ECDSA 명명된 곡선
시스템 SSL/TLS에서는 ECDSA(Elliptic Curve Digital Signature Algorithm) 기반 인증서를 지원합니다. ECDSA 인증서의 키 크기는 인증서가 작성될 때 설정된 명명된 곡선에 의해 판별됩니다.
- Secp521r1
- Secp384r1
- Secp256r1
- Secp224r1
- Secp192r1
곡선명에 있는 숫자는 DCM에서 인증서를 작성하는 데 사용되는 키 크기(비트)와 같습니다. DCM에서 인증서를 볼 때 명명된 곡선과 연관된 키 크기는 비트로 표시됩니다.
작동할 수 있는 명명된 곡선
시스템 서비스 툴(SST) 확장 분석 명령 SSLCONFIG는 시스템 SSL/TLS가 사용하는 인증서에 허용된 ECDSA 키 크기를 제한하기 위한 시스템 레벨 설정을 식별합니다. 제한사항은 로컬 및 피어 인증서에 적용되며 클라이언트 및 서버 인증서를 모두 포함합니다. 지원되는 명명된 곡선 리스트를 제한하면 서버 또는 클라이언트 인증서가 지원 리스트에 없는 ECDSA 키 크기를 포함할 때 핸드쉐이크 실패가 발생합니다.
작동할 수 있는 타원 곡선 명명된 곡선 리스트의 현재 값을 판별하려면 SSLCONFIG 옵션 –display를 사용하십시오. 시스템에서 작동할 수 있는 명명된 곡선 리스트를 변경해야 하는 경우 SSLCONFIG 옵션 supportedNamedCurve를 사용하여 값을 변경하십시오. SSLCONFIG 옵션 -h는 명명된 곡선 값의 설정 방법을 설명하는 도움말 패널을 표시합니다. 도움말 텍스트에 나열된 명명된 곡선 값만 리스트에 추가할 수 있습니다.
SSLCONFIG -supportedNamedCurve:23,24,25- Secp521r1
- Secp384r1
- Secp256r1
- Secp224r1
- Secp192r1
디폴트 명명된 곡선
애플리케이션이 명명된 곡선 리스트를 지정하지 않는 경우 시스템 SSL/TLS의 디폴트 명명된 곡선 리스트를 사용합니다. 애플리케이션은 애플리케이션 코드를 변경할 필요가 없이 이 디자인을 사용하여 새 TLS 지원을 선택합니다. 디폴트 명명된 곡선 리스트는 해당 애플리케이션에 대해 명명된 곡선 리스트를 명시적으로 지정하는 애플리케이션에 대해서는 적용되지 않습니다.
시스템의 디폴트 명명된 곡선 리스트는 작동 가능한 명명된 곡선 리스트와 적합한 디폴트 명명된 곡선 리스트의 교차점입니다. 적합한 디폴트 명명된 곡선 리스트는 SSLCONFIG 옵션 namedCurve를 사용하여 구성됩니다.
시스템의 디폴트 타원 곡선 명명된 곡선 리스트의 현재 값을 판별하려면 SSLCONFIG 옵션 –display를 사용하십시오.
관리자는 애플리케이션이 피어와 성공적으로 상호 운영되도록 허용하는 다른 구성 설정이 없는 경우에만 디폴트 명명된 곡선 설정을 변경하는 것을 고려해야 합니다. 하위의 명명된 곡선은 이를 필요로 하는 특정 애플리케이션에 대해서만 작동할 수 있게 하는 것이 좋습니다. 애플리케이션에 "애플리케이션 정의"가 있는 경우 이 작동은 디지털 인증 관리자(DCM)을 통해 수행됩니다.
시스템에서 디폴트 명명된 곡선 리스트를 변경해야 하는 경우 SSLCONFIG 옵션 namedCurve를 사용하여 값을 변경하십시오. SSLCONFIG 옵션 -h는 명명된 곡선 리스트의 설정 방법을 설명하는 도움말 패널을 표시합니다. 도움말 텍스트에 나열된 명명된 곡선만 리스트에 추가할 수 있습니다.
SSLCONFIG -namedCurve:24,25- Secp521r1
- Secp384r1
- Secp256r1
