S/MIME 인증서 프로필

이 도움말에서는 암호화된 이메일 또는 S/MIME 서명된 이메일에 사용되는 X.509 체인의 각 인증서를 신뢰하기 위해 충족해야 하는 요구사항을 설명합니다.

이러한 요구사항에 더해 체인은 Google에서 해당 용도로 명시적으로 신뢰하는 인증 기관(CA) 인증서에 연결되어야 합니다. 신뢰하는 CA의 루트 인증서를 수락하는 방식을 선택할 수도 있습니다. 자세한 내용은 루트 인증서 가이드라인을 참고하세요.

참고:

  • S/MIME용으로 Gmail에서 신뢰하는 CA 인증서 목록은 Google에서 제공하고 유지관리합니다. CA 목록은 전적으로 Google의 재량에 따라 신뢰 여부가 결정되며, Google은 언제든지 예고 없이 루트 CA를 삭제할 권리를 보유합니다.
  • 설치된 확장 항목이 동일한 인증서 내의 다른 확장 항목과 충돌하지 않는지 확인하세요. 예를 들어 nsCertType이 정의된 경우 키 사용 확장, 확장된 키 사용 확장, 기본 제한 확장과 정확히 동일한 용도로 사용되어야 합니다.

인증서 체인 규칙

루트 CA

필드

발급자 DN

CA를 명시해야 합니다.

예를 들어 DN은 '인증 기관'과 같은 일반적인 값이 아니어야 합니다.

제목 DN

인코딩된 양식은 바이트 단위로 발급자 DN과 동일해야 합니다.

제목 공개 키 정보

2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다.

인증서 발급 중개 CA가 발급하지 않은 중개 CA 인증서

직접 또는 간접으로 루트와 최종 엔티티 간에 2개 이상의 중개 CA가 있는 경우 이 정보를 사용하세요.

인증서 발급 중개 CA는 최종 엔티티 인증서를 발급하는 중개 CA입니다. 이 섹션은 중개 CA 발급이 아닌 체인의 모든 중개 CA에 적용할 수 있습니다.

필드
버전 버전 3
일련번호     0보다 커야 합니다. DER이 INTEGER로 인코딩된 경우에는 20바이트 이하여야 합니다.
서명 알고리즘     SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다.
발급자 DN    

바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다.

유효 기간     규정이 없습니다.
제목 DN     규정이 없습니다.
제목 공개 키 정보    

2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다.  또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다.

확장 상태 중요
키 사용 필수

keyCertSign의 비트 위치를 설정해야 합니다.
다른 비트 위치를 설정할 수 있습니다.

기본 제한 필수 cA 필드는 true로 설정해야 합니다.
pathLenConstraint 필드가 있어야 합니다.
CRL 배포 지점 필수 아니요

공개적으로 액세스할 수 있는 하나 이상의 HTTP
uniformResourceIdentifier가 있어야 합니다.

(참고) 해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.
  • 4.9.7. CRL 발행 빈도
  • 4.9.9. 온라인 해지/상태 확인 가능 여부
  • 4.9.10. 온라인 해지 확인 관련 요구사항
    4.10.2 서비스 가용성

기타 확장 있을 수 있습니다.

최종 엔티티에게 발행되는 중개 CA 인증서 

중요: 하나 이상의 중개 CA 인증서가 체인에 있어야 합니다. 즉, 루트에서는 최종 엔티티 인증서를 바로 발행할 수 없습니다.

필드
버전 버전 3
일련번호 0보다 크고, DER이 INTEGER로 인코딩되는 경우 20바이트 이하여야 합니다.
서명 알고리즘

SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다.

발급자 DN    

바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다.

유효 기간    

notBefore와 notAfter 간의 차이

10년을 초과하지 않는 것이 좋으며 20년 미만이어야 합니다.

제목 DN    

CA 사용을 표시해야 합니다.

제목 공개 키 정보    

2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다.  또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다.

확장 상태 중요
키 사용 필수

다음의 비트 위치를 설정해야 합니다.
    keyCertSign
다음의 비트 위치를 설정할 수 있습니다.
    cRLSign
    digitalSignature
OCSP 응답을 서명하는 데 바로 사용되는 경우 다음이 있어야 합니다.
    digitalSignature

다른 비트 위치는 설정하면 안 됩니다.

확장된 키 사용 필수 다음 중 선택 다음이 있어야 합니다.
    emailProtection
다음은 없어야 합니다.
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

기본 제한

필수

cA 필드는 true로 설정해야 합니다.
pathLenConstraint 필드가 있어야 하고 0이어야 합니다

인증서 정책 선택사항 아니요

CA가 작동하는 정책을 식별하는 policyIdentifier가 제공되어야 하고 anyPolicy는 안 됩니다.
해당되는 경우 cps는 올바른 HTTP 또는 HTTPS 링크를 포함해야 합니다.

CRL 배포 지점 필수 아니요

공개적으로 액세스할 수 있는 하나 이상의 HTTP
uniformResourceIdentifier가 있어야 합니다.

(참고)    

해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.

  •   4.9.7. CRL 발행 빈도
  •   4.9.9. 온라인 해지/상태 확인 가능 여부
  •   4.9.10. 온라인 해지 확인 관련 요구사항
  •   4.10.2. 서비스 가용성
기타 확장 선택사항 아니요 

있을 수 있습니다.

최종 엔티티 인증서

필드
버전 버전 3
일련번호

0보다 크고 예측할 수 없는 64비트 이상으로 구성되어야 합니다.

참고: CA/브라우저 포럼 기준 요구사항 인증서 정책 최종 엔티티 일련 번호 엔트로피 요구사항을 반영하도록 업데이트됩니다.

서명 알고리즘 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 RSA입니다. 또는 SHA‐256, SHA‐384 또는 SHA‐512를 사용한 ECDSA입니다.
발급자 DN

바이트 단위로 인증서 발급 CA의 제목 DN과 동일해야 합니다.

유효 기간

notBefore와 notAfter 간의 차이는 27개월 이내여야 합니다.

notBefore의 시간은 서명 시점 48시간 전후를 나타내야 합니다.

제목 DN    

이메일 주소 이외의 모든 제목 관련 고유 이름은 공개적으로 문서화되고 감사를 받은 절차에 따라 발행 전에 엄격히 검사해야 합니다.  사용 가능한 절차를 알아보려면 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 3.2.3 '개인 신원 인증' 조항을 참고하세요.

또한 모든 이메일 주소(예: commonName 또는 emailAddress 필드에 있는 주소)는 rfc822Name으로 제목 대체 이름 확장에 있어야 합니다.

제목 공개 키 정보    

2048, 3072 또는 4096의 RSA 모듈러스를 사용한 rsaEncryption입니다. 또는 secp256r1 또는 secp384r1을 사용한 ecPublicKey입니다.

확장 상태 중요
키 사용(RSA) 필수

다음 중 하나의 비트 위치를 설정해야 합니다.
    digitalSignature
 및
    nonRepudiation/contentCommitment
다음의 비트 위치를 설정할 수 있습니다.
    dataEncipherment
    keyEncipherment

다른 비트 위치는 설정하면 안 됩니다.

키 사용(ECDH)  필수  

다음의 비트 위치를 설정해야 합니다.
    digitalSignature
다음의 비트 위치를 설정할 수 있습니다.
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (keyAgreement를 설정한 경우)
    decipherOnly (keyAgreement를 설정한 경우)

다른 비트 위치는 설정하면 안 됩니다.

확장된 키 사용 필수 다음 중 선택

다음이 있어야 합니다.
   emailProtection
다음은 없어야 합니다.
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

기본 제한

선택사항 다음 중 선택

해당되는 경우 cA 필드는 true로 설정하면 안 됩니다.
pathLenConstraint 필드가 있어야 합니다.

인증서 정책 필수 아니요

다음이 있어야 합니다. 인증서가 발행되는 정책을 식별하는 policyIdentifier가 제공되어야 하고anyPolicy는 안 됩니다. 

다음이 있을 수 있습니다. 해당되는 경우 cps에는 인증서가 발행된 CPS에 연결되는 올바른 HTTP 또는 HTTPS를 포함해야 합니다.

기관 정보 액세스

선택사항 아니요

caIssuers 및 해당되는 경우 ocsp는 공개적으로 액세스할 수 있는 하나 이상의 HTTP uniformResourceIdentifier를 포함해야 합니다.

AccessDescription은 특정 개별 인증서의 라벨 또는 매개변수를 포함해서는 안 됩니다.

CRL 배포 지점 필수 아니요

공개적으로 액세스할 수 있는 하나 이상의
HTTPuniformResourceIdentifier가 있어야 합니다.

(참고)

   

해지 서버는 공개적으로 신뢰할 수 있는 인증서의 발행 및 관리를 위한 CA/브라우저 포럼 기준 요구사항 인증서 정책 버전 1.3.2 이상의 다음 섹션에 따라 운영되어야 합니다.

  •    4.9.7. CRL 발행 빈도
  •    4.9.9. 온라인 해지/상태 확인 가능 여부
  •    4.9.10. 온라인 해지 확인 관련 요구사항
  •    4.10.2. 서비스 가용성

제목 대체 이름

필수 아니요

rfc822Name 유형의 항목을 하나 이상 포함해야 합니다.
다음 유형의 항목을 포함할 수 없습니다.
   dNSName
   iPAddress
   uniformResourceIdentifier
공개적으로 문서화되고 감사를 거친 절차를 통해 모든 rfc822Name을 확인하여, 요청을 제출하는 엔티티가 이메일 주소와 관련된 이메일 계정을 관리하거나 이메일 계정 소유자의 승인 하에 계정 소유자를 대신하여 활동함을 확인해야 합니다.

기타 확장

선택사항 아니요 있을 수 있습니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
검색
검색어 지우기
검색 닫기
기본 메뉴
6126217825596401054
true
도움말 센터 검색
true
true
true
true
true
73010
false
false