07공개 키 기반구조(PKI)공개 키 기반구조(PKI)

X.509 기반 PKI는 신뢰하는 CA가 엔티티에 인증서를 발급 하고, 그 인증서에 엔티티의 공개 키 가 담깁니다. CA를 믿는 피어는 CA의 서명을 검증해 인증서를 신뢰 하고, 거기 담긴 "엔티티↔공개 키" 연결을 받아들입니다. IKE 표준도 강력한 인증이 필요한 VPN에 PKI 사용을 권장 합니다.

VPN 터널을 맺는 게이트웨이는 RSA 키 쌍과 신뢰 CA가 발급한 인증서 를 가져야 합니다. 인증서에는 신원, 공개 키, CRL 조회 정보 가 담기고 CA가 서명합니다. 터널을 맺을 때 각자 자기 개인 키로 서명한 정보와 공개 키가 든 인증서를 상대에게 제시 하고, 상대 공개 키로 서명 출처를, CA 공개 키로 인증서 진위를 검증 해 피어를 인증합니다.

모든 Check Point 관리 서버에는 ICA(Internal Certificate Authority) 가 있어 자신이 관리하는 게이트웨이에 VPN 인증서를 발급 합니다. 같은 관리 서버가 관리하는 게이트웨이끼리는 이 ICA 덕에 VPN 정의가 간단합니다.

하지만 외부 PKI 연동이 필요할 때가 있습니다 — 상대 게이트웨이가 다른 조직의 관리 서버(다른 ICA가 서명)에 속하거나, 상대가 비-Check Point VPN 장비 인 경우입니다. 이때는 외부 CA가 발급한 인증서를 게이트웨이에 올려 신뢰를 맺습니다(시작하기에서 본 인증서 업로드).

정리하면, 사내 게이트웨이끼리는 ICA로 자동, 외부 조직·서드파티와는 외부 PKI 연동 으로 인증서 기반 신뢰를 세우는 것이 VPN 인증의 핵심입니다. 외부 게이트웨이와의 구체적 구성은 클라우드·외부 게이트웨이 VPN에서 다룹니다.