행정전자서명기술요건

Size: px

Start display at page:

Download "행정전자서명기술요건"

보희 사공
5 years ago
Views:

1 행정전자서명기술요건

5 알고리즘표준규격 암호화 전자서명 SEED : TTAS.KO /R1 : 128 비트블록암호알고리즘 ARIA : KS X , 128 비트블록암호알고리즘 KCAC.TS.ENC, 암호알고리즘규격 [v1.21] KCDSA : TTAS.KO /R2, 부가형전자서명방식표준 RSA : PKCS #1 v2.2 RSA Cryptography Standard ECDSA : ANSI, X9.62 Elliptic Curve Digital Signature Algorithm KCAC.TS.DSIG, 전자서명알고리즘규격 [v1.30] HAS-160 : TTAS.KO /R2 해쉬함수표준 - 제 2 부 : 해쉬함수알고리즘표준 (HAS-160) 데이터형식및프로토콜표준규격 해쉬함수 난수생성 HMAC 객체인증 ASN & DER Encoding 인증서 / 인증서폐지목록형식 SHA-1 : FIPS Secure Hash Standard SHA256 : FIPS Secure Hash Standard KCAC.TS.HASH, 해쉬알고리즘규격 [v1.20] FIPS General Purpose RNG ANSI X9.62 RNG RFC 6151 : Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms ISO/IEC IS Entity authentication - Part 3: Mechanisms using digital signature techniques ITU-T X.680 Information Technology Abstract Syntax Notation One (ASN.1) : Specification of basic notation ITU-T X.690 Information Technology ASN.1 Encoding Rules Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules(DER) RFC6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL) Profile ITU-T X.509 Information Technology Open Systems Interconnection The Directory : Authentication Framework (ISO/IEC ) KCAC.TS.CERTPROF, 전자서명인증서프로파일규격 [v1.70] KCAC.TS.CRLPROF, 전자서명인증서효력정지및폐지목록프로파일규격 [v.1.50] 인증서상태실시간검증 인증서관리 RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP RFC6712 Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol(CMP)

6 인증서발급신청형식 RFC4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) KCAC.TS.CRMF, 공인인증서요청형식프로토콜규격 [v1.21] CMS PKCS #7 v1.5 Cryptographic Message Syntax Standard 무선단말기인증규격 Base64 Encoding 키저장 Directory System 본인확인 시점확인 저장및이용규격 무선단말기와 PC 간전송규격 RFC2045 Multipurpose Internet Mail Extensions(MIME) Part One : Format of Internet Message Bodies Private Key Information Syntax : PKCS#8 Private-key Information Syntax Standard Password-based Encryption : PKCS#5 v2.1 Password-based Cryptography Standard PKCS#11 v2.2 Cryptographic Token Interface Standard KCAC.TS.UI, 공인인증기관간상호연동을위한사용자인터페이스기술규격 [v1.90] LDAP v3 Lightweight Directory Access Protocol (v3): Technical Specification KCAC.TS.LDAP, 전자서명인증체계디렉토리프로토콜규격 [v1.11] KCAC.SIVID, 식별번호를이용한본인확인기술규격 [v1.21] RFC5816, ESSCertIDv2 Update for RFC 3161 KCAC.TS.TSP, 전자서명인증체계시점확인프로토콜규격 [v1.11] KCAC.TS.CM : 무선단말기에서의공인인증서저장및이용기술규격 [v1.30] KCAC.TS.UI : 공인인증기관간상호연동을위한사용자인터페이스기술규격 [v1.90] KCAC.TS.HSMU : 보안토큰기반공인인증서이용기술규격 [v2.10] KCAC.TS.HSMS : 보안토큰기반공인인증서저장형식기술규격 [v1.11] KCAC.TS.CT : 무선단말기로공인인증서전송을위한기술규격 [v2.10] 보안토큰인증규격 저장및이용규격 KCAC.TS.HSMU : 보안토큰기반공인인증서이용기술규격 [v2.00] KCAC.TS.HSMS : 보안토큰기반공인인증서저장형식기술규격 [v1.11]

10 필드명 Authority Key Identifier Subject Key Identifier 설정값 발급자공개키의 DER 인코딩값을 SHA-1 로해쉬 피발급자공개키의 DER 인코딩값을 SHA-1 로해쉬 최상위인증기관 사용여부 C 인증기관가입기관 사용여부 C 사용여부 Y F Y F Y F Y F Y F Y F Key Usage 키용도 O Y T(T) Y T(T) Extended Key Usage OCSP 서버와 TSA 서버인증서에서이 확장필드를사용한다 C O T(T) O F Certificate Policies 정책 OID Y F(F) Y M Subject Alternative Names 가입자한글실명과 VID(SHA-256 으로해쉬 ) O M F Issuer Alternative Names - O O F Authority Information OCSP서버위치 O Y F Access Basic Constraints 인증기관여부 (ca:true), 경로길이제한 Y T Y T Name Constraints - O T Policy Constraints - O T CRL Distribution Points LDAP 서버위치 Y Y F 사용여부 C(Criticality) Y- 사용함, 빈칸 - 사용하지않음, O-Optional T-True, F-False

11 필드명사용여부설정값 Version Y V2 (1) Signature Y 서명알고리즘 OID 및파라미터 기본필드확장필드엔트리확장필드 Issuer Y CRL 발행기관 DN. X.500 DN 사용 This Update Y CRL 발급일 UTCTime 또는 GeneralizedTime 사용 Next Update Y CRL 다음발급일지정날짜보다이전에발급함을의미. UTCTime 또는 GeneralizedTime 사용 Revoked Certificates Y 인증서일련번호및폐지일포함 사용 여부 C Authority Key Identifier Y F 발급자 Key ID 인증서폐지목록검증경로생성시사용 Issuer Alternative Name O F CRL Number Y F 정수값, CRL 일련번호, 20바이트이하 Issuing Distribution Point O T Delta CRL Indicator O F Delta CRL 지시자, Full CRL과동시발급필요 crlnumber 값과 Delta CRL 개수가동일해야함 폐지사유코드 Reason Code O F unspecified, certificatehold, privilegewithdrawn, cacompromise 는미사용 Hold Instruction Code O F Invalidity Date O F CRL DP 확장에설정된 indirectcrl 지시자를 Certificate Issuer O T 가지는 CRL에있는인증서의발급기관명칭 사용여부 C(Criticality) Y-사용함, 빈칸-사용하지않음, O-Optional T-True, F-False

12 필드명사용여부설정값 version Y V1(1) subjectusage Y CTL 사용목적 OID 명칭 : electronic-civil-application OID : sequencenumber Y 정수값 CTL 갱신회수에따라 1 씩증가, 20 바이트 기본필드 thisupdate nextupdate Y Y CTL 발급일 UTCTime 또는 GeneralizedTime 사용 CTL 다음발급일 UTCTime 또는 GeneralizedTime 사용 3 개월마다 CTL 발급중 subjectalgorithm Y 해쉬알고리즘은 SHA-256 사용 trustedsubjects Y CTL 에포함되는인증서해쉬값및속성정보속성정보는인증서발급자, 발급대상이름, 일련번호, 유효기간, 인증서해쉬값포함 확장필드 부가정보 사용여부 Y- 사용함, 빈칸 - 사용하지않음

17 인증서 단계 최상위인증기관 (Root CA) 인증서 발급갱신폐지 1. RootCA 설치시콘솔에서인증서와키파일생성 2. 인증서를 Ldap 에수동게시 RootCA 에서 CA 인증서발급시 2 인이상의 Pin 입력필요 1. RootCA 콘솔에서갱신명령어로 RootCA 인증서갱신 2. 갱신된 RootCA 인증서를 Ldap 에수동게시 1. RootCA 콘솔에서폐지명령으로인증서폐지 2. 폐지된 RootCA 인증서를 Ldap 에서삭제 인증기관 (CA) 인증서 1. 해당인증기관에서 CSR 제공 2. RootCA 에서 CSR 을이용하여인증서발급 2. 인증서를 Ldap 에수동게시 1. RootCA 에서 CA 인증서갱신 2. 갱신된 CA 인증서를 Ldap 에수동게시 1. RootCA 에서 CA 인증서폐지 2. 인증서를 Ldap 에서삭제 등록기관 (RA) 인증서 OCSP 인증서시점확인 (TSA) 인증서 1. CA에서 RA 인증서와키파일생성 2. RA 인증서를 Ldap 에게시 1. CA가 OCSP 인증서와키파일생성 2. OCSP 인증서를 Ldap에자동게시 3. 발급된인증서를 OCSP 시스템에로드및설치 1. CA 에서 TSA 인증서발급 2. TSA 인증서를 Ldap 에게시 3. 발급된인증서를시점확인서버에설치 1. CA 에서 RA 인증서와키파일갱신 2. RA 인증서를 Ldap 에게시 1. OCSP 서버는유효기간만료전 OCSP 단기인증서 ( 유효기간 7 일 ) 자동갱신 2. 갱신된인증서 Ldap 에자동게시 1. CA 에서 TSA 인증서발급 2. TSA 인증서를 Ldap 에게시 3. 갱신된인증서를시점확인서버에설치 1. CA 에서인증서폐지 2. 인증서를 Ldap 에서삭제 OCSP 인증서는유효기간이단기 (7 일 ) 이므로별도의폐지절차없음 1. CA 에서 TSA 인증서폐지 2. 폐지된인증서는 Ldap 에서자동삭제됨 신뢰기관인증서 목록 (CTL) SSL 인증서 1. RootCA 에서 CTL 생성 2. 생성된 CTL 은 Ldap 에자동배포 1. 해당웹서버에서 CSR 제공 2. RA 에서 CSR 을이용하여 SSL 인증서발급 3. 발급된인증서를웹서버에제공 (OFF-Line) 1. RootCA 에서 3개월주기로 CTL 자동갱신 2. 갱신된 CTL은 Ldap 에자동배포 1. RA에서 SSL 인증서갱신 2. 갱신된인증서를웹서버에제공 (OFF-Line) 1. RootCA 에서 CTL 폐지 2. CTL 은 Ldap 에자동삭제 1. RA 에서 SSL 인증서폐지

18 version digestalgorithms contentinfo contenttype content certificates(optional) crls(optional) signerinfo version IssuerAndSerialNumber digestalgorithm authenticatedattributes (optional) digestencryptionalgorithm encrypteddigest unauthenticatedattributes (optional) 버전정보 signed content 서명에사용한알고리즘 ID 서명된 content의형식서명된 content 인증서인증서폐지목록버전정보서명자정보, 서명자의인증서일련번호 content 서명에사용한알고리즘 ID 시간정보등포함서명암호화알고리즘 ID 암호화된서명값 (Octet String)

19 version recipientinfos encryptedco ntentinfo version IssuerAndSerialNumber keyencryptionalgorithmid encryptedkey contenttype contentencrpytionalgorithm encryptedcontent 버전정보버전정보수신자정보, 수신자의인증서일련번호키암호화알고리즘 ID 암호화된키암호화된 content의형식 content 암호화에사용한알고리즘 ID 암호화된 content 키쌍생성 비밀키저장 전달형식 구분 적용알고리즘및표준 전자서명용 KCDSA( 개인용, 기관용 ), RSA( 인증기관용 ) 암호화용 RSA Session Key생성 PKCS#12 암호화 ARIA 저장형식 PKCS#8 PKCS#12

23 l 최상위인증기관 행정 _ 인증기관 인증서비스제공 사용자 구분 유효기간전자서명암호화 유선 20 년 - 무선 20 년 - 유선 10 년 - 무선 10 년 - 공공 / 민간 _ 인증기관 10 년 - 민간공인인증기관간상호연동 CTL 인증기관인증서폐지목록 ARL 행정 _ 등록기관 전자서명알고리즘 RSA ECDSA (224bits) RSA ECDSA (224bits) RSA 공개키암호알고리즘 RSA ECDH (224bits) RSA ECDH (224bits) RSA 대칭키암호알고리즘 H/W 보안모듈 H/W 보안모듈 H/W 보안모듈 H/W 보안모듈 H/W 보안모듈 3 개월 주일 유선 2 년 3 개월 2 년 3 개월 KCDSA RSA 무선 공공 / 민간 _ 등록기관 2 년 3 개월 2 년 3 개월 인증서폐지목록 CRL (Delta CRL) 인증서실시간검증 OCSP 1 일 (2 시간 ) 7 일 ( 갱신주기 :1 일 ) 시점확인 TSA 10 년 - 행정기관용 ( 전자관인, 컴퓨터 ) 개인용 ( 공무원 ) 공공 / 민간기관용 ( 전자관인, 컴퓨터 ) 개인용 ( 공공 / 금융기관사용자 ) 유선 2 년 3 개월 2 년 3 개월 무선 2 년 3 개월 2 년 3 개월 유선 2 년 3 개월 2 년 3 개월 무선 2 년 3 개월 2 년 3 개월 2 년 3 개월 2 년 3 개월 2 년 3 개월 2 년 3 개월 KCDSA RSA ARIA ARIA KCDSA KCDSA KCDSA ECDSA (224bits) KCDSA ECDSA (224bits) KCDSA KCDSA - ARIA - ARIA RSA ECDH (224bits) RSA ECDH (224bits) RSA RSA ARIA ARIA ARIA ARIA ARIA ARIA

24 l 저장매체 하드디스크, PDA 이동디스크, CD-key, 외장형메모리등 보안토큰및 USIM( 또는 IC 칩 ) o Windows 저장위치 - 하드디스크레이블명 ( 주 1) /GPKI/Certificate/class1 ( 유선기관용 ) - 하드디스크레이블명 ( 주 1) /GPKI/Certificate/class2 ( 유선개인용 ) o Unix, Linux - 사용자계정 ( 주 2) /GPKI/Certificate/class1 ( 유선기관용 ) - 사용자계정 ( 주 2) /GPKI/Certificate/class2 ( 유선개인용 ) o Mac OS - 사용자계정 ( 주 2) /Library/Preferences/GPKI/Certificate/class1 ( 유선기관용 ) - 사용자계정 ( 주 2) /Library/Preferences/GPKI/Certificate/class2 ( 유선개인용 ) 하드디스크저장위치와같으며드라이브명만변경 저장토큰 [KCAC.TS.UI] 준용하며, 행정기관 IC 카드표준규격에준한다. 보안토큰 (HSM) 행정기관 IC 카드표준규격또는 [KCAC.TS.HSMU] 와 [KCAC.TS.HSMS] 을준용한다. 행정전자서명정보저장매체 MF 3F00 D 공인인증서 ( 서명용 ) D 공인인증서 ( 암호용 ) D 행정전자서명 ( 서명용 ) D 행정전자서명 ( 암호용 ) PIN Unblock 용키 PIN Unblock 용키 PIN Unblock 용키 PIN Unblock 용키 사용자정보파일 사용자정보파일 사용자정보파일 사용자정보파일 Type 명 Type 명 Type 명 Type 명 서명용개인키 키분배용개인키 행정전자서명생성키 암호키분배용개인키 서명용인증서 키분배용인증서 행정전자서명인증서 암호키분배용인증서 서명용개인키해쉬 키분배용개인키해쉬 행정전자서명생성키해쉬 암호키분배용개인키해쉬 행정기관 IC 칩인증서정보파일구성

25 l 최상위인증기관 인증기관 구분 키파일 인증서파일 저장위치 파일명 파일명 유선 HSM 장비내저장 LDAP에게시 무선 HSM 장비내저장 LDAP에게시 유선 HSM 장비내저장 LDAP에게시 무선 HSM 장비내저장 LDAP에게시 민간공인인증기관간상호연동 CTL 인증기관인증서폐지목록 ARL - - LDAP 에게시 - - LDAP 에게시 l 키파일인증서파일구분저장위치파일명파일명 등록기관 별도지정하지않음 RA+ 기관코드 + 일련번호 _sig.key RA+ 기관코드 + 일련번호 _env.key RA+ 기관코드 + 일련번호 _sig.cer RA+ 기관코드 + 일련번호 _env.cer 인증서실시간검증 OCSP 별도지정하지않음 OCSP 일련번호 _sig.key OCSP 일련번호 _sig.cer 시점확인 TSA 별도지정하지않음 TSA 일련번호 _sig.key TSA 일련번호 _sig.cer 기관용 ( 전자관인 ) 행정전자서명정보 저장매체 기준에 따름 ORG+ 기관코드 + 일련번호 _sig.key ORG+ 기관코드 + 일련번호 _env.key ORG+ 기관코드 + 일번 _sig.cer ORG+ 기관코드 + 일번 _env.cer 기관용 ( 컴퓨터 ) 행정전자서명정보 저장매체 기준에 따름 SVR+ 기관코드 + 일련번호 _sig.key SVR+ 기관코드 + 일련번호 _env.key SVR+ 기관코드 + 일번 _sig.cer SVR+ 기관코드 + 일번 _env.cer 기관용 (SSL 용 ) 웹서버환경에준함 - 도메인.der 기관용 ( 중계시스템 ) 행정전자서명정보 저장매체 기준에 따름 업무구분 + 기관코드 + 일련번호 _sig.key 업무구분 + 기관코드 + 일련번호 _env.key 업무구분 + 기관코드 + 일번 _sig.cer 업무구분 + 기관코드 + 일번 _env.ce r 개인용 행정전자서명정보 저장매체 기준에 따름 사용자 ID_sig.key 사용자 ID_env.key 사용자 ID_sig.cer 사용자 ID_env.cer

26 l 등록기관 구분 인증서실시간검증 OCSP 키파일 인증서파일 저장위치파일명파일명 기관용 - 개인용 - /home/ocsp/ ra_prikey.key ra_pubkey.der 기관용 전자관인 컴퓨터 c:/gpki/certificate/class1/ /home/gpki/certificate/c lass1/ ORG+ 기관코드 + 일련번호 _sig.key ORG+ 기관코드 + 일련번호 _env.key WCP+ 기관코드 + 일련번호 _sig.key WCP+ 기관코드 + 일련번호 _env.key ORG+ 기관코드 + 일번 _sig.der ORG+ 기관코드 + 일번 _env.der WCP+ 기관코드 + 일번 _sig.der WCP+ 기관코드 + 일번 _env.der 개인용 c:/gpki/certificate/class2/ 사용자ID_sig.key 사용자ID_env.key 사용자ID_sig.cer 사용자ID_env.cer 구분 스마트폰 Mac OS X 안드로이드 윈도우모바일 내장형메모리 App ID 표준인터페이스함수는 PKCS#11 을준용한다 외장형메모리 USIM( 또는 IC 칩 ) 드라이브명 :/GPKI/Certificate/class1( 기관용 ) 드라이브명 :/GPKI/Certificate/class2( 개인용 ) 저장토큰 [KCAC.TS.UI] 준용보안토큰 (HSM) [KCAC.TS.HSMU] 와 [KCAC.TS.HSMS] 준용

27 l 속성 데이터타입 내용 처리 CKA_PRIME Big integer 소수 p (1024/2048비트) M CKA_SUBPRIME Big integer 소수 q (160/256 비트 ) M CKA_BASE Base g Big integer 기저 g (1024/2048비트) M CKA_VALUE Big integer 공개키 y M KCDSA 공개키객체템플릿 (C_CreateObject 함수이용시 ) : CK_OBJECT_CLASS class = CKO_PUBLIC_KEY; CK_KEY_TYPE keytype = CKK_KCDSA; CK_UTF8CHAR label[] = KCDSA public key object CK_BYTE prime[] = {...}; CK_BYTE subprime[] = {...}; CK_BYTE base[] = {...}; CK_BYTE value[] = {...}; CK_BBOOL true = CK_TRUE; CK_ATTRIBUTE template[] = { {CKA_CLASS, &class, sizeof(class)}, {CKA_KEY_TYPE, &keytype, sizeof(keytype)}, {CKA_TOKEN, &true, sizeof(true)}, {CKA_LABEL, label, sizeof(label)-1},

28 }; {CKA_ID, id, sizeof(id)}, {CKA_PRIME, prime, sizeof(prime)}, {CKA_SUBPRIME, subprime, sizeof(subprime)}, {CKA_BASE, base, sizeof(base)}, {CKA_VALUE, value, sizeof(value)} l 속성데이터타입내용처리 CKA_PRIME Big integer 소수 p (1024/2048 비트 ) M CKA_SUBPRIME Big integer 소수 q (160/256 비트 ) M CKA_BASE Base g Big integer 기저 g (1024/2048 비트 ) M CKA_VALUE Big integer 비밀키 x M KCDSA 비밀키객체템플릿 (C_CreateObject 함수이용시 ) : CK_OBJECT_CLASS class = CKO_PRIVATE_KEY; CK_KEY_TYPE keytype = CKK_KCDSA; CK_UTF8CHAR label[] = KCDSA private key object CK_BYTE subject[] = {...}; CK_BYTE id[] = {123}; CK_BYTE prime[] = {...}; CK_BYTE subprime[] = {...}; CK_BYTE base[] = {...}; CK_BYTE value[] = {...}; CK_BBOOL true = CK_TRUE; CK_ATTRIBUTE template[] = { {CKA_CLASS, &class, sizeof(class)}, {CKA_KEY_TYPE, &keytype, sizeof(keytype)}, {CKA_TOKEN, &true, sizeof(true)}, {CKA_LABEL, label, sizeof(label)-1}, {CKA_ID, id, sizeof(id)}, {CKA_SENSITIVE, &true, sizeof(true)}, {CKA_SIGN, &true, sizeof(true)}, {CKA_PRIME, prime, sizeof(prime)}, {CKA_SUBPRIME, subprime, sizeof(subprime)}, {CKA_BASE, base, sizeof(base)}, {CKA_VALUE, value, sizeof(value)} };

29 l CKK_KCDSA CKM_KCDSA_KEY_PAIR_GEN CKM_KCDSA CKM_KCDSA_X_509 CKM_KCDSA_SHA1 CKM_KCDSA_HAS160 CKM_KCDSA_SHA256 CKM_HAS160 0x x x x x x x x

31 OID 명칭설명비고 1 ISO 1 2 member-body korea 대한민국 gcma 행정전자서명인증관리센터 gpki-alg 인증관리센터알고리즘 neat 국가용암호알고리즘 neatecb neatcbc neatofb neatcfb neat 알고리즘 - ECB모드 neat 알고리즘 - CBC모드 neat 알고리즘 - OFB모드 neat 알고리즘 - CFB모드 neatmac neat 알고리즘 - MAC pbewithsha1andneat_cbc pbewithhas160andneat_cbc Reserved Reserved Reserved Reserved Reserved Reserved Reserved Reserved Reserved ARIA ARIA128 패스워드기반 neat - CBC모드패스워드기반 neat - CBC모드 ARIA_ECB ARIA128 - ECB 모드 ARIA_CBC ARIA128 - CBC 모드 ARIA_OFB ARIA128 - OFB 모드 ARIA_CFB ARIA128 - CFB 모드 ARIA_MAC ARIA128 - MAC pbewithsha1andaria_cbc pbewithsha256andaria_cbc pbewithhas160andaria_cbc 패스워드기반 ARIA128 - CBC모드패스워드기반 ARIA128 - CBC모드패스워드기반 ARIA128 - CBC모드

32 OID 명칭설명비고 gpki-cp GPKI 인증정책 Class 1 기관용 department 전자관인 computer 컴퓨터용 special 특수목적용 public_department 공공 / 민간전자관인 public_computer 공공 / 민간컴퓨터용 public_special 공공 / 민간특수목적용 Class 2 개인용 personal 공무원전자서명 public_personal gpki-kp 키용도 signature 서명용 encryption 암호용 공공 / 민간개인용전자서명 gpki-at 인증서속성 gpki-identifydata vid virtual ID 인증서소유자의부가대체명칭 encryptedvid encrypted virtual ID randomnum random number gpki-gov-ca 행정전자서명인증관리센터 CA-CWD CA- 대통령비서실사용중지 CA-CWD-CP CA- 대통령비서실인증서정책 사용중지 CA-NIS CA- 국가정보원사용중지 CA-NIS-CP CA- 국가정보원인증서정책 CA-MOE CA- 교육부 CA-MOE-CP CA- 교육부인증서정책 사용중지 CA-MND CA- 국방부사용중지 CA-MND-CP CA- 국방부인증서정책사용중지 CA-SPPO CA- 대검찰청 CA-SPPO-CP CA- 대검찰청인증서정책 CA-MMA CA- 병무청 CA-MMA-CP CA- 병무청인증서정책 CA-MOGAHA CA- 행정자치부 CA-MOGAHA-CP CA- 행정자치부인증서정책 CA-SCOURT CA- 법원

33 OID 명칭설명비고 CA-SCOURT-CP CA-법원인증서정책 Gpki-Int 상호연동 CTL 인증서신뢰목록방식 Npki-ctl 민간공인인증기관간상호연동 사용중지 (NPKI 대체 ) 사용중지 (NPKI 대체 ) 사용중지 (NPKI 대체 ) c=kr o=government of Korea o=public of Korea o=private of Korea ou=gpki cn=root CA cn=wroot CA c=kr RDN o=government of Korea o=public of Korea o=private of Korea ou=gpki cn=root CA cn=wrootca c=kr DN o=government of Korea, c=kr o=public of Korea, c=kr o=private of Korea, c=kr ou=gpki, o=government of Korea, c=kr cn=root CA, ou=gpki, o=government of Korea, c=kr cn=wroot CA, ou=gpki, o=government of Korea, c=kr

34 속성 OID 약칭크기 (Byte) Root CA CA 가입기관 기관 개인 인증서처리 ASN.1 스트링타입 commonname cn 64 M M R M M DirectoryString surname sn 64 X X X X R DirectoryString serialnumber uid 64 O O O O M PrintableString countryname c 2 M M M M M DirectoryString localityname l 128 O O O O M DirectoryString stateorprovincename st 128 O O O O M DirectoryString organizationname o 64 M M M M M DirectoryString organizationunitname ou 64 M M R M M DirectoryString title X X X X M DirectoryString businesscategory X X X X O DirectoryString givenname X X X X R DirectoryString initials X X X X R DirectoryString generationqualifier X X X X R DirectoryString dnqualifier O O O O R PrintableString

35 l 구분 ou 명 cn 명 DN 명 ( 예 ) 최상위인증기관인증기관 ( 유선 / 행정 / 개인 ) 인증기관 ( 유선 / 행정 / 기관 ) 인증기관 ( 유선 / 공공 / 개인 ) 인증기관 ( 유선 / 공공 / 기관 ) 인증기관 ( 무선 / 행정 / 기관 ) 등록기관 cn=rootca1 cn=rootca2 ou=gpki cn=wrootca1 cn=wrootca2 cn=ca+ 기관코드 (7)+ 일련번호 (2) cn=ca+ 기관코드 (7)+ 일련번호 (2) ou=gpki cn=ca+ 기관코드 (7)+ 일련번호 (2) cn=ca+ 기관코드 (7)+ 일련번호 (2) ou=gpki cn=ca+ 기관코드 (7)+ 일련번호 (2) ou=gpki cn=ca+ 기관코드 (7)+ 일련번호 (2) cn= 해당인증기관, cn=ra+ 기관코드 (7)+ 일련번호 (2) ou=gpki cn=rootca1, ou=gpki, o=government of Korea, c=kr cn=rootca2, ou=gpki, o=government of Korea, c=kr cn=wrootca1, ou=gpki, o=government of Korea, c=kr cn=wrootca2, ou=gpki, o=government of Korea, c=kr cn=ca ,ou=gpki,o=go vernment of Korea,c=KR cn=ca ,ou=gpki,o=go vernment of Korea,c=KR cn=ca ,ou=gpki,o=go vernment of Korea,c=KR cn=ra ,cn=ca ,ou=GPKI,o=Government of Korea,c=KR OCSP cn= 해당인증기관, ou=gpki cn=ocsp+ 기관코드 (7)+ 일련번호 (2) cn=ocsp ,cn=ca ,ou=GPKI,o=Government of Korea,c=KR TSA ou=group of Server cn=tsa+ 기관코드 (7)+ 일련번호 (3) cn=tsa ,ou=group of Server,o=Government of Korea,c=KR

36 l 구분 ou 명 cn 명 DN 명 ( 예 ) ou= 최하위기관명, 전자관인 ou= 상위기관명, ou= 최상위기관명 - ou= 보안팀,ou= 전자정부국,ou= 행정자치부,o=Government of Korea,c=KR 행정기관 기 관 용 ou=group of 컴퓨터용 Server cn=svr+ 기관코드 (7)+ 일련번호 (3) cn=wcp+ 기관코드 (7)+ 일련번호 (3) cn=svr ,ou=group of Server,o=Government of Korea,c=KR cn=wcp ,ou=group of Server,o=Government of Korea,c=KR SSL 용 ou=group of Server cn= 웹서버도메인명 cn= of Server, o=government of Korea, c=kr 공공 / 민간기관 개인용기관용개인용 개인 사용자 ou=people, ou= 최상위기관명 cn= 기관구분자 (3)+ 이름 + 일련번호 (3 ) * 일련번호 ; 동명이인 전자관인 ou= 최상위기관명 - ou=group of 컴퓨터용 Server 개인 사용자 ou=people, ou= 최상위기관명 cn=svr+ 기관코드 (7)+ 일련번호 (3) cn= 기관구분자 (3)+ 이름 + 일련번호 (3 ) * 일련번호 ; 동명이인 cn=001 홍길동 001,ou=people,ou = 행정자치부,o=Government of Korea,c=KR ou= 신용보증기금,o=public of Korea,c=KR cn=svrb ,ou=group of Server,o=public of Korea,c=KR cn=a81 홍길동 001,ou=people,ou = 신용보증기금,o=public of Korea,c=KR

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED - - 2000. 8.29. 2000. 8.29. 2001. 7. 5. 2001. 7. 5. 2001.12.17. 2001.12.17. 2002. 3.12. 2002. 3.12. 2002. 8.21. 2002. 9. 5. 2002.12.27.