이 도움말에서는 암호화된 이메일 또는 S/MIME 서명된 이메일에 사용되는 X.509 체인의 각 인증서를 신뢰하기 위해 충족해야 하는 요구사항을 설명합니다.
이러한 요구사항에 더해 체인은 Google에서 해당 용도로 명시적으로 신뢰하는 인증 기관(CA) 인증서에 연결되어야 합니다. 신뢰하는 CA의 루트 인증서를 수락하는 방식을 선택할 수도 있습니다. 자세한 내용은 루트 인증서 가이드라인을 참고하세요.
참고:
- S/MIME용으로 Gmail에서 신뢰하는 CA 인증서 목록은 Google에서 제공하고 유지관리합니다. CA 목록은 전적으로 Google의 재량에 따라 신뢰 여부가 결정되며, Google은 언제든지 예고 없이 루트 CA를 삭제할 권리를 보유합니다.
- 설치된 확장 항목이 동일한 인증서 내의 다른 확장 항목과 충돌하지 않는지 확인하세요. 예를 들어 nsCertType이 정의된 경우 키 사용 확장, 확장된 키 사용 확장, 기본 제한 확장과 정확히 동일한 용도로 사용되어야 합니다.
인증서 체인 규칙
루트 CA
필드 | 값 |
---|---|
발급자 DN |
CA를 명시해야 합니다. 예를 들어 DN은 '인증 기관'과 같은 일반적인 값이 아니어야 합니다. |
제목 DN |
인코딩된 양식은 바이트 단위로 발급자 DN과 동일해야 합니다. |
제목 공개 키 정보 |
2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다. |
인증서 발급 중개 CA가 발급하지 않은 중개 CA 인증서
직접 또는 간접으로 루트와 최종 엔티티 간에 2개 이상의 중개 CA가 있는 경우 이 정보를 사용하세요.
인증서 발급 중개 CA는 최종 엔티티 인증서를 발급하는 중개 CA입니다. 이 섹션은 중개 CA 발급이 아닌 체인의 모든 중개 CA에 적용할 수 있습니다.
필드 | 값 | ||
---|---|---|---|
버전 | 버전 3 | ||
일련번호 | 0보다 커야 합니다. DER이 INTEGER로 인코딩된 경우에는 20바이트 이하여야 합니다. | ||
서명 알고리즘 | SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다. | ||
발급자 DN |
바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다. |
||
유효 기간 | 규정이 없습니다. | ||
제목 DN | 규정이 없습니다. | ||
제목 공개 키 정보 |
2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다. |
||
확장 | 상태 | 중요 | 값 |
키 사용 | 필수 | 예 |
keyCertSign의 비트 위치를 설정해야 합니다. |
기본 제한 | 필수 | 예 | cA 필드는 true로 설정해야 합니다. pathLenConstraint 필드가 있어야 합니다. |
CRL 배포 지점 | 필수 | 아니요 |
공개적으로 액세스할 수 있는 하나 이상의 HTTP |
(참고) | 해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.
|
||
기타 확장 | 있을 수 있습니다. |
최종 엔티티에게 발행되는 중개 CA 인증서
중요: 하나 이상의 중개 CA 인증서가 체인에 있어야 합니다. 즉, 루트에서는 최종 엔티티 인증서를 바로 발행할 수 없습니다.
필드 | 값 | ||
---|---|---|---|
버전 | 버전 3 | ||
일련번호 | 0보다 크고, DER이 INTEGER로 인코딩되는 경우 20바이트 이하여야 합니다. | ||
서명 알고리즘 |
SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다. |
||
발급자 DN |
바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다. |
||
유효 기간 |
notBefore와 notAfter 간의 차이 10년을 초과하지 않는 것이 좋으며 20년 미만이어야 합니다. |
||
제목 DN |
CA 사용을 표시해야 합니다. |
||
제목 공개 키 정보 |
2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다. |
||
확장 | 상태 | 중요 | 값 |
키 사용 | 필수 | 예 |
다음의 비트 위치를 설정해야 합니다. 다른 비트 위치는 설정하면 안 됩니다. |
확장된 키 사용 | 필수 | 다음 중 선택 | 다음이 있어야 합니다. emailProtection 다음은 없어야 합니다. serverAuth codeSigning timeStamping anyExtendedKeyUsage |
기본 제한 |
필수 | 예 |
cA 필드는 true로 설정해야 합니다. |
인증서 정책 | 선택사항 | 아니요 |
CA가 작동하는 정책을 식별하는 policyIdentifier가 제공되어야 하고 anyPolicy는 안 됩니다. |
CRL 배포 지점 | 필수 | 아니요 |
공개적으로 액세스할 수 있는 하나 이상의 HTTP |
(참고) |
해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.
|
||
기타 확장 | 선택사항 | 아니요 |
있을 수 있습니다. |
최종 엔티티 인증서
필드 | 값 | ||
---|---|---|---|
버전 | 버전 3 | ||
일련번호 |
0보다 크고 예측할 수 없는 64비트 이상으로 구성되어야 합니다. 참고: CA/브라우저 포럼 기준 요구사항 인증서 정책 최종 엔티티 일련 번호 엔트로피 요구사항을 반영하도록 업데이트됩니다. |
||
서명 알고리즘 | SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다. | ||
발급자 DN |
바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다. |
||
유효 기간 |
notBefore와 notAfter 간의 차이는 27개월 이내여야 합니다. notBefore의 시간은 서명 시점 48시간 전후를 나타내야 합니다. |
||
제목 DN |
이메일 주소 이외의 모든 제목 관련 고유 이름은 공개적으로 문서화되고 감사를 받은 절차에 따라 발행 전에 엄격히 검사해야 합니다. 사용 가능한 절차를 알아보려면 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 3.2.3 '개인 신원 인증' 조항을 참고하세요. 또한 모든 이메일 주소(예: commonName 또는 emailAddress 필드에 있는 주소)는 rfc822Name으로 제목 대체 이름 확장에 있어야 합니다. |
||
제목 공개 키 정보 |
2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다. |
||
확장 | 상태 | 중요 | 값 |
키 사용(RSA) | 필수 | 예 |
다음 중 하나의 비트 위치를 설정해야 합니다. 다른 비트 위치는 설정하면 안 됩니다. |
키 사용(ECDH) | 필수 |
다음의 비트 위치를 설정해야 합니다. 다른 비트 위치는 설정하면 안 됩니다. |
|
확장된 키 사용 | 필수 | 다음 중 선택 |
다음이 있어야 합니다. |
기본 제한 |
선택사항 | 다음 중 선택 |
해당되는 경우 cA 필드는 true로 설정하면 안 됩니다. |
인증서 정책 | 필수 | 아니요 |
다음이 있어야 합니다. 인증서가 발행되는 정책을 식별하는 policyIdentifier가 제공되어야 하고anyPolicy는 안 됩니다. 다음이 있을 수 있습니다. 해당되는 경우 cps에는 인증서가 발행된 CPS에 연결되는 올바른 HTTP 또는 HTTPS를 포함해야 합니다. |
기관 정보 액세스 |
선택사항 | 아니요 |
caIssuers 및 해당되는 경우 ocsp는 공개적으로 액세스할 수 있는 하나 이상의 HTTP uniformResourceIdentifier를 포함해야 합니다. AccessDescription은 특정 개별 인증서의 라벨 또는 매개변수를 포함해서는 안 됩니다. |
CRL 배포 지점 | 필수 | 아니요 |
공개적으로 액세스할 수 있는 하나 이상의 |
(참고) |
해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.
|
||
제목 대체 이름 |
필수 | 아니요 |
rfc822Name 유형의 항목을 하나 이상 포함해야 합니다. |
기타 확장 |
선택사항 | 아니요 | 있을 수 있습니다. |