14인증 인프라인증 인프라

ICA(Internal Certificate Authority) 는 Management Server에 내장된 인증 기관 으로, SIC·VPN·사용자 인증서의 바탕입니다. ICA Management Tool 에서 관리자는 인증서 관리, CRL 재생성, ICA 파라미터 구성, 만료 인증서 제거 를 할 수 있습니다.

ICA는 인증서·CRL 모두 X.509 표준을 완전히 준수 합니다. 이 도구는 기본적으로 비활성 이라, 쓰려면 SmartConsole에서 관리자·사용자 객체와 인증서를 만들고, 관리 서버 CLI에서 cpca_client set_mgmt_tool add … 로 허용 사용자를 추가 해야 합니다(모범 사례는 sk102837).

스마트폰·태블릿 사용자가 클라이언트 인증서로 게이트웨이에 인증 하게 할 수 있습니다. 많은 조직에서 인증서 발급·유지는 게이트웨이 관리 부서와 다른 부서(예: 헬프데스크) 가 맡으므로, 인증서 발급만 허용하고 나머지 권한은 제한한 관리자 를 둘 수 있습니다(관리자·사용자 계정 관리).

발급은 SmartConsole의 Security Policies > Access Control > Access Tools > Client Certificates 에서 합니다. Check Point Mobile Apps는 인증서만으로, 또는 인증서+사용자명/암호의 2단계 인증 을 쓰며, 인증서는 Mobile Access 게이트웨이를 관리하는 서버의 내부 CA(ICA)가 서명 합니다. 이 페이지에서 인증서를 만들고·편집·폐기하고, 상태·만료일·등록 키를 보고, 사용자에게 배포(이메일 템플릿) 합니다.

Gaia API Proxy 는 관리 서버를 거쳐 관리 대상 게이트웨이·클러스터 멤버의 Gaia API를 실행 하게 해 줍니다. 즉 API 클라이언트가 관리 서버에 접속하면, 거기서 각 게이트웨이의 Gaia API 명령을 돌릴 수 있습니다.

!Gaia API Proxy 구성 *① API 클라이언트 ② Gaia API Proxy 기능을 가진 Management Server ③ 관리 대상 Security Gateway ④ 관리 대상 ClusterXL · Ⓐ Management API 통신 Ⓑ Gaia API 통신*

흐름은 Management API login 명령으로 관리 서버에 로그인해 SID 토큰을 받고, 그 토큰을 Gaia API 명령의 X-chkp-sid 필드에 넣어 게이트웨이에 실행 하는 것입니다(로그인 관리자는 Run One Time Script 권한 필요). 단, Scalable Platforms(ElasticXL·Maestro·Chassis)는 이 기능을 지원하지 않 습니다.

POST https://<관리 서버 IP>/web_api/gaia-api/<버전>/<Gaia API 명령>