Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7.3. HSM에 저장된 키와 인증서를 사용하여 외부 CA를 사용하여 IdM 서버 설치

외부 CA(인증 기관)를 루트 CA로 사용하는 새 IdM(Identity Management) 서버를 설치할 수 있습니다.

설치하는 동안 시스템의 기본 구성(예: 영역, 관리자 암호 및 Directory Manager의 암호)을 제공해야 합니다.

ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그를 통해 문제를 식별하는 데 도움이 될 수 있습니다.

사전 요구 사항

  • 지원되는 네트워크 HSM이 공급업체 지침에 따라 설정되어 있습니다. 지원되는 HSM을 참조하십시오.
  • HSM PKCS #11 라이브러리 경로, /opt/nfast/toolkits/pkcs11/libcknfast.so.
  • 사용 가능한 슬롯, 토큰 및 토큰 암호입니다.

  • 통합 IdM CA 없이 서버를 설치하는 경우 타사 기관에서 다음 인증서를 요청해야 합니다.

    • LDAP 서버 인증서
    • Apache 서버 인증서
    • PKINIT 인증서
    • LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인

프로세스

  1. 설치 명령을 실행하여 외부 CA를 사용하도록 지정합니다. 

    # ipa-server-install --external-ca
    Copy to Clipboard Toggle word wrap

    설치 프로세스 중에 유틸리티는 CSR(인증서 서명 요청) /root/ipa.csr:의 위치를 출력합니다. 

    ...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
    Copy to Clipboard Toggle word wrap

  2. 설치 유틸리티로 생성된 CSR을 사용하여 인증서 프로세스를 완료하려면 다음 단계를 완료합니다.

    1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.

    2. 기본 64로 인코딩된 Blob(Windows CA의 PEM 파일 또는 Base_64 인증서)에서 발급한 인증서와 CA의 CA 인증서 체인을 검색합니다. 다시 말하지만, 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.

      중요

      CA 인증서뿐만 아니라 CA의 전체 인증서 체인을 가져옵니다.

  3. ipa-server-install 유틸리티를 다시 실행하여 새로 발급한 CA 인증서 및 CA 체인 파일 및 PKCS #11 라이브러리의 위치, 토큰 이름 및 토큰 암호를 지정합니다. 

    # ipa-server-install --external-cert-file=</tmp/servercert20170601.pem> --external-cert-file=</tmp/cacert.pem> -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so
    Copy to Clipboard Toggle word wrap
  4. 메시지가 표시되면 토큰 암호를 지정합니다.
  5. 이제 설치 스크립트가 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.

검증

  1. certutil 을 실행하여 CA 인증서 정보를 표시합니다. 

    certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P
    Copy to Clipboard Toggle word wrap

    인증서이지만 , 는 토큰에 저장된 개인 키가 없음을 나타냅니다.

  2. 키와 인증서가 HSM에 저장되었는지 확인합니다. 

    certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
    Copy to Clipboard Toggle word wrap

    인증서 이름 앞에 HSM 토큰 이름이 접두어로 지정되어 개인 키와 인증서가 토큰에 저장됨을 나타냅니다.

    키가 저장되는 경우 사용자가 인증서를 얻거나 사용하는 방법에는 영향을 미치지 않습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat