목차/14. 인증 인프라

14인증 인프라인증 인프라

Check Point 환경의 신뢰는 내부 인증 기관(ICA)이 발급한 인증서 위에 섭니다. 이 장은 그 ICA를 다루는 ICA Management Tool 의 전부 — 접속 방법, 포털 구성, 사용자 인증서 관리, 인증서 발급(Initiate·Generate·PKCS#10), 대량 발급, CRL 관리, CA 정리·구성과 모든 속성, 그리고 인증서의 수명과 상태 — 를 빠짐없이 풀어 정리합니다.

ICA Management Tool 개요

ICA(Internal Certificate Authority)Management Server에 내장된 인증 기관 으로, SIC·VPN·사용자 인증서의 바탕입니다. ICA Management Tool 에서 관리자는 다음 작업을 할 수 있습니다.

  • 인증서 관리(Manage certificates)
  • CRL 재생성(Recreate CRLs)
  • 내부 인증 기관(ICA) 파라미터 구성
  • 만료된 인증서 제거(Remove expired certificates)

Check Point ICA인증서·CRL 모두 X.509 표준을 완전히 준수 합니다. 더 알고 싶으면 관련 X.509·PKI 문서와 RFC 2459 를 참고하세요. 구성 모범 사례는 sk102837(Best Practices - ICA Management Tool configuration)에 정리되어 있습니다.

ICA Management Tool에 접속하기

ICA Management Tool은 기본적으로 비활성 입니다. 다음 순서로 켜고 접속합니다.

  1. SmartConsole 에서 필요한 관리자·사용자 객체를 구성합니다. 이때 이 관리자·사용자용 인증서를 반드시 만들어야 합니다. 이 인증서로 ICA Management Tool에서 허용 사용자를 지정하고, 클라이언트 웹 브라우저에서도 인증에 씁니다.
  2. Management Server 명령줄에서, 이 도구를 쓰도록 허용할 관리자·사용자를 추가합니다.
   cpca_client set_mgmt_tool add ...
   
  1. Management Server 명령줄에서 ICA Management Tool을 시작합니다.
   cpca_client set_mgmt_tool on
   
  1. ICA Management Tool의 상태를 확인합니다.
   cpca_client set_mgmt_tool print
   

(위 세 명령의 자세한 내용은 관리 가이드의 cpca_client set_mgmt_tool 항목을 참고하세요. 관련 CLI는 관리 서버 운영도 함께 보세요.) 5. 관리자·사용자 인증서를 Windows 인증서 저장소 로 가져옵니다. - a. 관리자·사용자를 만들 때 저장한 *.p12 파일을 마우스 오른쪽 클릭하고 Install PFX 를 누릅니다. 그러면 인증서 가져오기 마법사가 열립니다. - b. Store Location 에서 알맞은 옵션을 고릅니다 — Current User(기본값) 또는 Local Machine. - c. Next 를 누릅니다. - d. 그 인증서를 만들 때 쓴 같은 인증서 암호 를 입력합니다. - e. Enable strong private key protection끕니다(체크 해제). - f. Mark this key as exportable선택 합니다. - g. Next 를 누릅니다. - h. Place all certificates in the following store 를 고르고 Browse > Personal > OK 순으로 선택합니다. - i. Next 를 누릅니다. - j. Finish 를 누릅니다. 6. 웹 브라우저에서 ICA Management Tool에 접속합니다.

   https://<Management Server의 IP 주소>:18265
   
   Client Authentication
   Identification

   The Web site you want to view requests identification.
   Select the certificate to use when connecting.
   
  1. ICA Management Tool 인증에 쓸 알맞은 인증서를 선택 합니다.
  2. OK 를 누릅니다.
  3. Security Alert 대화 상자에서 Yes 를 누릅니다.

ICA Management Tool 포털 구성

ICA Management Tool 포털
ICA Management Tool 포털

포털 화면은 세 영역으로 나뉩니다.

번호창(Pane)설명
1Menu수행할 수 있는 작업 목록을 보여 줍니다.
2Operations실제 작업을 하는 창입니다(아래 네 가지).
3Results실행한 작업의 결과를 보여 줍니다. 인증서와 그 속성을 나열한 표로 구성됩니다.

Operations 창에서 할 수 있는 작업은 다음과 같습니다.

  • Manage certificates — 기존 인증서를 관리합니다. 창은 검색 속성 구성(Search attributes)대량 작업 구성(Bulk operation) 으로 나뉩니다.
  • Create Certificates — 새 인증서를 만듭니다.
  • Configure the CA — 내부 인증 기관 파라미터를 구성합니다. CA의 시간·이름, Security Management Server의 버전·빌드 번호도 볼 수 있습니다.
  • Manage CRLs — CRL을 내려받고, 게시(publish)하고, 재생성합니다.

사용자 인증서 관리

내부에서 관리하는 사용자 인증서는 ICA Management Tool로 초기화(initialize)·폐기(revoke)·등록 제거(remove registration) 를 할 수 있습니다. LDAP 서버에서 관리되는 사용자의 인증서는 오직 ICA Management Tool로만 관리 할 수 있습니다.

ICA Management Tool로 구성할 수 있는 사용자 인증서 속성은 다음과 같습니다.

속성기본값구성 가능비고
validity(유효기간)2년
key size(키 크기)2048비트4096비트로 설정 가능
내부 DB에서 관리하는 사용자 인증서의 DNCN=user name, OU=users아니오이 DN은 ICA의 DN 뒤에 덧붙음
LDAP 서버에서 관리하는 사용자 인증서의 DNLDAP 브랜치에 따라 달라짐
KeyUsage5디지털 서명 + 키 암호화(Key encipherment)
ExtendedKeyUsage0(KeyUsage 없음)

사용자 인증서의 키 크기 바꾸기

사용자가 Remote Access 머신에서 등록을 완료 하는 경우, 키 크기는 SmartConsole의 Advanced Configuration 페이지에서 정합니다.

  1. Menu 에서 Global Properties 를 선택합니다.
  2. Advanced 로 가서 Advanced Configuration 영역의 configure 를 누릅니다. Advanced Configuration 창이 열립니다.
  3. Certificates and PKI 속성 페이지로 갑니다.
  4. user_certs_key_size 속성에 새 키 크기를 설정합니다.
  5. OK 를 누릅니다.

동시에 여러 작업 수행하기

ICA Management Tool은 여러 작업을 동시에 처리할 수 있습니다. 예를 들면 다음과 같은 흐름이 가능합니다.

  • 조직 전 직원의 정보를 얻는 LDAP 쿼리 를 실행하고
  • 그 데이터로 파일을 만든 뒤, 그 파일로 전 직원의 인증서 생성을 시작(초기화) 하고, 새 인증서에 대한 알림을 각 직원에게 보냅니다.

동시에 수행할 수 있는 작업은 다음과 같습니다.

  • 사용자 인증서 초기화(Start/initialize)
  • 사용자 인증서 폐기(Revoke)
  • 사용자에게 메일 보내기
  • 만료된 인증서 제거
  • 등록 절차가 완료되지 않은 인증서 제거

권한이 제한된 ICA 관리자

ICA Management Tool은 권한이 제한된 관리자 를 지원합니다. 이런 관리자는 여러 작업을 동시에 실행할 수 없으며, 권한은 다음으로만 한정됩니다.

  • 기본 검색(Basic searches)
  • 신규 사용자를 위한 인증서 초기화

인증서 관련 작업

SIC 인증서 관리

SIC 인증서는 SmartConsole에서 관리 합니다.

Security Gateway VPN 인증서 관리

VPN 인증서는 해당 네트워크 객체의 VPN 페이지에서 관리합니다. 이 인증서는 Check Point Security Gateway나 호스트에 IPSec VPN 블레이드가 정의되면 자동으로 발급 되며, 이 정의는 해당 네트워크 객체의 General Properties 창에서 지정합니다. VPN 인증서가 폐기되면 새 인증서가 자동으로 발급 됩니다.

SmartConsole에서의 사용자 인증서 관리

내부 데이터베이스에서 관리되는 사용자 의 인증서는 SmartConsole에서 관리합니다. 자세한 내용은 R82 Remote Access VPN Administration Guide의 User Certificates를 참고하세요.

사용자에게 인증서 초기화 알리기

ICA Management Tool은 인증서 초기화에 대한 알림 메일을 사용자에게 보내 도록 구성할 수 있습니다.

  1. Menu 창에서 Configure the CA 를 누릅니다.
  2. Management Tool Mail Attributes 영역에서 다음을 구성합니다.
    • 메일 서버
    • 메일 "From" 주소
    • (선택) "To" 주소 — 사용자 주소를 모를 때 쓰며, 관리자가 사용자를 대신해 인증서를 받아 나중에 전달하는 용도입니다.
  3. Apply 를 누릅니다.

ICA 인증서 파일 가져오기

관리 가이드의 cpca_client set_ca_services 항목을 참고하세요.

인증서 검색하기

검색에는 두 가지 방식이 있습니다.

  • 기본 검색(Basic) — 사용자 이름·종류·상태·일련번호만 포함합니다.
  • 고급 검색(Advanced) — 모든 검색 필드를 포함하며, 권한 제한이 없는 관리자만 할 수 있습니다.

검색하려면 Manage Certificates 페이지에서 검색 파라미터를 넣고 Search 를 누릅니다.

기본 검색 파라미터

  • User Name — 사용자 이름 문자열(기본값은 빈 칸)
  • Type — 드롭다운: Any(기본)·SIC·Gateway·Internal User or LDAP user
  • Status — 드롭다운: Any(기본)·Pending·Valid·Revoked·Expired·Renewed (superseded)
  • Serial Number — 찾을 인증서의 일련번호(기본값은 빈 칸)

고급 검색 속성

기본 검색 파라미터에 더해 다음을 지정합니다.

  • Sub DN — DN 부분 문자열(기본값은 빈 칸)
  • Valid From — 인증서가 유효해지는 시작 날짜. 형식은 dd-mmm-yyyy [hh:mm:ss](예: 15-Jan-2003). 기본값은 빈 칸
  • Valid To — 인증서가 유효한 끝 날짜. 형식은 dd-mmm-yyyy [hh:mm:ss](예: 14-Jan-2003 15:39:26). 기본값은 빈 칸
  • CRL Distribution Point — 드롭다운: Any(기본)·No CRL Distribution Point(관리 업그레이드 전에 발급된 인증서, 즉 옛 CRL 모드 인증서). 이 목록에는 사용 가능한 모든 CRL 번호 도 함께 표시됩니다.

검색 결과

검색 결과는 Search Results 창에 나오며, 검색된 인증서 속성을 나열한 표입니다.

  • (SN) Serial Number — 인증서의 일련번호
  • User Name (CN) — 첫 등호(=)와 그다음 쉼표(,) 사이의 문자열
  • DN
  • StatusPending·Valid·Revoked·Expired·Renewed (superseded) 중 하나
  • 인증서가 유효해지는 날짜부터 만료되는 날짜까지

인증서 세부 정보 보기·저장하기

검색 결과에 나온 인증서 세부 정보를 보거나 저장할 수 있습니다. Search Results 창에서 DN 링크 를 누르면 됩니다.

  • 상태가 pending 이면 — 인증서 정보와 등록 키(registration key)가 함께 표시 되고, 로그 항목이 만들어져 SmartConsole > Logs & Events > Logs에 나타납니다.
  • 인증서가 이미 만들어진 상태 라면 — 디스크에 저장하거나(운영체제가 확장자를 인식하면) 직접 열 수 있습니다.

인증서 제거·폐기와 메일 알림 보내기

  1. Menu 창에서 Manage Certificates 를 누릅니다.
  2. 속성을 지정해 인증서를 검색합니다(위 "인증서 검색하기" 참고). 결과가 Search Results 창에 나옵니다.
  3. 필요한 인증서를 고르고 다음 중 하나를 누릅니다.
버튼동작
Revoke Selected선택한 인증서를 폐기하고, 보류(pending) 인증서는 CA 데이터베이스에서 제거 합니다.
Remove Selected선택한 인증서를 CA 데이터베이스와 CRL에서 제거합니다. 만료(expired)되었거나 보류(pending) 중인 인증서만 제거할 수 있 습니다.
Mail to Selected선택한 모든 보류 인증서에 대해 메일을 보냅니다. 메일에는 인증 코드(authorization code) 가 들어가며, 이메일이 정의되지 않은 사용자에게는 기본 주소로 보냅니다(위 "사용자에게 인증서 초기화 알리기" 참고).

CA에 인증서 요청 제출하기

CA에 인증서 요청을 제출하는 방법은 세 가지입니다.

  • Initiate — CA에서 등록 키(registration key) 가 만들어지고, 사용자가 한 번 그것을 써서 인증서를 만듭니다.
  • Generate — 인증서 파일이 만들어지며, 암호와 연결 되어 인증서에 접근할 때 그 암호를 입력해야 합니다.
  • PKCS#10 — CA가 PKCS#10 요청을 받으면 인증서를 만들어 요청자에게 전달합니다.

Initiate — 인증서 초기화하기

  1. Menu 창에서 Create Certificates > Initiate 를 선택합니다.
  2. User Name 또는 Full DN 을 넣거나, Advanced 를 눌러 양식을 채웁니다.
    • Certificate Expiration Date — 날짜를 고르거나 dd-mmm-yyyy [hh:mm:ss] 형식으로 입력(기본값은 생성일로부터 2년)
    • Registration Key Expiration Date — 날짜를 고르거나 dd-mmm-yyyy [hh:mm:ss] 형식으로 입력(기본값은 생성일로부터 2주)
  3. Go 를 누릅니다. 등록 키가 만들어져 Results 창에 나옵니다. 필요하면 Send mail to user 를 눌러 등록 키를 메일로 보냅니다. 메일의 문자 수는 1900자로 제한 됩니다.
  4. 사용자가 올바른 등록 키를 입력하면 인증서를 쓸 수 있게 됩니다.

Generate — 인증서 생성하기

  1. Menu 창에서 Create Certificates > Generate 를 선택합니다.
  2. User Name 또는 Full DN 을 넣거나, Advanced 를 눌러 양식을 채웁니다.
    • Certificate Expiration Datedd-mm-yyyy [hh:mm:ss] 형식(기본값은 생성일로부터 2년)
    • Registration Key Expiration Datedd-mm-yyyy [hh:mm:ss] 형식(기본값은 생성일로부터 2주)
  3. 암호를 입력합니다.
  4. Go 를 누릅니다.
  5. P12 파일 을 저장해 사용자에게 전달합니다.

PKCS#10 — PKCS#10 인증서 만들기

  1. Menu 창에서 Create Certificates > PKCS#10 을 선택합니다.
  2. 제공받은 base-64로 암호화된 버퍼 텍스트 를 빈 칸에 붙여 넣습니다. Browse for a file to insert(IE 전용)를 눌러 요청 파일을 가져올 수도 있습니다.
  3. Create 를 누르고 만들어진 인증서를 저장합니다.
  4. 인증서를 요청자에게 전달합니다.

여러 인증서를 한꺼번에 초기화하기

인증서 묶음을 동시에 초기화할 수 있습니다.

  1. 초기화할 DN 목록 파일 을 만듭니다.

LDAP 쿼리로 만든 파일

LDAP 검색으로 초기화한 파일은 다음 형식을 따릅니다.

  • 빈 줄 다음의 각 줄, 또는 파일의 첫 줄이 초기화할 DN 하나 를 나타냅니다.
  • 줄이 mail= 로 시작하면 그 뒤 문자열은 사용자의 메일 입니다. 메일이 없으면 ICA의 Management Tool Mail To Address 속성에서 주소를 가져옵니다.
  • not_after 속성이 있는 줄이 있으면 그다음 줄의 값이 인증서 만료일 입니다(지금부터의 초 단위로 표기).
  • otp_validity 속성이 있는 줄이 있으면 그다음 줄의 값이 등록 키 만료일 입니다(지금부터의 초 단위로 표기).

LDAP 검색 출력 예시입니다.

86400
otp_validity
3600
uid=user_1,ou=People,o=intranet,dc=company,dc=com
mail=user_1@company.com
<blank_line>
...
uid=...

자세한 내용은 관리 가이드의 "Configuring Administrators and Users on an External LDAP Server"를 참고하세요.

단순(비LDAP) 쿼리로 만든 파일

파일에 DN과 이메일을 다음 형식으로 적으면 단순(비LDAP) 쿼리를 만들 수 있습니다.

<이메일 주소 1> 공백 <DN 1>
... 구분자로 빈 줄 ...
<이메일 주소 2> 공백 <DN 2>

CRL

CRL 관리

기본적으로 CRL은 1주일 동안 유효 하며, 이 값은 바꿀 수 있습니다. 새 CRL은 다음 시점에 발급됩니다.

  • CRL 유효 기간의 약 60%가 지났을 때
  • 인증서 폐기 직후

ICA Management Tool로 특정 CRL을 재생성 할 수 있습니다. 이 기능은 CRL이 삭제되거나 손상되었을 때의 복구 수단 역할을 합니다. 관리자는 ICA Management Tool로 DER 인코딩된 CRL 을 내려받을 수 있습니다.

CRL 모드(CRL Modes)

ICA는 여러 개의 CRL을 발급 할 수 있습니다. 여러 CRL은 하나의 CRL이 10K보다 커지는 것을 막 습니다. CRL이 10K를 넘으면 VPN 터널을 열 때 IKE 협상이 실패 할 수 있습니다.

여러 CRL은 발급된 각 인증서를 특정 CRL에 귀속 시켜 만듭니다. 인증서가 폐기되면 그 일련번호가 지정된 CRL에 나타납니다. 인증서의 CRL Distribution Point(CRLDP) 확장에는 지정된 CRL의 URL 이 들어 있어, 인증서를 검증할 때 올바른 CRL을 가져오도록 보장합니다.

CRL 작업(CRL Operations)

ICA Management Tool로 CRL을 내려받거나, 갱신하거나, 재생성할 수 있습니다.

  1. Menu 창에서 Manage CRLs 를 선택합니다.
  2. 드롭다운에서 하나 이상의 CRL을 고릅니다.
  3. 작업을 선택합니다.
    • Download — CRL을 내려받습니다.
    • Publish — CRL 데이터베이스를 바꾼 뒤 SmartConsole 세션을 게시 해 CRL을 갱신합니다. 이 작업은 CRL Duration 속성으로 정한 주기마다 수행됩니다.
    • Recreate — CRL을 재생성합니다.

CA 절차

CA 정리(CA Cleanup)

CA를 정리하려면 만료된 인증서를 제거 해야 합니다. 수동 또는 자동으로 할 수 있습니다.

수동으로 만료 인증서 제거하기:

  1. Security Management Server의 시간이 정확한지 확인합니다.
  2. Menu 창에서 Manage CRLs > Clean the CA's Database and CRLs from expired certificates 를 선택합니다.

만료 인증서 자동 제거:

  • 재시작할 때마다 만료된 인증서가 모두 자동으로 정리됩니다.
  • 더불어 3주마다 자동 정리 작업이 예약되며, 다음 시점부터 시작합니다 — 장비를 처음 켰을 때, 그리고 장비를 재시작할 때마다.

CA 구성하기

  1. Menu 창에서 Configure the CA 를 선택합니다.
  2. 아래 "CA 데이터 형식과 속성"을 필요한 만큼 편집합니다.
  3. Operations 창에서 작업을 선택합니다.
작업동작
ApplyCA 구성 설정을 저장·적용합니다. 값이 유효하면 즉시 효력 이 생기고, 유효하지 않은 문자열은 모두 기본값으로 바뀝니다.
Cancel모든 값을 마지막으로 저장된 구성의 값으로 되돌립니다.
Restore DefaultCA를 기본 구성 설정으로 되돌립니다.

CA 데이터 형식과 속성

CA 데이터 형식은 다음과 같습니다.

  • Time(시간)<숫자> days <숫자> seconds 형식으로 표시됩니다(예: CRL Duration: 7 days 0 seconds). 표시된 형식 그대로 입력하거나 초 단위 숫자 로 입력할 수 있습니다.
  • Integer(정수) — 보통의 정수입니다(예: SIC Key Size: 2048).
  • Boolean(불린)true 또는 false(대소문자 무관)입니다(예: Enable renewal: true).
  • String(문자열) — 영숫자 문자열입니다(예: Management Tool DN prefix: cn=tests).

다음은 CA 속성을 알파벳 순으로 정리한 표입니다.

속성설명값(범위)기본값
Authorization Code Length인증 코드의 문자 수min 6 / max 126
CRL DurationCRL이 유효한 기간min 5분 / max 1년1주
Enable Renewal사용자 인증서의 갱신을 켤지 여부(Boolean)true 또는 falsetrue
Grace Period Before Revocation옛 인증서가 Renewed(superseded) 상태로 남는 시간min 0 / max 5년1주
Grace Period Check Period기간이 지난 인증서를 폐기하려고 Renewed(superseded) 목록을 점검하는 간격min 10분 / max 1주1일
IKE Certificate Validity PeriodIKE 인증서가 유효한 기간min 10분 / max 3년1년
IKE Certificate Extended Key UsageIKE 인증서의 확장 키 용도(RFC 2459 참고)비어 있으면 KeyUsage 없음
IKE Certificate Key usageIKE 인증서의 동작 용도(RFC 2459 참고)디지털 서명 + 키 암호화
Management Tool DN prefix사용자 이름 입력 시 만들어질 DN의 접두사CN= / UID=CN=
Management Tool DN suffix사용자 이름 입력 시 만들어질 DN의 접미사ou=users
Management Tool Hide Mail Button보안상, 단일 인증서 표시 후의 메일 전송 버튼을 숨길지true 또는 falsefalse
Management Tool Mail Server등록 코드 메일을 보내는 SMTP 서버. 기본값이 없으며 메일을 쓰려면 반드시 설정
Management Tool Registration Key Validity Period이 도구로 초기화한 등록 코드의 유효 기간min 10분 / max 2개월2주
Management Tool User Certificate Validity Period이 도구로 초기화한 사용자 인증서의 유효 기간min 1주 / max 20년2년
Management Tool Mail From Address메일을 보낼 때 From 필드에 나오는 주소. 메일 전송 상태 보고가 이 주소로 옴
Management Tool Mail Subject메일 제목 필드
Management Tool Mail Text Format메일 본문 텍스트. 텍스트 외에 변수 3개 사용 가능 — $REG_KEY(등록 키)·$EXPIRE(만료 시각)·$USER(사용자 DN)Registration Key: $REG_KEY / Expiration: $EXPIRE
Management Tool Mail To address이메일이 정의되지 않은 사용자에게 보낼 기본 주소
Max Certificates Per Distribution Point새 CRL 모드에서 한 CRL의 최대 용량min 3 / max 400400
New CRL ModeCRL 모드를 나타내는 Boolean0 = 옛 모드 / 1 = 새 모드true
Number of certificates per search page검색 창의 한 페이지에 표시할 인증서 수min 1 / max 약 700약 700
Number of Digits for Serial Number인증서 일련번호의 자릿수min 5 / max 105
Revoke renewed certificates갱신 후 옛 인증서를 폐기할지. 폐기하지 않으면 갱신 때마다 CRL이 커지는 것을 막지만, 사용자가 유효 인증서를 둘 가질 수 있음true 또는 falsetrue
SIC Key SizeSIC에 쓰는 키의 비트 크기1024 / 2048 / 40962048
SIC Certificate Key usageSIC 인증서의 동작 용도(RFC 2459 참고)디지털 서명 + 키 암호화
SIC Certificate Validity PeriodSIC 인증서가 유효한 기간min 10분 / max 20년5년
User Certificate Extended Key Usage사용자 인증서의 확장 키 용도(RFC 2459 참고)비어 있으면 KeyUsage 없음
User Certificate Key Size사용자 인증서 키의 비트 크기1024 / 2048 / 40962048
User Certificate Key usage사용자 인증서의 동작 용도(RFC 2459 참고)디지털 서명 + 키 암호화

인증서의 수명과 상태

ICA가 발급한 인증서에는 정해진 유효 기간 이 있으며, 그 기간이 끝나면 인증서가 만료됩니다.

SIC 인증서, Security Gateway의 VPN 인증서, 그리고 사용자 인증서는 SmartConsole에서 한 단계로 만들 수 있습니다. 사용자 인증서는 SmartConsole이나 ICA Management Tool로 두 단계 로도 만들 수 있습니다.

  • Initialization(초기화) — 사용자를 위한 등록 코드가 만들어집니다. 이 단계가 끝나면 인증서 상태는 pending 입니다.
  • Registration(등록) — 사용자가 원격 클라이언트에서 등록 절차를 마치고 등록 코드를 입력하면 인증서가 valid 가 됩니다.

이 두 단계 방식의 장점은 다음과 같습니다.

보안 강화개인 키는 사용자 머신에서 만들어져 저장 되고, ICA가 발급한 인증서는 안전하게 클라이언트로 내려 받힙니다.

발급 전 자동·관리자 주도 인증서 제거 — 사용자가 주어진 기간(기본 2주) 안에 등록 절차를 끝내지 못하면 등록 코드가 자동으로 제거 됩니다. 관리자는 사용자가 등록을 마치기 전에 등록 키를 제거할 수 있고, 그 후 사용자 인증서를 폐기할 수 있습니다.

사용자 인증서의 명시적·자동 갱신으로 연결 연속성 보장PKCS12 형식의 사용자 인증서는 사용자가 명시적으로 갱신 하거나, 만료가 다가오면 자동으로 갱신 되게 설정할 수 있습니다. 이 갱신으로 사용자는 조직 네트워크에 끊김 없이 접속할 수 있습니다. 관리자는 옛 사용자 인증서를 언제 자동 폐기 할지 정할 수 있습니다.

SIC 인증서의 자동 갱신으로 SIC 연결 연속성 보장 — SIC 인증서는 유효 기간의 75%가 지나면 자동으로 갱신 됩니다. 예를 들어 SIC 인증서가 5년 유효하다면 3.75년이 지난 시점 에 새 인증서가 만들어져 SIC 대상에 자동으로 내려받힙니다. 이 자동 갱신은 Security Gateway의 SIC 연결이 끊기지 않게 보장합니다. 관리자는 옛 인증서를 즉시 자동 폐기하거나 정해진 기간 뒤에 폐기할 수 있으며, 기본적으로 옛 인증서는 갱신 1주일 뒤에 폐기 됩니다.