홈
제품
Red Hat Enterprise Linux
10
Identity Management 설치
7.2. HSM에 저장된 키 및 인증서를 사용하여 통합 CA를 사용하여 IdM 서버 설치

7.2. HSM에 저장된 키 및 인증서를 사용하여 통합 CA를 사용하여 IdM 서버 설치

ipa-server-install 명령의 기본 구성은 루트 CA로 통합된 CA입니다.

설치하는 동안 시스템의 기본 구성(예: 영역, 관리자 암호 및 Directory Manager의 암호)을 제공해야 합니다.

ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그를 통해 문제를 식별하는 데 도움이 될 수 있습니다.

사전 요구 사항

지원되는 네트워크 HSM이 공급업체 지침에 따라 설정되어 있습니다. 지원되는 HSM을 참조하십시오.
HSM PKCS #11 라이브러리 경로, /opt/nfast/toolkits/pkcs11/libcknfast.so.
사용 가능한 슬롯, 토큰 및 토큰 암호입니다.

프로세스

install 명령을 실행하여 PKCS #11 라이브러리, 토큰 이름 및 토큰 암호를 지정합니다.

ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

Copy to Clipboard

Toggle word wrap

메시지가 표시되면 토큰 암호를 지정합니다.

검증

certutil 을 실행하여 CA 인증서 정보를 표시합니다.

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

Copy to Clipboard

Toggle word wrap

인증서의 Trust Attributes 아래에 u 가 나열되지 않은 경우 개인 키가 토큰에 저장됨을 나타냅니다. 이 경우 성능상의 이유로 HSM에 설치되지 않으므로 Server-Cert cert-pki-ca 에만 u 플래그가 있습니다.

키와 인증서가 HSM에 저장되었는지 확인합니다.

certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

Copy to Clipboard

Toggle word wrap

인증서 이름 앞에 HSM 토큰 이름이 접두어로 지정되어 개인 키와 인증서가 토큰에 저장됨을 나타냅니다.

키가 저장되는 경우 사용자가 인증서를 얻거나 사용하는 방법에는 영향을 미치지 않습니다.

맨 위로 이동

7.2. HSM에 저장된 키 및 인증서를 사용하여 통합 CA를 사용하여 IdM 서버 설치

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links