수 있습니다.
      • 라우팅 정책의 ca_host_ip 필드에 CA Server의 IP 추가
      • 라우팅 정책의 ca_host_ip 필드에 중간 서버의 IP 추가 중간 서버는 Microsoft CA Server와 동일한 도메인에 있으며 Powershell에서 사용할 수 있는 certutil 및 certreq 명령에 액세스할 수 있는 모든 Windows 서버일 수 있습니다.

        중간 서버를 사용하면 MID 서버가 Invoke-Command를 사용하여 중간 서버에서 Powershell 스크립트를 실행하며, RPC(원격 프로시저 호출)를 사용하여 CA Server에서 certutil 및 certreq 명령을 실행합니다.

    4. 자격 증명 별칭에 대한 인증 자격 증명 및 맵을 생성합니다.
      자세한 내용은 Discovery에 대한 자격 증명 별칭을 참조하십시오.

      각 자격 증명은 고유한 자격 증명 별칭을 사용하여 매핑해야 합니다.

    5. 인증 및 인증 URL 정보가 인증 기관 [sn_disco_certmgmt_ca] 및 인증 기관 API URL [sn_disco_certmgmt_ca_api_url] 테이블에 있는지 확인합니다.
      DigiCert 및 Entrust CA Gateway의 기본 URL은 모든 확인 유형 URL을 제공합니다. 원하는 경우 추가 URL을 덧붙일 수 있습니다.
    6. 작업 우선순위를 설정합니다.

      작업의 우선순위에 따라 변경 요청 우선순위와 유형이 매핑됩니다. 변경 요청의 우선순위는 P5를 제외하고 작업 우선순위와 동일합니다(변경 요청에 P5가 없으므로 이 경우 P4에 매핑됨).

      변경 요청의 유형을 변경하려면 변경 관리 속성 [com.snc.change_management.change_model.type_compatibility]을 true로 설정해야 합니다. 기본값은 거짓입니다.

      1. 신규 및 갱신 작업 우선순위를 구성하는 데 필요한 경우 작업을 설정하고 시스템 속성 [sn_disco_certmgmt.default_cert_task_priority]을 변경합니다.
        우선순위는 기본적으로 P3입니다. 가능한 값은 1, 2, 3, 4, 5입니다. 값이 1이면 우선순위는 P1로 설정됩니다. 잘못된 값이 제공되면 우선순위가 P3 기본값으로 재설정됩니다.
      2. 취소 작업 우선순위를 구성하는 데 필요한 경우 작업을 설정하고 시스템 속성 [sn_disco_certmgmt.default_revoke_cert_task_priority]을 변경합니다.
        우선순위는 기본적으로 P1입니다. 가능한 값은 1, 2, 3, 4, 5입니다. 값이 1이면 우선순위는 P1로 설정됩니다. 잘못된 값이 제공되면 우선순위가 P1 기본값으로 재설정됩니다.
    7. 선택 사항: Integration Hub 플러그인 [com.glide.hub.integrations]을 설치합니다.
      [com.glide.hub.integrations] 플러그인은 DigiCert 또는 Entrust CA Gateway 인증서를 요청하고 인증 주문 상태를 추적하는 데 필요하지 않습니다. 그러나 고객이 인증서 하위 플로우 작업을 디버그하거나 DigiCert, Entrust 또는 Microsoft CA Gateway에 대한 사용자 지정 플로우를 추가하려는 경우 이 플러그인을 설치해야 합니다.

    자동 인증서 관리를 위한 라우팅 정책 설정

    PKI 관리자 또는 관리자는 TLS 인증서가 작동하도록 자동화된 인증 관리를 위해 CA, 환경 및 기타 기능을 기반으로 라우팅 정책을 만들어야 합니다.

    시작하기 전에

    필요한 역할: PKI 관리자 또는 관리자

    주:

    중복 인증서 요청은 허용되지 않습니다. 그러나 중복 요청 허용 확인란을 선택하여 이 설정을 무시할 수 있습니다. 도메인 이름이 같은 다른 인증 작업이 아직 진행 중이면 인증 요청은 중복으로 간주됩니다.

    승인은 현재 이행자 승인 환경에서만 지원됩니다.

    이 태스크 정보

    라우팅 정책은 인증 작업을 위해 연락해야 하는 CA를 결정합니다. CA, CA URL, 자격 증명, 승인 그룹, 할당 그룹 및 CSR 속성이 포함되어 있습니다. 라우팅 정책은 특정 CA에 대한 인증서를 요청하는 플로우를 트리거합니다.

    프로시저

    1. 다음으로 이동 모두 > 인증서 관리 > 인증서 라우팅 정책.
    2. 새로 만들기를 선택하고 양식의 필수 필드에 내용을 입력합니다.
      새 인증 및 인증서 갱신 요청은 자동화될 수 있으며, 많은 PKI 팀은 이행하기 전에 인적 확인을 선호합니다. 이 경우 승인 필요 확인란을 선택합니다.
      주:

      조직, 조직 단위, 지역, 주, 국가 및 이메일은 콤마로 구분된 값을 허용합니다. *는 모든 것으로 간주됩니다.

      주체 일반 이름 및 주체 대체 이름은 RegEx에서 지원됩니다. RegEx 형식에는 콤마를 포함할 수 없습니다. 그리고 슬래시(/)로 시작하고 끝날 수 없습니다. *는 모든 도메인과 일치합니다.

    3. 다음 CSR 속성은 라우팅 정책 [sn_disco_certmgmt_routing_policy] 테이블의 항목과 일치합니다.
      • 조직
      • 조직 단위
      • 구/군/시
      • 상태
      • 국가
      • 이메일
      • 환경
      • 인증서 용도(내부/외부)
      • 주체 일반 이름
      • 주체 대체 이름
      주:

      Entrust CA Gateway의 경우 인증 기관 식별자, 인증 프로파일 및 인증 형식 등의 필드도 있습니다.

      Microsoft CA Gateway의 경우 인증 기관, CA 템플릿 이름, CA 호스트 IP, 자격 증명 및 CSR 속성 등의 필드도 사용합니다.

    4. 다음 옵션이 나타날 수 있습니다.
      옵션설명
      단일 라우팅 정책이 일치하는 경우 다음 조건을 검증합니다.
      • 라우팅 정책 테이블, 도메인 이름 또는 *에 제공된 RegEx 패턴을 사용하여 주체 일반 이름을 확인합니다.
      • 라우팅 정책 테이블의 최대 유효 기간보다 길지 않은 인증서 요청 유효 기간을 선택합니다.
      • 라우팅 정책 테이블에서 중복된 인증 요청이 허용되는 플래그를 확인합니다.
      여러 라우팅 정책이 적합한 경우 작업이 기본 승인자 그룹에 할당됩니다.
      라우팅 정책이 없는 경우 작업이 기본 승인자 그룹에 할당됩니다.
      단일 정책이 일치하고 승인이 필요한 플래그가 true인 경우 작업은 라우팅 정책에 정의된 작업 승인 그룹에 할당됩니다.
    5. 승인 그룹은 라우팅 정책에 할당되며 역할(예: pki_approver 및 해당 그룹에서 사용할 수 있는 활성 그룹 구성원 중 하나 이상)을 포함합니다.
    6. 라우팅 정책에 수동 승인이 필요한 경우 승인 그룹의 승인이 요청됩니다.

    라우팅 정책 상세 정보

    TLS 인증서에 대한 자동화된 인증 관리에 대해 라우팅 정책이 작동하는 방식에는 세 가지 시나리오가 있습니다.

    • 시나리오 1: 단일 라우팅 정책이 일치하고 수동 승인이 필요합니다. 승인자가 작업 상세 정보를 확인하고 인증 요청을 승인할 수 있습니다. 승인되면 자동화된 플로우가 트리거됩니다.
    • 시나리오 2: 라우팅 정책과 일치하는 정책이 없거나 일치하는 라우팅 정책이 여러 개 있습니다. 승인자는 작업 상세 정보를 확인하고 라우팅 정책 선택 및 승인을 선택할 수 있습니다. 승인자는 라우팅 정책을 수동으로 선택해야 합니다. 그러면 업데이트된 라우팅 정책이 표시됩니다. 승인자가 라우팅 정책을 선택한 다음 자동화된 플로우가 트리거됩니다.
    • 시나리오 3: 단일 라우팅 정책이 일치하고 수동 승인이 필요하지 않으며 승인 필요 플래그가 비활성 상태입니다. 그러면 자동 플로우가 트리거됩니다.
    주:

    승인자가 인증서 요청 작업을 거부한 경우 작업은 실패로 표시됩니다.

    자동화된 플로우 진행을 트리거하려면 단일 승인으로 충분합니다.

    자동화된 인증 관리를 사용하여 새 인증서 요청

    자동화된 인증 관리를 사용하여 새 인증을 요청하고 애플리케이션의 인증서를 자동으로 검색합니다. 인증 인벤토리 및 관리 버전 2.1.0은 DigiCert 및 Entrust CA Gateway의 인증서 요청을 지원합니다. 버전 2.3.2는 Microsoft CA Gateway도 지원합니다.

    시작하기 전에

    인증 관리 카탈로그를 사용할 수 있으며 라우팅 정책을 생성했는지 확인하십시오.

    필요한 역할: 인증 요청자, PKI 관리자, PKI 사용자 또는 관리자. 인증 요청자는 PKI 관리자 또는 PKI 사용자 역할이 없는 사용자입니다.

    DigiCert에만 해당: DigiCert가 이미 확인한 도메인을 사용하여 DigiCert에서 API 키를 가져와야 합니다. DigiCert에서 확인하지 않은 새 도메인으로 인증서 요청을 제출하면 요청이 보류 중으로 표시되고, 자동화된 플로우에서 인증서 정보를 가져올 수 없으며 요청이 실패로 표시됩니다.

    주:
    승인은 현재 이행자 승인 환경에서만 지원됩니다.

    프로시저

    1. 다음으로 이동 모두 > 서비스 카탈로그 > 인증서 관리.
    2. 새 인증 요청 - 자동화된 플로우를 클릭합니다.
    3. 필수 필드인 CSR 및 유효 기간에 대한 정보를 입력합니다.
    4. 양식에서 다른 상세 정보를 입력하거나 선택한 다음 제출을 클릭하여 주문합니다.

      라우팅 정책 [sn_disco_certmgmt_routing_policy] 테이블은 CA 라우팅 정책 ID를 가져오는 데 도움이 됩니다. 단일 라우팅 정책 ID가 반환되지 않은 경우 승인자는 라우팅 정책을 선택하고 작업을 승인해야 합니다.

      자세한 내용은 인증 작업 승인을 참조하십시오.
    5. 이렇게 하면 새 인증 작업이 생성되어 자동화된 플로우가 트리거됩니다.
      라우팅 정책에서 승인 필요 필드가 선택된 경우 자동화된 플로우를 시작하기 전에 작업을 승인해야 합니다.

    결과

    1. 요청이 제출되면 자동화된 플로우는 CA에 인증서를 가져오도록 요청합니다.
      주:
      Powershell 단계는 Microsoft CA에 사용됩니다. 플러그인(com.glide.hub.action_step.powershell)이 필요합니다.
    2. 인증서를 성공적으로 가져오면 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 기록이 생성됩니다.
    3. 30분마다 DigiCert – 인증 주문 상태 추적 예약 작업이 실행되고 상태를 확인합니다.
      주:
      Entrust 및 Microsoft CA Gateway의 경우 예약된 작업이 없습니다.
    4. 인증서를 사용할 수 있는 경우 인증 작업에 첨부됩니다.
    5. 그러면 인증 작업이 완료로 표시되고 변경 요청이 생성됩니다.
    6. 동일한 CSR에 대해 여러 작업이 생성되고 라우팅 정책에서 중복 허용이 선택되지 않은 경우 작업이 실패합니다.
    7. 유효 기간이 일치하는 라우팅 정책 유효 기간을 초과하면 작업이 실패합니다.

    인증 작업 승인

    인증 작업을 수동으로 승인해야 하는 경우도 있습니다.

    시작하기 전에

    주:

    라우팅 정책에 대한 승인이 요청되면 생성된 라우팅 정책을 선택합니다.

    승인은 현재 이행자 승인 환경에서만 지원됩니다.

    필요한 역할: 관리자

    프로시저

    1. 다음으로 이동 모두 > 셀프 서비스 > 내 승인.
    2. 자동으로 생성된 승인 작업을 엽니다.
    3. 새 인증 상세 정보를 확인하고 라우팅 정책을 선택 및 승인합니다.

    결과

    1. 이에 따라 새 인증서를 요청하기 위한 자동화된 플로우가 시작됩니다.
    2. 다음으로 이동 인증서 관리 > 신규 인증서 작업 을 클릭하고 인증서 작업을 엽니다.
    3. 자동화된 플로우가 트리거되었음을 확인해야 합니다.
    4. CA가 인증 요청을 승인하면 새로 요청한 인증서에 대한 주문 ID와 인증서 ID를 가져옵니다. CA가 승인하지 않은 경우 주문 ID만 가져옵니다.
      주:
      Entrust CA Gateway의 경우 인증서 일련 번호와 등록 ID를 가져옵니다.

    자동화된 인증 관리를 사용하여 인증서 갱신

    인증서 갱신을 요청하고 애플리케이션의 인증서를 자동으로 검색합니다.

    시작하기 전에

    인증 관리 카탈로그를 사용할 수 있으며 라우팅 정책을 생성했는지 확인하십시오.

    필요한 역할: PKI 관리자, 관리자, 인증서 소유자 또는 인증서 소유자 그룹에 있는 사용자. 인증서 소유자 및 인증서 소유자 그룹에는 인증 요청자 역할(최소 역할)이 포함됩니다.

    승인은 현재 이행자 승인 환경에서만 지원됩니다.

    주:
    현재 Entrust CA 및 Microsoft CA Gateway 인증서에 사용할 수 있는 갱신 API가 없습니다. 갱신 요청 중에 선택한 인증서와 동일한 속성으로 새 인증서가 내부에서 생성됩니다.

    이 태스크 정보

    기존 인증서를 갱신하는 경우 CSR이 필수입니다. 요청자는 제공되는 경우 기존 CSR을 사용하거나 새 CSR을 사용할 수 있습니다. 기존 CSR을 사용하려면 동일한 CSR을 사용하여 CA에서 새 인증서를 요청합니다. Vault 및 Java API를 사용하여 필드를 입력하면 CSR이 생성됩니다.

    프로시저

    1. 다음으로 이동 모두 > 서비스 카탈로그 > 인증서 관리.
    2. 인증 갱신 - 자동화된 플로우를 클릭합니다.
    3. 필수 필드인 CSR 및 유효 기간에 대한 정보를 입력합니다.
    4. 양식에서 다른 상세 정보를 입력하거나 선택한 다음 제출을 클릭하여 주문합니다.

    결과

    1. 라우팅 정책 [sn_disco_certmgmt_routing_policy] 테이블은 CA 라우팅 정책 ID를 가져오는 데 도움이 됩니다.
      • 단일 라우팅 정책이 일치하지 않은 경우 승인자는 CA를 선택하고 플로우를 트리거해야 합니다.
      • CSR에 발급된 인증서 도메인 이름과 다른 도메인 이름이 포함되어 있는 경우 작업에서 승인을 요청합니다.
      • 단일 라우팅 정책이 일치하지만 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에서 갱신 인증 정보를 사용할 수 없는 경우 작업에 승인이 필요합니다.
      • 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 인증 기관과 주문 ID 또는 지문 상세 정보가 누락된 경우 인증서를 갱신할 수 없습니다. 인증 기관 쿼리를 통해 인증서를 검색하여 인증 확장 테이블에 필요한 상세 정보를 입력합니다. 검색 작업 이후에는 라우팅 정책을 선택하고 작업을 승인합니다.
    2. 이렇게 하면 주문 인증서에 대한 작업이 생성되어 갱신 인증서를 요청하는 플로우를 트리거합니다.
    3. 요청이 제출되면 자동화된 플로우는 CA에 인증서를 가져오도록 요청합니다.
      주:
      Powershell 단계는 Microsoft CA에 사용됩니다. 플러그인(com.glide.hub.action_step.powershell)이 필요합니다.
    4. 그런 다음 주문 ID는 인증 작업 [sn_disco_certmgmt_certificate_task] 테이블 및 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 저장됩니다.
      주:
      Entrust CA Gateway의 경우 인증서 일련 번호와 등록 ID를 가져옵니다. 일련 번호는 인증서 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 저장됩니다.
    5. 30분마다 "DigiCert – 인증 주문 상태 추적" 예약 작업이 실행되고 상태를 확인합니다.
    주:

    시스템은 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에서 선택한 인증서에 대한 상세 정보를 가져오고 CA에 인증서 갱신을 요청합니다. 이 테이블에 인증 기관, 주문 ID 또는 지문이 없는 경우 인증서를 갱신할 수 없습니다. 어떤 이유로 인해 인증서를 갱신하는 데 추가 상세 정보가 없는 경우 시스템은 메시지를 기록하고 수행해야 하는 작업을 제안합니다. 이 경우 CA 기반 검색을 사용하여 인증서를 검색해야 합니다. 자세한 내용은 인증 기관 쿼리를 통한 인증서 검색 실행을 참조하여 이러한 상세 정보를 인증 확장 테이블에 입력하십시오.

    자동화된 인증 관리를 사용하여 인증서 해지

    애플리케이션에 대한 인증서 해지를 요청합니다. 인증 확장 테이블에 주문 ID와 인증서 ID가 있는 경우 해지 작업에는 승인이 필요하지 않습니다. 주문 ID 및 인증서 ID가 인증 확장 테이블에 없는 경우 작업에서 승인을 요청합니다.

    시작하기 전에

    인증 관리 카탈로그를 사용할 수 있으며 라우팅 정책을 생성했는지 확인하십시오.

    필요한 역할: PKI 관리자 또는 관리자

    주:
    승인은 현재 이행자 승인 환경에서만 지원됩니다.

    프로시저

    1. 다음으로 이동 모두 > 서비스 카탈로그 > 인증서 관리.
    2. 인증 해지 - 자동화된 플로우를 클릭합니다.
    3. 해지하려는 발급된 인증서를 입력합니다(예: www.undefined.com).
      해지할 여러 인증서를 선택할 수 있습니다.
    4. 인증서를 해지하는 적절한 이유를 제공합니다.
      Microsoft CA의 경우 이유는 정수 값이어야 합니다. 다른 값이 주어지면 기본값 0이 사용되며 이는 지정되지 않음을 의미합니다.
    5. 제출을 클릭하여 해지 주문을 추가합니다.
    6. 팝업 메시지로 "선택한 인증서를 해지하시겠습니까?"가 표시되면 확인을 선택합니다.

    결과

    1. 해지를 요청하면 작업이 자동으로 생성됩니다.
      • 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 주문 ID와 인증서 ID가 있는 경우 해지 작업에는 승인이 필요하지 않습니다.
      • 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 주문 ID와 인증서 ID가 없는 경우 작업에서 승인을 요청합니다.
      • Entrust CA Gateway에 대한 일련 번호가 인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 없는 경우 작업에서 승인을 요청합니다.
    2. PKI 팀이 승인을 제공하면 선택한 라우팅 정책에 따라 인증서와 CA 간의 매핑이 발생합니다.
    3. 이때 CA API를 사용하는 선택한 CA에 대한 해지 작업이 트리거됩니다.
    4. 상세 정보는 인증 확장 테이블에 저장됩니다.
    5. 30분마다 DigiCert – 인증 주문 상태 추적 예약 작업이 실행되고 상태를 확인합니다.
      주:
      Entrust 및 Microsoft CA Gateway의 경우 예약된 작업이 없습니다.
    6. 그러면 인증서 상태가 해지됨으로 표시됩니다.
    주:

    인증 확장 [sn_disco_certmgmt_certificate_extension] 테이블에 인증 기관 또는 인증서 ID 상세 정보가 누락된 경우 인증서를 해지할 수 없습니다. Entrust CA Gateway의 경우 일련 번호가 누락되면 인증서를 해지할 수 없습니다. 인증 기관 쿼리를 통해 인증서를 검색하여 인증 확장 테이블에 필요한 상세 정보를 입력합니다. 이후 검색에서 라우팅 정책을 선택하고 작업을 승인합니다.

    인증서 API 요청을 해지합니다. "skip_approval"이 true이면 해지 프로세스가 더 빠르게 완료됩니다. "skip_approval"이 false이면 DigiCert 또는 Entrust CA Gateway 관리자가 해지 요청을 승인하거나 거부할 때 해지 프로세스가 완료됩니다. 승인 단계를 건너뛰려면 API 키에 관리자 권한이 있어야 합니다.