Certificate Properties (인증서 속성)

인증서 속성 정리

p.s. CSMS(서버) - CS(클라이언트) 로 해석하면 일반적인 경우로 확대 해석 가능.

1. 모든 인증서는 아래문서(키 관리 권장사항)의 섹션 5.6.1에 따라 최소 112비트의 대칭 키와 동등한 보안을 제공하는 개인 키를 사용합니다(SHALL).  이것은 NIST가 2011-2030년 기간 동안 권장하는 키 크기입니다.

National Institute of Standards and Technology. Special Publication 800-57 Part 1 Rev. 4, Recommendation for Key Management. January 2016. https://csrc.nist.gov/publications/detail/sp/800-57-part-1/rev-4/final 

2. 1번 내용 중, RSA 또는 DSA 적용 조건에서, 키는 최소 2048비트 길이로 변환됩니다.

3. 1번 내용 중, elliptic curve cryptography(타원곡선 암호화)적용 조건에서, 키는 최소 224비트 길이로 변환됩니다.

4. 모든 암호화 작업은, 미래 시스템에적합한, 아래문서에서 BSI가 권장하는 알고리즘만을 사용해야 합니다(SHALL). 이 규정에는, 인증서 계층 구조의, 인증서 서명을 포함합니다.

Bundesamt für Sicherheit in der Informationstechnik: Anwendungshinweise und Interpretationen zum Schema, AIS 20, Funktionalitätsklassen und Evaluationsmethodologie für deterministische Zufallszahlengeneratoren, Version 3.0, Bonn, Germany, May 2013. (in German) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Interpretationen/AIS_20_pdf.html 

5. 인증 기관(CA: Certificate Authority)의 서명에는 RSA-PSS 또는 ECDSA를 사용해야 합니다(SHOULD).

6. 해시 값을 계산하려면 SHA256 알고리즘을 사용해야 합니다(SHOULD).

7. 인증서는 PEM(Privacy-Enhanced Mail) 형식으로 인코딩된 X.509 형식으로 저장 및 전송되어야 합니다(SHALL).

8. 모든 인증서에는 serial-number가 포함되어야 합니다(SHALL).

9. 인증서 subject 필드에 있는 O(organizationName) RDN(Relative Distinguished Name : 상대 고유 식별명)에, 인증서 소유자의 회사명(organization name)을 써(contain)야 합니다(SHALL).

10. CSMS 인증서의 경우, subject 필드는 CN(commonName) RDN에, 서버단의 FQDN(Fully Qualified Domain Name : 도메인명)을 포함해야 합니다(SHALL).

11. CS 인증서의 경우, subject 필드는 CS의 고유한 serial-number로 구성된 CN(commonName) RDN을 포함해야 합니다(SHALL). 이 일련 번호는 URL 또는 IP 주소 형식이 아니므로 충전소 인증서가 CSMS 인증서와 구별될 수 있습니다.

참고: RFC 2818에, dnsName 형식의 subjectAltName extension이 있으면, 그것을 ID로 사용해야 한다고 되어있습니다. 이 규정은 OCPP 및 ISO 15118과는 맞지 않습니다. 즉,  CS 및 CSMS 인증서에 사용해서는 안 됩니다(SHOULD NOT).

CSMS에 도달할 여러 네트워크 경로가 있는 경우 CSMS에 대해 dnsName 형식의 subjectAltName extension을 사용할 수 있습니다.

(예를들면, 사설 APN + (VPN에서 자신의 IP 주소를 사용하는) VPN의 경우, 그리고, 명명된 URL을 사용하는 공용 인터넷의 경우 등)

12. 모든 인증서는, X.509 Key Usage extension를 사용하여, 등록된 목적으로만 사용하도록 제한해야 합니다(SHOULD).

13. CS 인증서가 ISO 15118 프로토콜의 SECC 인증서로도 사용되는 경우 인증서는 ISO15118-2의 요구 사항도 충족해야 합니다(SHOULD).

14. 모든 인증서는, ISO 15118 표준과 호환되도록, X.509 확장 Key Usage extension을 사용하지 않는 것을 강력히 권장합니다. 다른 메커니즘으로 대체할 수 있습니다.