우리 조직에는 Windows Server 2008 R2 시스템 중 하나에 자체 CA(인증 기관)가 있고 SSL을 사용하는 로컬 인트라넷 웹 사이트가 있습니다. 전임자는 현재 Chrome 및 FireFox의 요구 사항을 충족하지 않는 인증서를 2016년에 만들었습니다. 그 이후로 해당 인증서는 만료되었으며 갱신되지 않았습니다. 인증서를 갱신하고 원격 컴퓨터의 신뢰할 수 있는 루트 인증 기관에 설치했는데 이제 FireFox와 Chrome에서 인증서가 유효하지 않다고 주장합니다. FireFox에서는 약한 암호화를 사용한다고 하고 Chrome에서는 이유 없이 유효하지 않다고 하는데... 인증서 세부 정보 화면(?)에서는 인증서가 괜찮다고 합니다.
인증 기관은 현재 IIS 6을 통해 Windows Server 2008 R2에서 처리되고 있습니다.
제 질문은 이러한 요구 사항을 충족하도록 IIS와 인증서를 어떻게 구성할 수 있느냐는 것입니다.
C:/Windows/System32/certsrv/CertEnroll에 있는 인증서
X509 Certificate:
Version: 3
Serial Number: 6464d31bb0aeefa44bea96fe13c****
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=*******
NotBefore: 11/11/2016 9:30 AM
NotAfter: 11/11/2021 9:40 AM
Subject:
CN=******
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
Algorithm Parameters:
05 00
Public Key Length: 2048 bits
Public Key: UnusedBits = 0
0000 30 82 01 0a 02 82 01 01 00 bb 58 5d e8 11 4f 57
0010 aa 37 3a 21 af 8e ab 20 24 36 6f f6 6e c9 6b d9
0020 d7 10 7f e4 e6 26 0c ee e0 67 41 bd 0d 4d 2c 1c
0030 56 ec 20 7a 80 5d bc f9 ed 8d a9 4d d9 ac b6 f7
0040 24 18 2f 19 ae 35 d9 f3 a6 0a 1a 76 c3 07 c2 bb
******************
Certificate Extensions: 4
2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signin
g (86)
2.5.29.19: Flags = 1(Critical), Length = 5
Basic Constraints
Subject Type=CA
Path Length Constraint=None
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
a9 ab c3 52 50 8d 20 07 17 2d a0 7f 9d a9 ******
1.3.6.1.4.1.311.21.1: Flags = 0, Length = 3
CA Version
V0.0
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Signature: UnusedBits=0
0000 1e b8 e5 7e 93 d4 e4 1c 5b 23 12 14 b3 44 14 cb
0010 1a 22 a1 ab 7d 2e 72 2c af 20 76 0b d5 93 02 58
0020 d7 44 85 76 5d 97 c5 58 ba 48 53 e7 ab e8 f6 e2
0030 15 a8 90 6b 53 bd 9f 04 54 b0 a0 07 94 89 f5 01
0040 74 bc e9 0c 03 98 52 89 f6 5d 53 7a 42 ae 70 43
***************
Signature matches Public Key
Root Certificate: Subject matches Issuer
Key Id Hash(rfc-sha1): a9 ab c3 52 50 8d 20 07 17 ********
Key Id Hash(sha1): 17 52 93 4f ea 7d 37 58 df 80 e3 a8 ********
Cert Hash(md5): 88 8f 26 47 51 73 25 8a 3d d8 56 ********
Cert Hash(sha1): e2 fb 4e 43 b7 2e 35 00 fa 7b a8 8c ******
CertUtil: -dump command completed successfully.
답변1
귀하의 인증서는 사용된 암호화에 거의 영향을 미치지 않습니다. 대신 귀하의 (알 수 없는) 웹 서버에 구성된 암호 제품군이 이에 대한 책임을 지며 인증서는 사용 가능한 암호 제품군에 작은 영향만 미칩니다(예: RSA 인증서에는 RSA 인증을 통한 암호가 필요함).
이를 바탕으로 "더 강력한" 인증서를 얻는 것은 의미가 없습니다. 대신에 더 강력한 암호화 제품군을 지원하도록 웹 서버를 구성해야 합니다. 특히 RSA 키 교환을 사용하는 모든 암호화를 금지하거나 최소한 우선순위를 낮춰야 합니다.
인증과 관련된 인증서 자체의 강도에 관해서는 강력한 공개 키(RSA를 사용하는 경우 최소 2048비트)와 서명 알고리즘으로 최소한 SHA-256을 사용해야 합니다.