14인증 인프라인증 인프라
Check Point 환경의 신뢰는 내부 인증 기관(ICA)이 발급한 인증서 위에 섭니다. 이 장은 그 ICA를 다루는 ICA Management Tool 의 전부 — 접속 방법, 포털 구성, 사용자 인증서 관리, 인증서 발급(Initiate·Generate·PKCS#10), 대량 발급, CRL 관리, CA 정리·구성과 모든 속성, 그리고 인증서의 수명과 상태 — 를 빠짐없이 풀어 정리합니다.
ICA Management Tool 개요
ICA(Internal Certificate Authority) 는 Management Server에 내장된 인증 기관 으로, SIC·VPN·사용자 인증서의 바탕입니다. ICA Management Tool 에서 관리자는 다음 작업을 할 수 있습니다.
- 인증서 관리(Manage certificates)
- CRL 재생성(Recreate CRLs)
- 내부 인증 기관(ICA) 파라미터 구성
- 만료된 인증서 제거(Remove expired certificates)
Check Point ICA 는 인증서·CRL 모두 X.509 표준을 완전히 준수 합니다. 더 알고 싶으면 관련 X.509·PKI 문서와 RFC 2459 를 참고하세요. 구성 모범 사례는 sk102837(Best Practices - ICA Management Tool configuration)에 정리되어 있습니다.
ICA Management Tool에 접속하기
ICA Management Tool은 기본적으로 비활성 입니다. 다음 순서로 켜고 접속합니다.
- SmartConsole 에서 필요한 관리자·사용자 객체를 구성합니다. 이때 이 관리자·사용자용 인증서를 반드시 만들어야 합니다. 이 인증서로 ICA Management Tool에서 허용 사용자를 지정하고, 클라이언트 웹 브라우저에서도 인증에 씁니다.
- Management Server 명령줄에서, 이 도구를 쓰도록 허용할 관리자·사용자를 추가합니다.
cpca_client set_mgmt_tool add ...
- Management Server 명령줄에서 ICA Management Tool을 시작합니다.
cpca_client set_mgmt_tool on
- ICA Management Tool의 상태를 확인합니다.
cpca_client set_mgmt_tool print
(위 세 명령의 자세한 내용은 관리 가이드의 cpca_client set_mgmt_tool 항목을 참고하세요. 관련 CLI는 관리 서버 운영도 함께 보세요.)
5. 관리자·사용자 인증서를 Windows 인증서 저장소 로 가져옵니다.
- a. 관리자·사용자를 만들 때 저장한 *.p12 파일을 마우스 오른쪽 클릭하고 Install PFX 를 누릅니다. 그러면 인증서 가져오기 마법사가 열립니다.
- b. Store Location 에서 알맞은 옵션을 고릅니다 — Current User(기본값) 또는 Local Machine.
- c. Next 를 누릅니다.
- d. 그 인증서를 만들 때 쓴 같은 인증서 암호 를 입력합니다.
- e. Enable strong private key protection 을 끕니다(체크 해제).
- f. Mark this key as exportable 을 선택 합니다.
- g. Next 를 누릅니다.
- h. Place all certificates in the following store 를 고르고 Browse > Personal > OK 순으로 선택합니다.
- i. Next 를 누릅니다.
- j. Finish 를 누릅니다.
6. 웹 브라우저에서 ICA Management Tool에 접속합니다.
https://<Management Server의 IP 주소>:18265
Client Authentication
Identification
The Web site you want to view requests identification.
Select the certificate to use when connecting.
- ICA Management Tool 인증에 쓸 알맞은 인증서를 선택 합니다.
- OK 를 누릅니다.
- Security Alert 대화 상자에서 Yes 를 누릅니다.
ICA Management Tool 포털 구성

포털 화면은 세 영역으로 나뉩니다.
| 번호 | 창(Pane) | 설명 |
|---|---|---|
| 1 | Menu | 수행할 수 있는 작업 목록을 보여 줍니다. |
| 2 | Operations | 실제 작업을 하는 창입니다(아래 네 가지). |
| 3 | Results | 실행한 작업의 결과를 보여 줍니다. 인증서와 그 속성을 나열한 표로 구성됩니다. |
Operations 창에서 할 수 있는 작업은 다음과 같습니다.
- Manage certificates — 기존 인증서를 관리합니다. 창은 검색 속성 구성(Search attributes) 과 대량 작업 구성(Bulk operation) 으로 나뉩니다.
- Create Certificates — 새 인증서를 만듭니다.
- Configure the CA — 내부 인증 기관 파라미터를 구성합니다. CA의 시간·이름, Security Management Server의 버전·빌드 번호도 볼 수 있습니다.
- Manage CRLs — CRL을 내려받고, 게시(publish)하고, 재생성합니다.
사용자 인증서 관리
내부에서 관리하는 사용자 인증서는 ICA Management Tool로 초기화(initialize)·폐기(revoke)·등록 제거(remove registration) 를 할 수 있습니다. LDAP 서버에서 관리되는 사용자의 인증서는 오직 ICA Management Tool로만 관리 할 수 있습니다.
ICA Management Tool로 구성할 수 있는 사용자 인증서 속성은 다음과 같습니다.
| 속성 | 기본값 | 구성 가능 | 비고 |
|---|---|---|---|
| validity(유효기간) | 2년 | 예 | |
| key size(키 크기) | 2048비트 | 예 | 4096비트로 설정 가능 |
| 내부 DB에서 관리하는 사용자 인증서의 DN | CN=user name, OU=users | 아니오 | 이 DN은 ICA의 DN 뒤에 덧붙음 |
| LDAP 서버에서 관리하는 사용자 인증서의 DN | — | 예 | LDAP 브랜치에 따라 달라짐 |
| KeyUsage | 5 | 예 | 디지털 서명 + 키 암호화(Key encipherment) |
| ExtendedKeyUsage | 0(KeyUsage 없음) | 예 |
사용자 인증서의 키 크기 바꾸기
사용자가 Remote Access 머신에서 등록을 완료 하는 경우, 키 크기는 SmartConsole의 Advanced Configuration 페이지에서 정합니다.
- Menu 에서 Global Properties 를 선택합니다.
- Advanced 로 가서 Advanced Configuration 영역의 configure 를 누릅니다. Advanced Configuration 창이 열립니다.
- Certificates and PKI 속성 페이지로 갑니다.
user_certs_key_size속성에 새 키 크기를 설정합니다.- OK 를 누릅니다.
동시에 여러 작업 수행하기
ICA Management Tool은 여러 작업을 동시에 처리할 수 있습니다. 예를 들면 다음과 같은 흐름이 가능합니다.
- 조직 전 직원의 정보를 얻는 LDAP 쿼리 를 실행하고
- 그 데이터로 파일을 만든 뒤, 그 파일로 전 직원의 인증서 생성을 시작(초기화) 하고, 새 인증서에 대한 알림을 각 직원에게 보냅니다.
동시에 수행할 수 있는 작업은 다음과 같습니다.
- 사용자 인증서 초기화(Start/initialize)
- 사용자 인증서 폐기(Revoke)
- 사용자에게 메일 보내기
- 만료된 인증서 제거
- 등록 절차가 완료되지 않은 인증서 제거
권한이 제한된 ICA 관리자
ICA Management Tool은 권한이 제한된 관리자 를 지원합니다. 이런 관리자는 여러 작업을 동시에 실행할 수 없으며, 권한은 다음으로만 한정됩니다.
- 기본 검색(Basic searches)
- 신규 사용자를 위한 인증서 초기화
인증서 관련 작업
SIC 인증서 관리
SIC 인증서는 SmartConsole에서 관리 합니다.
Security Gateway VPN 인증서 관리
VPN 인증서는 해당 네트워크 객체의 VPN 페이지에서 관리합니다. 이 인증서는 Check Point Security Gateway나 호스트에 IPSec VPN 블레이드가 정의되면 자동으로 발급 되며, 이 정의는 해당 네트워크 객체의 General Properties 창에서 지정합니다. VPN 인증서가 폐기되면 새 인증서가 자동으로 발급 됩니다.
SmartConsole에서의 사용자 인증서 관리
내부 데이터베이스에서 관리되는 사용자 의 인증서는 SmartConsole에서 관리합니다. 자세한 내용은 R82 Remote Access VPN Administration Guide의 User Certificates를 참고하세요.
사용자에게 인증서 초기화 알리기
ICA Management Tool은 인증서 초기화에 대한 알림 메일을 사용자에게 보내 도록 구성할 수 있습니다.
- Menu 창에서 Configure the CA 를 누릅니다.
- Management Tool Mail Attributes 영역에서 다음을 구성합니다.
- 메일 서버
- 메일 "From" 주소
- (선택) "To" 주소 — 사용자 주소를 모를 때 쓰며, 관리자가 사용자를 대신해 인증서를 받아 나중에 전달하는 용도입니다.
- Apply 를 누릅니다.
ICA 인증서 파일 가져오기
관리 가이드의 cpca_client set_ca_services 항목을 참고하세요.
인증서 검색하기
검색에는 두 가지 방식이 있습니다.
- 기본 검색(Basic) — 사용자 이름·종류·상태·일련번호만 포함합니다.
- 고급 검색(Advanced) — 모든 검색 필드를 포함하며, 권한 제한이 없는 관리자만 할 수 있습니다.
검색하려면 Manage Certificates 페이지에서 검색 파라미터를 넣고 Search 를 누릅니다.
기본 검색 파라미터
- User Name — 사용자 이름 문자열(기본값은 빈 칸)
- Type — 드롭다운:
Any(기본)·SIC·Gateway·Internal User or LDAP user - Status — 드롭다운:
Any(기본)·Pending·Valid·Revoked·Expired·Renewed (superseded) - Serial Number — 찾을 인증서의 일련번호(기본값은 빈 칸)
고급 검색 속성
기본 검색 파라미터에 더해 다음을 지정합니다.
- Sub DN — DN 부분 문자열(기본값은 빈 칸)
- Valid From — 인증서가 유효해지는 시작 날짜. 형식은
dd-mmm-yyyy [hh:mm:ss](예:15-Jan-2003). 기본값은 빈 칸 - Valid To — 인증서가 유효한 끝 날짜. 형식은
dd-mmm-yyyy [hh:mm:ss](예:14-Jan-2003 15:39:26). 기본값은 빈 칸 - CRL Distribution Point — 드롭다운:
Any(기본)·No CRL Distribution Point(관리 업그레이드 전에 발급된 인증서, 즉 옛 CRL 모드 인증서). 이 목록에는 사용 가능한 모든 CRL 번호 도 함께 표시됩니다.
검색 결과
검색 결과는 Search Results 창에 나오며, 검색된 인증서 속성을 나열한 표입니다.
- (SN) Serial Number — 인증서의 일련번호
- User Name (CN) — 첫 등호(
=)와 그다음 쉼표(,) 사이의 문자열 - DN
- Status —
Pending·Valid·Revoked·Expired·Renewed (superseded)중 하나 - 인증서가 유효해지는 날짜부터 만료되는 날짜까지
인증서 세부 정보 보기·저장하기
검색 결과에 나온 인증서 세부 정보를 보거나 저장할 수 있습니다. Search Results 창에서 DN 링크 를 누르면 됩니다.
- 상태가 pending 이면 — 인증서 정보와 등록 키(registration key)가 함께 표시 되고, 로그 항목이 만들어져 SmartConsole > Logs & Events > Logs에 나타납니다.
- 인증서가 이미 만들어진 상태 라면 — 디스크에 저장하거나(운영체제가 확장자를 인식하면) 직접 열 수 있습니다.
인증서 제거·폐기와 메일 알림 보내기
- Menu 창에서 Manage Certificates 를 누릅니다.
- 속성을 지정해 인증서를 검색합니다(위 "인증서 검색하기" 참고). 결과가 Search Results 창에 나옵니다.
- 필요한 인증서를 고르고 다음 중 하나를 누릅니다.
| 버튼 | 동작 |
|---|---|
| Revoke Selected | 선택한 인증서를 폐기하고, 보류(pending) 인증서는 CA 데이터베이스에서 제거 합니다. |
| Remove Selected | 선택한 인증서를 CA 데이터베이스와 CRL에서 제거합니다. 만료(expired)되었거나 보류(pending) 중인 인증서만 제거할 수 있 습니다. |
| Mail to Selected | 선택한 모든 보류 인증서에 대해 메일을 보냅니다. 메일에는 인증 코드(authorization code) 가 들어가며, 이메일이 정의되지 않은 사용자에게는 기본 주소로 보냅니다(위 "사용자에게 인증서 초기화 알리기" 참고). |
CA에 인증서 요청 제출하기
CA에 인증서 요청을 제출하는 방법은 세 가지입니다.
- Initiate — CA에서 등록 키(registration key) 가 만들어지고, 사용자가 한 번 그것을 써서 인증서를 만듭니다.
- Generate — 인증서 파일이 만들어지며, 암호와 연결 되어 인증서에 접근할 때 그 암호를 입력해야 합니다.
- PKCS#10 — CA가 PKCS#10 요청을 받으면 인증서를 만들어 요청자에게 전달합니다.
Initiate — 인증서 초기화하기
- Menu 창에서 Create Certificates > Initiate 를 선택합니다.
- User Name 또는 Full DN 을 넣거나, Advanced 를 눌러 양식을 채웁니다.
- Certificate Expiration Date — 날짜를 고르거나
dd-mmm-yyyy [hh:mm:ss]형식으로 입력(기본값은 생성일로부터 2년) - Registration Key Expiration Date — 날짜를 고르거나
dd-mmm-yyyy [hh:mm:ss]형식으로 입력(기본값은 생성일로부터 2주)
- Certificate Expiration Date — 날짜를 고르거나
- Go 를 누릅니다. 등록 키가 만들어져 Results 창에 나옵니다. 필요하면 Send mail to user 를 눌러 등록 키를 메일로 보냅니다. 메일의 문자 수는 1900자로 제한 됩니다.
- 사용자가 올바른 등록 키를 입력하면 인증서를 쓸 수 있게 됩니다.
Generate — 인증서 생성하기
- Menu 창에서 Create Certificates > Generate 를 선택합니다.
- User Name 또는 Full DN 을 넣거나, Advanced 를 눌러 양식을 채웁니다.
- Certificate Expiration Date —
dd-mm-yyyy [hh:mm:ss]형식(기본값은 생성일로부터 2년) - Registration Key Expiration Date —
dd-mm-yyyy [hh:mm:ss]형식(기본값은 생성일로부터 2주)
- Certificate Expiration Date —
- 암호를 입력합니다.
- Go 를 누릅니다.
- P12 파일 을 저장해 사용자에게 전달합니다.
PKCS#10 — PKCS#10 인증서 만들기
- Menu 창에서 Create Certificates > PKCS#10 을 선택합니다.
- 제공받은 base-64로 암호화된 버퍼 텍스트 를 빈 칸에 붙여 넣습니다. Browse for a file to insert(IE 전용)를 눌러 요청 파일을 가져올 수도 있습니다.
- Create 를 누르고 만들어진 인증서를 저장합니다.
- 인증서를 요청자에게 전달합니다.
여러 인증서를 한꺼번에 초기화하기
인증서 묶음을 동시에 초기화할 수 있습니다.
- 초기화할 DN 목록 파일 을 만듭니다.
LDAP 쿼리로 만든 파일
LDAP 검색으로 초기화한 파일은 다음 형식을 따릅니다.
- 빈 줄 다음의 각 줄, 또는 파일의 첫 줄이 초기화할 DN 하나 를 나타냅니다.
- 줄이
mail=로 시작하면 그 뒤 문자열은 사용자의 메일 입니다. 메일이 없으면 ICA의 Management Tool Mail To Address 속성에서 주소를 가져옵니다. not_after속성이 있는 줄이 있으면 그다음 줄의 값이 인증서 만료일 입니다(지금부터의 초 단위로 표기).otp_validity속성이 있는 줄이 있으면 그다음 줄의 값이 등록 키 만료일 입니다(지금부터의 초 단위로 표기).
LDAP 검색 출력 예시입니다.
86400
otp_validity
3600
uid=user_1,ou=People,o=intranet,dc=company,dc=com
mail=user_1@company.com
<blank_line>
...
uid=...자세한 내용은 관리 가이드의 "Configuring Administrators and Users on an External LDAP Server"를 참고하세요.
단순(비LDAP) 쿼리로 만든 파일
파일에 DN과 이메일을 다음 형식으로 적으면 단순(비LDAP) 쿼리를 만들 수 있습니다.
<이메일 주소 1> 공백 <DN 1>
... 구분자로 빈 줄 ...
<이메일 주소 2> 공백 <DN 2>CRL
CRL 관리
기본적으로 CRL은 1주일 동안 유효 하며, 이 값은 바꿀 수 있습니다. 새 CRL은 다음 시점에 발급됩니다.
- CRL 유효 기간의 약 60%가 지났을 때
- 인증서 폐기 직후
ICA Management Tool로 특정 CRL을 재생성 할 수 있습니다. 이 기능은 CRL이 삭제되거나 손상되었을 때의 복구 수단 역할을 합니다. 관리자는 ICA Management Tool로 DER 인코딩된 CRL 을 내려받을 수 있습니다.
CRL 모드(CRL Modes)
ICA는 여러 개의 CRL을 발급 할 수 있습니다. 여러 CRL은 하나의 CRL이 10K보다 커지는 것을 막 습니다. CRL이 10K를 넘으면 VPN 터널을 열 때 IKE 협상이 실패 할 수 있습니다.
여러 CRL은 발급된 각 인증서를 특정 CRL에 귀속 시켜 만듭니다. 인증서가 폐기되면 그 일련번호가 지정된 CRL에 나타납니다. 인증서의 CRL Distribution Point(CRLDP) 확장에는 지정된 CRL의 URL 이 들어 있어, 인증서를 검증할 때 올바른 CRL을 가져오도록 보장합니다.
CRL 작업(CRL Operations)
ICA Management Tool로 CRL을 내려받거나, 갱신하거나, 재생성할 수 있습니다.
- Menu 창에서 Manage CRLs 를 선택합니다.
- 드롭다운에서 하나 이상의 CRL을 고릅니다.
- 작업을 선택합니다.
- Download — CRL을 내려받습니다.
- Publish — CRL 데이터베이스를 바꾼 뒤 SmartConsole 세션을 게시 해 CRL을 갱신합니다. 이 작업은 CRL Duration 속성으로 정한 주기마다 수행됩니다.
- Recreate — CRL을 재생성합니다.
CA 절차
CA 정리(CA Cleanup)
CA를 정리하려면 만료된 인증서를 제거 해야 합니다. 수동 또는 자동으로 할 수 있습니다.
수동으로 만료 인증서 제거하기:
- Security Management Server의 시간이 정확한지 확인합니다.
- Menu 창에서 Manage CRLs > Clean the CA's Database and CRLs from expired certificates 를 선택합니다.
만료 인증서 자동 제거:
- 재시작할 때마다 만료된 인증서가 모두 자동으로 정리됩니다.
- 더불어 3주마다 자동 정리 작업이 예약되며, 다음 시점부터 시작합니다 — 장비를 처음 켰을 때, 그리고 장비를 재시작할 때마다.
CA 구성하기
- Menu 창에서 Configure the CA 를 선택합니다.
- 아래 "CA 데이터 형식과 속성"을 필요한 만큼 편집합니다.
- Operations 창에서 작업을 선택합니다.
| 작업 | 동작 |
|---|---|
| Apply | CA 구성 설정을 저장·적용합니다. 값이 유효하면 즉시 효력 이 생기고, 유효하지 않은 문자열은 모두 기본값으로 바뀝니다. |
| Cancel | 모든 값을 마지막으로 저장된 구성의 값으로 되돌립니다. |
| Restore Default | CA를 기본 구성 설정으로 되돌립니다. |
CA 데이터 형식과 속성
CA 데이터 형식은 다음과 같습니다.
- Time(시간) —
<숫자> days <숫자> seconds형식으로 표시됩니다(예:CRL Duration: 7 days 0 seconds). 표시된 형식 그대로 입력하거나 초 단위 숫자 로 입력할 수 있습니다. - Integer(정수) — 보통의 정수입니다(예:
SIC Key Size: 2048). - Boolean(불린) —
true또는false(대소문자 무관)입니다(예:Enable renewal: true). - String(문자열) — 영숫자 문자열입니다(예:
Management Tool DN prefix: cn=tests).
다음은 CA 속성을 알파벳 순으로 정리한 표입니다.
| 속성 | 설명 | 값(범위) | 기본값 |
|---|---|---|---|
| Authorization Code Length | 인증 코드의 문자 수 | min 6 / max 12 | 6 |
| CRL Duration | CRL이 유효한 기간 | min 5분 / max 1년 | 1주 |
| Enable Renewal | 사용자 인증서의 갱신을 켤지 여부(Boolean) | true 또는 false | true |
| Grace Period Before Revocation | 옛 인증서가 Renewed(superseded) 상태로 남는 시간 | min 0 / max 5년 | 1주 |
| Grace Period Check Period | 기간이 지난 인증서를 폐기하려고 Renewed(superseded) 목록을 점검하는 간격 | min 10분 / max 1주 | 1일 |
| IKE Certificate Validity Period | IKE 인증서가 유효한 기간 | min 10분 / max 3년 | 1년 |
| IKE Certificate Extended Key Usage | IKE 인증서의 확장 키 용도(RFC 2459 참고) | — | 비어 있으면 KeyUsage 없음 |
| IKE Certificate Key usage | IKE 인증서의 동작 용도(RFC 2459 참고) | — | 디지털 서명 + 키 암호화 |
| Management Tool DN prefix | 사용자 이름 입력 시 만들어질 DN의 접두사 | CN= / UID= | CN= |
| Management Tool DN suffix | 사용자 이름 입력 시 만들어질 DN의 접미사 | — | ou=users |
| Management Tool Hide Mail Button | 보안상, 단일 인증서 표시 후의 메일 전송 버튼을 숨길지 | true 또는 false | false |
| Management Tool Mail Server | 등록 코드 메일을 보내는 SMTP 서버. 기본값이 없으며 메일을 쓰려면 반드시 설정 | — | — |
| Management Tool Registration Key Validity Period | 이 도구로 초기화한 등록 코드의 유효 기간 | min 10분 / max 2개월 | 2주 |
| Management Tool User Certificate Validity Period | 이 도구로 초기화한 사용자 인증서의 유효 기간 | min 1주 / max 20년 | 2년 |
| Management Tool Mail From Address | 메일을 보낼 때 From 필드에 나오는 주소. 메일 전송 상태 보고가 이 주소로 옴 | — | — |
| Management Tool Mail Subject | 메일 제목 필드 | — | — |
| Management Tool Mail Text Format | 메일 본문 텍스트. 텍스트 외에 변수 3개 사용 가능 — $REG_KEY(등록 키)·$EXPIRE(만료 시각)·$USER(사용자 DN) | — | Registration Key: $REG_KEY / Expiration: $EXPIRE |
| Management Tool Mail To address | 이메일이 정의되지 않은 사용자에게 보낼 기본 주소 | — | — |
| Max Certificates Per Distribution Point | 새 CRL 모드에서 한 CRL의 최대 용량 | min 3 / max 400 | 400 |
| New CRL Mode | CRL 모드를 나타내는 Boolean | 0 = 옛 모드 / 1 = 새 모드 | true |
| Number of certificates per search page | 검색 창의 한 페이지에 표시할 인증서 수 | min 1 / max 약 700 | 약 700 |
| Number of Digits for Serial Number | 인증서 일련번호의 자릿수 | min 5 / max 10 | 5 |
| Revoke renewed certificates | 갱신 후 옛 인증서를 폐기할지. 폐기하지 않으면 갱신 때마다 CRL이 커지는 것을 막지만, 사용자가 유효 인증서를 둘 가질 수 있음 | true 또는 false | true |
| SIC Key Size | SIC에 쓰는 키의 비트 크기 | 1024 / 2048 / 4096 | 2048 |
| SIC Certificate Key usage | SIC 인증서의 동작 용도(RFC 2459 참고) | — | 디지털 서명 + 키 암호화 |
| SIC Certificate Validity Period | SIC 인증서가 유효한 기간 | min 10분 / max 20년 | 5년 |
| User Certificate Extended Key Usage | 사용자 인증서의 확장 키 용도(RFC 2459 참고) | — | 비어 있으면 KeyUsage 없음 |
| User Certificate Key Size | 사용자 인증서 키의 비트 크기 | 1024 / 2048 / 4096 | 2048 |
| User Certificate Key usage | 사용자 인증서의 동작 용도(RFC 2459 참고) | — | 디지털 서명 + 키 암호화 |
인증서의 수명과 상태
ICA가 발급한 인증서에는 정해진 유효 기간 이 있으며, 그 기간이 끝나면 인증서가 만료됩니다.
SIC 인증서, Security Gateway의 VPN 인증서, 그리고 사용자 인증서는 SmartConsole에서 한 단계로 만들 수 있습니다. 사용자 인증서는 SmartConsole이나 ICA Management Tool로 두 단계 로도 만들 수 있습니다.
- Initialization(초기화) — 사용자를 위한 등록 코드가 만들어집니다. 이 단계가 끝나면 인증서 상태는 pending 입니다.
- Registration(등록) — 사용자가 원격 클라이언트에서 등록 절차를 마치고 등록 코드를 입력하면 인증서가 valid 가 됩니다.
이 두 단계 방식의 장점은 다음과 같습니다.
보안 강화 — 개인 키는 사용자 머신에서 만들어져 저장 되고, ICA가 발급한 인증서는 안전하게 클라이언트로 내려 받힙니다.
발급 전 자동·관리자 주도 인증서 제거 — 사용자가 주어진 기간(기본 2주) 안에 등록 절차를 끝내지 못하면 등록 코드가 자동으로 제거 됩니다. 관리자는 사용자가 등록을 마치기 전에 등록 키를 제거할 수 있고, 그 후 사용자 인증서를 폐기할 수 있습니다.
사용자 인증서의 명시적·자동 갱신으로 연결 연속성 보장 — PKCS12 형식의 사용자 인증서는 사용자가 명시적으로 갱신 하거나, 만료가 다가오면 자동으로 갱신 되게 설정할 수 있습니다. 이 갱신으로 사용자는 조직 네트워크에 끊김 없이 접속할 수 있습니다. 관리자는 옛 사용자 인증서를 언제 자동 폐기 할지 정할 수 있습니다.
SIC 인증서의 자동 갱신으로 SIC 연결 연속성 보장 — SIC 인증서는 유효 기간의 75%가 지나면 자동으로 갱신 됩니다. 예를 들어 SIC 인증서가 5년 유효하다면 3.75년이 지난 시점 에 새 인증서가 만들어져 SIC 대상에 자동으로 내려받힙니다. 이 자동 갱신은 Security Gateway의 SIC 연결이 끊기지 않게 보장합니다. 관리자는 옛 인증서를 즉시 자동 폐기하거나 정해진 기간 뒤에 폐기할 수 있으며, 기본적으로 옛 인증서는 갱신 1주일 뒤에 폐기 됩니다.