공유 인증서 저장소(Windows 스토어 앱)
Windows Server 2012 및 Windows 8에는 새 격리 모델, 새 응용 프로그램 모델 및 새 개발 모델이 포함되어 있습니다.
- 새 격리 모델에서는 응용 프로그램이 앱 컨테이너라는 하위 수준 운영 체제 구성체에서 실행되게 하여 명시적으로 허용된 경우 외에는 응용 프로그램 외부의 리소스나 파일에 액세스하지 못하게 할 수 있습니다.
- 새 응용 프로그램 모델은 Windows 스토어 앱을 정의합니다. Windows 스토어 앱은 앱 컨테이너 내에서 실행되고 선언된 기능을 가지며 전체 시스템에 영향을 주지 않고 설치, 실행 및 제거할 수 있습니다.
- 새 개발 모델에는 Windows Server 2012 및 Windows 8 기능에 간단히 액세스할 수 있도록 개발된 Windows 8용 Windows SDK(소프트웨어 개발 키드)가 포함됩니다. Windows 스토어 앱을 만드는 경우 Windows 8용 Windows SDK를 통해 제공되는 유형만 사용해도 됩니다.
이러한 새 모델, 특히 격리 모델은 다음 섹션에서 논의될 PKI(공개 키 인프라) 함축을 가집니다.
앱 컨테이너별 인증서 저장소
특정 앱 컨테이너에서 사용하기 위한 인증서는 사용자별, 앱 고유 컨테이너 위치에 저장됩니다. 앱 컨테이너에서 실행되는 Windows 스토어 앱은 자체 인증서 저장소에 대한 쓰기 권한만 있습니다. 응용 프로그램에서 인증서를 이러한 저장소에 추가할 경우 다른 Windows 스토어 앱에서 인증서를 읽을 수 없습니다. Windows 스토어 앱이 제거되면 해당하는 인증서도 함께 제거됩니다. 또한 Windows 스토어 앱은 내 저장소 및 요청 저장소를 제외한 로컬 컴퓨터 인증서 저장소에 대한 읽기 권한도 있습니다.
캐시
각 앱 컨테이너에는 유효성 검사에 필요한 발급자 인증서, CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜) 응답을 저장할 수 있는 격리된 캐시가 있습니다.
공유 인증서 및 키
스마트 카드를 판독기에 삽입할 경우 카드에 포함된 인증서와 키는 사용자가 실행 중인 완전 신뢰 응용 프로그램에서 공유할 수 있는 사용자의 내 저장소로 전파됩니다. 그러나 기본적으로 앱 컨테이너는 사용자별 내 저장소에 대한 액세스 권한이 없습니다.
이 문제를 해결하고 보안 주체 그룹이 리소스 그룹에 액세스할 수 있게 하기 위해 컨테이너 격리 모델은 기능 개념을 지원합니다. 기능은 앱 컨테이너 프로세스가 특정 리소스에 액세스할 수 있게 합니다. sharedUserCertificates 기능은 사용자 내 저장소 및 스마트 카드 신뢰할 수 있는 루트 저장소에 포함된 인증서 및 키에 대한 읽기 권한을 부여합니다. 이 기능은 사용자 요청 저장소에 대한 읽기 권한은 부여하지 않습니다.
다음 예제와 같이 매니페스트에 sharedUserCertificates 기능을 지정합니다.
<Capabilities>
<Capability Name="sharedUserCertificates" />
</Capabilities>