보안

TLS 인증서를 사용한 통신 보안: 카우치베이스 서버를 위한 최종 가이드(3부 중 2부)

총 3부로 구성된 이 시리즈의 1부에서는 다음에 대해 알아보았습니다. TLS의 구성 요소2부에서는 TLS 구성 요소가 서로 상호 작용하는 방식을 살펴봅니다. In 파트 3 이 가이드에서는 Couchbase Server에서 컴포넌트가 어떻게 사용되는지 살펴보겠습니다.

인증서 서명 프로세스

자체 사내 인증 기관을 관리하든, DigiCert, GlobalSign 또는 GoDaddy와 같은 기존 상용 공급업체를 사용하든 첫 번째 단계는 인증서 서명 요청을 생성하는 것입니다. 새 인증서 또는 교체 인증서를 발급해야 할 때마다 인증서를 요청하는 엔터티는 일반적으로 OpenSSL 패키지를 사용하여 개인 키와 공개 키로 구성된 키 쌍을 직접 생성합니다. Couchbase 서버 클러스터에서 엔티티는 개별 Couchbase 서버 노드가 됩니다. 개인 키는 엔터티가 안전하게 보관하고 공개 키는 CA로 전송되는 CSR(인증서 서명 요청)에 포함됩니다. 일반적으로 이 작업은 루트 CA가 아닌 중간 CA에서 수행됩니다. 

CSR을 받으면 CA는 도메인 유효성 검사 또는 조직 유효성 검사와 같은 다양한 유효성 검사 방법을 사용하여 법인의 신원을 확인합니다. 신원이 확인되면 CA는 개인 키를 사용하여 디지털 서명을 생성하여 법인의 공개 키와 신원 정보를 바인딩합니다. 그런 다음 이 서명된 인증서가 법인에게 반환됩니다.

인증서 유효성 검사

인증서를 유효성 검사하려면 신뢰 당사자(예: 웹 브라우저)는 인증서가 정품이고 신뢰할 수 있는 CA에서 발급했는지 확인해야 합니다. 이 프로세스에는 다음 4단계를 포함한 일련의 단계가 포함됩니다.

신뢰 앵커

예를 들어 웹 브라우저와 같은 신뢰 당사자는 신뢰 앵커라고도 하는 사전 설치된 신뢰할 수 있는 루트 인증서 집합을 보유하고 있습니다. 이러한 인증서는 잘 알려진 CA에 속하며 공개 키가 포함되어 있어 신뢰의 기반이 됩니다.

클라이언트 또는 서버가 SSL/TLS 핸드셰이크 중에 인증서를 받으면 시스템에 설치된 신뢰 앵커에서 인증서의 디지털 서명을 검증할 수 있는지 확인합니다. 인증서 체인을 신뢰 앵커로 추적할 수 있는 경우, 인증서는 진품으로 간주되며 TLS 연결은 안심하고 진행됩니다. 

인증 경로

TLS 암호화된 연결을 설정할 때 신뢰 당사자(웹 브라우저)는 발급된 인증서에서 시작하여 신뢰 앵커로 이어지는 인증서 체인을 포함하는 인증서의 인증 경로를 검사합니다. 체인의 각 인증서는 후속 인증서에 의해 서명되어 궁극적으로 신뢰 앵커에 도달합니다.

서명 확인

신뢰 당사자(웹 브라우저)는 인증 경로에 있는 각 인증서의 공개 키를 사용하여 다음 인증서의 디지털 서명을 확인합니다. 이 프로세스는 신뢰 앵커에 도달할 때까지 계속됩니다.

디지털 서명은 CA가 개인 키를 사용하여 만든 암호화 값으로, 인증서 콘텐츠를 CA의 신원에 바인딩합니다. 클라이언트는 CA의 공개 키를 사용하여 디지털 서명을 해독하고 해독한 내용이 인증서의 내용과 일치하면 서명이 유효한 것으로 간주합니다. 이 유효성 검사는 인증서가 변조되지 않았으며 신뢰할 수 있는 CA에서 실제로 발급했음을 확인합니다. 

신뢰 및 만료 확인

신뢰 당사자는 신뢰 앵커가 사전 설치된 신뢰할 수 있는 루트 인증서에 포함되어 있는지 확인합니다. 또한 각 인증서의 만료 날짜를 확인하여 인증서가 여전히 유효한지 확인합니다.


전체 인증 경로가 성공적으로 유효성을 검사하고 신뢰 앵커를 신뢰하면 신뢰 당사자는 인증서를 진품으로 간주하고 보안 연결을 진행합니다. Couchbase Server 7.2.x에서는 이 체인의 깊이가 10개의 인증서가 될 수 있습니다.

이 예제에서는 웹 브라우저에 내장된 신뢰할 수 있는 루트 인증 기관이 이름일 뿐이지만 실제 목록을 볼 수 있습니다. Firefox 사전 승인된 신뢰할 수 있는 CA는 다음과 같습니다. 위키에서 링크된. 기본 제공 신뢰할 수 있는 CA 중 하나에서 발급하지 않은 CA에서 인증서를 생성한 경우, 먼저 운영 체제 및 브라우저에 해당 CA의 공인 인증서를 신뢰할 수 있는 엔터티로 추가해야 해당 CA에서 발급한 인증서를 사용할 수 있습니다.

이제 TLS에 관련된 구성 요소와 작동 방식을 살펴봤는데, 3부에서는 다음을 살펴보겠습니다. 카우치베이스 서버에서 TLS가 작동하는 방식.

이 문서 공유하기
받은 편지함에서 카우치베이스 블로그 업데이트 받기
이 필드는 필수 입력 사항입니다.

작성자

게시자 Ian McCloy, 제품 관리 이사, Couchbase

이안 맥클로이는 카우치베이스의 플랫폼 및 보안 제품 관리 그룹 디렉터로 영국에 거주하고 있습니다. 그의 전담 팀은 Couchbase Server와 SaaS 데이터베이스인 Capella의 안정성, 가용성, 서비스 가능성 및 보안 아키텍처를 담당하고 있습니다. 이 팀은 또한 Couchbase Kubernetes 자율 운영자와 같은 클라우드 네이티브 플랫폼을 소유하고 있습니다. Ian은 소프트웨어 엔지니어, 기술 지원 엔지니어, 품질 보증 엔지니어, 시스템 관리자 등 다양한 경력을 보유하고 있습니다. 20년 경력의 대부분을 글로벌 기술 팀을 이끌었으며 정보 보안, 가상화 및 하드웨어 설계 분야에서 여러 특허를 보유하고 있습니다. https://www.linkedin.com/in/ianmccloy/

모든 게시물

댓글 남기기

카우치베이스 카펠라를 시작할 준비가 되셨나요?

구축 시작

개발자 포털에서 NoSQL을 살펴보고, 리소스를 찾아보고, 튜토리얼을 시작하세요.

Develop now
카펠라 무료 사용

클릭 몇 번으로 Couchbase를 직접 체험해 보세요. Capella DBaaS는 가장 쉽고 빠르게 시작할 수 있는 방법입니다.

Use free
연락하기

카우치베이스 제품에 대해 자세히 알고 싶으신가요? 저희가 도와드리겠습니다.

Contact us