사용자 인증서가 있는 사용자가 인증이 해지되지 않도록 인증서 해지 검사를 구성할 수 있습니다. 인증서는 사용자가 조직을 떠나거나 스마트 카드를 분실하거나 부서를 다른 부서로 이동할 경우 해지되기도 합니다.
CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜)를 사용하는 인증서 해지 검사가 지원됩니다. CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. OCSP는 인증서의 해지 상태를 가져오는 데 사용되는 인증서 유효성 검사 프로토콜입니다.
동일한 인증서 인증 어댑터 구성에서 CRL 및 OCSP를 둘 다 구성할 수 있습니다. 두 가지 유형의 인증서 해지 검사를 구성하고 [OCSP 실패 시 CRL 사용] 확인란을 선택한 경우, OCSP가 먼저 검사되고 OCSP가 실패한 경우 해지 검사가 CRL로 폴백됩니다. CRL이 실패해도 해지 검사 중에 OCSP로 폴백되지 않습니다.
CRL 검사를 사용하여 로그인
인증서 해지를 사용하도록 설정한 경우 VMware Identity Manager 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다.
인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.
OCSP 인증서 검사를 사용하는 상태에서 로그인
OCSP(온라인 인증서 상태 프로토콜)는 인증서 해지 검사를 수행하는 데 사용되는 CRL(인증서 해지 목록)의 대안입니다.
인증서 기반 인증을 구성할 때 [인증서 해지 사용] 및 [OCSP 해지 사용]을 둘 다 설정한 경우 VMware Identity Manager는 기본, 중간 및 루트 인증서를 포함하는 전체 인증서 체인의 유효성을 검사합니다. 체인의 어느 한 인증서의 검사라도 실패하거나 OCSP URL 호출이 실패하면 해지 검사가 실패합니다.
OCSP URL은 텍스트 상자에서 수동으로 구성하거나, 유효성을 검사하는 인증서의 AIA(Authority Information Access) 확장에서 추출할 수 있습니다.
인증서 인증을 구성할 때 선택한 OCSP 옵션에 따라 VMware Identity Manager에서 OCSP URL을 사용하는 방법이 결정됩니다.
- 구성만. 전체 인증서 체인이 유효한지 검사하려면 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 인증서의 AIA 확장에 포함된 정보는 무시합니다. 해지 검사를 위해서는 OCSP URL 텍스트 상자도 OCSP 서버 주소로 구성해야 합니다.
- 인증서만(필수). 체인에 있는 각 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 체인에 있는 모든 인증서에 OCSP URL이 정의되어야 하며, 그렇지 않은 경우 인증서 해지 검사가 실패합니다.
- 인증서만(선택 사항). 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 이 구성은 해지 검사를 원할 때는 유용하지만, 일부 중간 또는 루트 인증서의 AIA 확장에 OCSP URL이 포함되어 있지 않습니다.
- 구성에 대한 폴백이 포함된 인증서. OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL이 AIA 확장에 없는 경우 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사합니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.