인증 기관 설정 확인
이 페이지에서는 인증 기관(CA)의 다양한 설정에 대한 정보를 제공합니다.
영구 설정
CA를 만든 후에는 이 섹션에 언급된 설정을 변경할 수 없습니다.
서비스별 설정
CA 유형
CA Service를 사용하면 루트 CA 및 하위 CA를 모두 만들 수 있습니다.
루트 CA | 하위 CA |
---|---|
루트 CA는 자체 서명 CA입니다.
루트 CA(신뢰 당사자)에서 생성된 인증서를 인증해야 하는 당사자는 CA 인증서를 미리 알아야 합니다. 루트 CA 인증서를 트러스트 앵커라고도 합니다. 루트 CA를 자주 변경하는 것은 어렵습니다. 루트 CA를 변경하려면 먼저 새 신뢰 앵커에 대한 모든 신뢰 당사자를 업데이트해야 합니다. 그렇지 않으면 새 루트 CA의 인증서를 인증할 수 없습니다. 루트 CA가 자체 서명되었으므로 발급 CA의 CRL을 사용하여 루트 CA를 취소할 수 없습니다 루트 CA를 취소하려면 루트 CA를 신뢰하는 모든 단일 클라이언트의 트러스트 저장소에서 삭제해야 합니다. 이 프로세스는 길고 지루할 수 있습니다. 따라서 루트 CA를 보호하는 것이 좋습니다. |
하위 CA는 루트 CA 또는 다른 하위 CA에서 서명한 CA입니다. 하위 CA 체인에 따라 체인은 항상 루트 CA로 끝납니다. 루트 CA에 대해서만 알고 있는 신뢰 당사자는 명시적으로 신뢰할 수 있는 루트 CA 인증서에 연결되는 하위 CA를 암시적으로 신뢰할 수도 있습니다. 신뢰 당사자가 루트 CA 인증서 경로를 구성하는 인증서 체인을 암호화 방식으로 검증할 수 있는 경우에만 하위 CA를 신뢰할 수 있습니다. 루트와 하나 이상의 하위 CA가 포함된 체인에는 CA Service에서 관리되는 CA와 그렇지 않은 CA가 포함될 수 있습니다. |
Cloud KMS 키
기본적으로 새 CA에는 Google 관리 Cloud Key Management Service(Cloud KMS) 키가 사용됩니다. Google 관리 Cloud KMS 키에 대한 특정 키 알고리즘을 선택할 수 있습니다. 또는 이미 존재하는 키에 대해 CA Service 액세스 권한을 부여할 수 있습니다. 자세한 내용은 키 알고리즘 선택을 참조하세요.
Cloud KMS 키 및 Cloud Storage 버킷의 관리 모델에 대한 자세한 내용은 리소스 관리를 참조하세요.
Cloud Storage 버킷
기본적으로 CA Service는 CA와 동일한 위치에 새 Google 관리형 Cloud Storage 버킷을 만듭니다. 기존 자체 관리형 버킷을 사용하거나 새 버킷을 만들 수도 있습니다. CRL을 게시하는 동안 지연 시간을 최소화하려면 CA와 동일한 위치에 Cloud Storage 버킷을 만드는 것이 좋습니다. 자세한 내용은 리소스 관리를 참조하세요.
CA 인증서 설정
다음 설정은 CA의 자체 인증서에 직접 반영됩니다.
설정 | 설명 |
---|---|
전체 기간 | CA의 전체 기간을 지정합니다. 전체 기간은 CA가 생성된 시점부터 CA가 유효한 기간입니다. |
제목 | CA는 고유 이름 및 주체 대체 이름을 지정할 수 있습니다. 대부분의 경우 이러한 필드는 순수한 정보 제공용입니다.
그러나 신뢰 당사자는 특정 주제 속성이 있는 CA에서 발급된 인증서를 다르게 처리할 수 있습니다. CA 인증서의 주체 대체 이름을 지정하려면 Google Cloud CLI를 사용해야 합니다. |
CA 설정(선택사항)
다음 CA 설정은 선택사항입니다. CA를 만든 후 다음 설정을 변경할 수 있습니다.
설정 | 설명 |
---|---|
라벨 | CA에는 하나 이상의 사용자 라벨을 연결할 수 있습니다. 라벨은 CA Service에 의미론적인 의미를 가지지 않습니다. |
다음 단계
- 루트 CA를 만드는 방법 알아보기
- 하위 CA 만드는 방법 알아보기
- 외부 CA에서 하위 CA 만드는 방법 알아보기