Studio에서 SSL 사용

SSL(Secure Sockets Layer)은 서버와 클라이언트 간에 암호화된 링크를 설정하기 위한 표준 보안 기술입니다. 암호화된 링크는 서버와 클라이언트 간에 전달된 모든 데이터를 사적이고 변경되지 않게 합니다. SSL 연결을 작성하려면 서버에 SSL 인증서가 필요합니다. 이 절에서는 Studio에서 SSL 사용 개요를 제공하며, 전송 계층 보안(TLS) 및 SSL 보안을 설명하고 인증서를 설명하며 SSL 클라이언트 인증을 확인할 때 사용할 인증 기관(CA) 및 최종 엔티티 인증서와 개인 키를 올바로 가져오는 데 필요한 프로시저를 제공합니다.

SSL 및 전송 계층 보안

TLS 1.0은 SSL 3.0 업그레이드를 나타냅니다. 한 예로, 클라이언트/서버 인증 및 암호화를 설정하기 위한 TLS 핸드쉐이크 프로토콜은 SSL 핸드쉐이크 프로토콜과 다릅니다. 또한 TLS는 지금 더 확장 가능합니다. 상호 운용은 불가능하지만 TLS는 TLS 1.0 구현을 SSL 3.0 구현으로 되돌릴 수 있는 메커니즘을 제공합니다.

TLS 프로토콜은 공개 키 및 대칭 키 암호 기술을 사용합니다. 공개 키 암호화는 공개 키와 개인 키를 사용합니다. 한 키를 사용하여 암호화된 정보는 다른 키로만 복호화할 수 있습니다. 예를 들어, 공개 키를 사용하여 암호화된 정보는 개인 키로만 복호화할 수 있습니다.

각 서버의 공개 키는 공개되는 반면, 개인 키는 비밀 상태를 유지합니다. 보안 메시지를 서버로 보내기 위해 클라이언트는 서버의 공개 키를 사용하여 메시지를 암호화합니다. 서버는 메시지를 수신하면 개인 키를 사용하여 메시지를 복호화합니다.

대칭 키 암호화는 동일한 키를 사용하여 메세지를 암호화하고 복호화합니다. 클라이언트는 모든 세션 데이터를 암호화하는데 사용될 대칭 키를 무작위로 생성합니다. 이 키는 서버의 공개 키를 사용하여 암호화되어 서버로 전송됩니다.

TLS는 다음 세 가지 기본 보안 서비스를 제공합니다.
  • 메시지 개인정보 보호정책 - 공개 키 및 대칭 키 암호화를 통해 수행됩니다. 클라이언트와 서버 간의 모든 트래픽은 세션 설정 중에 협상된 암호화 알고리즘과 키를 사용하여 암호화됩니다.
  • 메시지 무결성 - 세션 트래픽이 최종 목적지로의 경로를 변경하지 않게 합니다. TLS 및 SSL은 공개/개인 키와 해시 함수 조합을 사용하여 메시지 무결성을 보장합니다.
  • 상호 인증 - 공개 키 인증서를 통해 ID를 교환합니다. 클라이언트 및 서버 ID는 공개 키 인증서에서 암호화되며, 다음과 같은 컴포넌트를 포함합니다.
    • 주체의 식별 이름
    • 발급자의 식별 이름
    • 주체의 공개 키
    • 발급자의 서명
    • 유효 기간
    • 일련 번호
또한 보안 HTTP(HTTPS)를 사용하여 서버에서 다운로드될 때 클라이언트의 보안 정보가 훼손되지 않게 할 수 있습니다.

인증서

SSL은 디지털 인증서를 사용하여 서버의 ID와 선택적으로 클라이언트의 ID를 인증합니다. 디지털 인증서는 요청 당사자의 ID와 적법성을 확인한 후 디지털 인증서 발급, 갱신 및 폐기 권한이 있는 신뢰할 수 있는 기관인 인증 기관(CA)에서 발급합니다. 루트 CA 인증서 또는 하위 CA 인증서일 수 있는 CA 인증서는 CA 서명과 유효 기간을 포함합니다. CA는 키와 다른 CA 또는 최종 엔티티 간의 연결을 보증합니다. 최종 엔티티는 개인, 역할, 조직, 필명 또는 하드웨어 또는 소프트웨어 조각입니다.

암호화와 인증은 공개 및 개인 키를 통해 수행됩니다. 공개 키는 사이트 또는 서버 인증서로 알려진 인증서에 삽입됩니다. 인증서는 인증서를 발급한 CA 이름, 서버 또는 클라이언트의 이름과 공개 키, CA 서명, 인증서의 날짜와 일련 번호를 포함하여 몇 가지 정보 항목을 포함합니다. 개인 키는 자체 서명 인증서나 CA 인증서 요청을 작성할 때 작성되며 클라이언트의 메시지를 복호화하는데 사용됩니다.

SSL 또는 TLS 세션은 다음 순서로 설정됩니다.
  1. 클라이언트와 서버가 SSL 세션에 사용될 암호화 알고리즘과 해싱 함수(메시지 무결성을 위한) 협상을 위해 시작 메시지를 교환합니다.
  2. 클라이언트가 ID 증명을 위해 서버로부터 ITU-T 표준 X.509 인증서를 요청합니다. 선택적으로 서버는 클라이언트로부터 인증서를 요청할 수 있습니다. 인증서 형식, 유효 날짜를 확인하고 인증서가 신뢰할 수 있는 인증 기관의 서명을 포함하는지(또는 자체 서명됨) 확인하여 인증서를 확인합니다.
  3. 클라이언트가 암호화에 사용되는 키 세트를 무작위로 생성합니다. 키가 서버의 공용 키를 사용하여 암호화되며 안전하게 서버와 통신합니다.



피드백 | 주의사항


시간소인 아이콘 마지막 업데이트 날짜: 2013년 11월 6일 수요일