liminfo

X.509 Certificate Reference

X.509 인증서 필드 레퍼런스 및 PEM 파싱 도구

15개 결과

X.509 Certificate Reference 소개

X.509 인증서 레퍼런스는 TLS/SSL, 코드 서명, PKI 시스템에서 사용되는 X.509 디지털 인증서의 구조와 필드를 검색 가능한 형태로 제공합니다. 주체 섹션에서는 Common Name(CN), 조직(O), 부서(OU), 국가(C), 발급자 CA 식별, 고유 일련번호, DV/OV/EV 검증 레벨 체계를 설명합니다.

인증서 유효기간 및 신원 필드에 대해 Not Before/Not After 날짜 범위, 멀티 도메인 및 와일드카드 인증서를 위한 SAN(Subject Alternative Name) 항목, IP 주소 SAN 항목을 다룹니다. 키사용 섹션에서는 Digital Signature, Key Encipherment, Certificate Sign, CRL Sign 플래그와 TLS 서버/클라이언트 인증 및 코드 서명을 위한 확장 키사용 OID를 상세히 설명합니다.

인증서 확장(CA 플래그 및 경로 길이를 위한 Basic Constraints, 체인 연결을 위한 Authority/Subject Key Identifier), 폐지 메커니즘(CRL Distribution Points와 OpenSSL 명령어를 활용한 OCSP 실시간 상태 확인), SCT 타임스탬프와 crt.sh 조회를 통한 인증서 투명성 로깅도 포함합니다.

주요 기능

  • CN, O, OU, C, 발급자, 일련번호를 포함한 주체 필드 레퍼런스
  • 멀티 도메인, 와일드카드, IP 주소 인증서를 위한 SAN(Subject Alternative Name) 항목
  • TLS 및 코드 서명을 위한 키사용/확장 키사용 플래그 및 OID 값
  • CA 플래그, 리프 인증서, 경로 길이 제약을 설명하는 Basic Constraints 확장
  • 인증서 체인 연결을 위한 Authority/Subject Key Identifier 필드
  • CRL Distribution Points와 OCSP 실시간 인증서 상태 검증
  • SCT 타임스탬프와 crt.sh 공개 로그 조회를 통한 인증서 투명성 로깅
  • DV, OV, EV 검증 레벨 비교와 비용 및 검증 범위 차이

자주 묻는 질문

X.509 인증서의 주체(Subject) 필드란 무엇인가요?

주체 필드는 Distinguished Name 속성을 사용하여 인증서 소유자를 식별합니다. Common Name(CN)은 도메인 또는 엔티티 이름, Organization(O)은 법인명, Organizational Unit(OU)은 부서, Country(C)는 국가, State(ST)와 Locality(L)는 지역을 나타냅니다. 예: CN=www.example.com, O=Example Inc., C=US.

SAN(Subject Alternative Name)이란 무엇이며 왜 중요한가요?

SAN은 하나의 인증서로 여러 도메인명, 와일드카드, IP 주소를 커버할 수 있게 합니다. 예: DNS:www.example.com, DNS:example.com, DNS:*.example.com, IP:192.168.1.1. 최신 브라우저는 도메인 검증 시 CN 필드 대신 SAN 항목을 요구합니다.

DV, OV, EV 인증서의 차이점은 무엇인가요?

DV(도메인 검증)는 도메인 소유권만 확인하며 보통 무료 또는 저가입니다. OV(조직 검증)는 추가로 조직의 법적 신원을 확인합니다. EV(확장 검증)는 법인에 대한 철저한 심사를 통해 최고 수준의 신뢰를 제공하며, 과거에는 녹색 주소창으로 표시되었습니다.

OCSP는 실시간 인증서 상태를 어떻게 확인하나요?

OCSP(Online Certificate Status Protocol)는 전체 CRL 파일을 다운로드하는 대신 OCSP 응답자 URL에 질의하여 인증서 폐지 여부를 실시간으로 확인합니다. OpenSSL로 테스트할 수 있습니다: openssl ocsp -issuer ca.pem -cert server.pem -url [응답자 URL].

키사용(Key Usage)과 확장 키사용(Extended Key Usage) 필드는 무엇을 제어하나요?

키사용은 허용되는 암호화 작업을 지정합니다: Digital Signature, Key Encipherment, Certificate Sign, CRL Sign. 확장 키사용은 OID로 식별되는 용도별 목적을 추가합니다. TLS 웹 서버 인증(1.3.6.1.5.5.7.3.1), TLS 웹 클라이언트 인증(1.3.6.1.5.5.7.3.2), 코드 서명(1.3.6.1.5.5.7.3.3) 등이 있습니다.

Basic Constraints 확장과 경로 길이란 무엇인가요?

Basic Constraints는 인증서가 CA(CA:TRUE)인지 리프 인증서(CA:FALSE)인지를 나타냅니다. pathlen 값은 이 CA 아래에 존재할 수 있는 중간 CA의 수를 제한합니다. pathlen:0은 해당 CA가 리프 인증서만 발급할 수 있고 다른 CA 인증서는 발급할 수 없음을 의미합니다.

인증서 투명성(Certificate Transparency)이란 무엇이며 왜 중요한가요?

인증서 투명성(CT)은 CA가 발급한 모든 인증서를 공개 감사 가능한 로그에 기록하도록 요구합니다. 각 인증서는 로그 기록 증명인 SCT(Signed Certificate Timestamp)를 받습니다. 이를 통해 잘못 발급된 인증서와 악의적인 CA를 탐지할 수 있습니다. crt.sh에서 특정 도메인에 발급된 모든 인증서를 검색할 수 있습니다.

Authority Key Identifier와 Subject Key Identifier는 어떻게 사용되나요?

Subject Key Identifier(SKI)는 인증서 자체 공개키의 해시로 고유 식별자 역할을 합니다. Authority Key Identifier(AKI)는 발급자 CA 인증서의 SKI를 참조하여 체인 구성을 가능하게 합니다. 이 둘을 통해 시스템이 리프 인증서에서 중간 인증서를 거쳐 루트 CA까지 연결할 수 있습니다.