25장. IdM에서 ACME 서비스 배포 및 관리

ACME는 챌린지 및 응답 인증 메커니즘을 사용하여 클라이언트가 ID를 제어할 수 있음을 증명합니다. ACME에서 식별자는 문제를 해결하여 인증서를 취득하는 데 사용되는 소유권 증명입니다. RHEL IdM(Identity Management)에서 ACME는 현재 다음과 같은 문제를 지원합니다.

IdM에서 ACME 서비스는 PKI ACME 응답자를 사용합니다. ACME 하위 시스템은 IdM 배포의 모든 CA 서버에 자동으로 배포되지만 관리자가 활성화할 때까지 서비스는 요청하지 않습니다. 서버는 ipa-ca.DOMAIN 이라는 이름을 사용하여 검색됩니다. 모든 IdM CA 서버는 이 DNS 이름을 사용하여 등록되므로 요청은 라운드 로빈을 통해 부하 분산됩니다.

ACME도 배포되지만 관리자가 ipa-server-upgrade 명령을 사용하여 서버를 업그레이드할 때 비활성화됩니다.

ACME는 Apache Tomcat 내에서 별도의 서비스로 실행됩니다. ACME 구성 파일은 /etc/pki/pki-tomcat/acme 에 저장되고 PKI는 /var/log/pki/pki-tomcat/acme/ 에 ACME 정보를 기록합니다.

IdM은 ACME 인증서를 발행할 때 acmeIPAServerCert 프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. 이러한 이유로 ACME를 설정하여 만료된 인증서를 자동으로 제거하여 성능에 부정적인 영향을 미칠 수 있으므로 CA에서 누적되지 않도록 하는 것이 좋습니다.

다양한 ACME 클라이언트를 사용할 수 있습니다. RHEL과 함께 사용하려면 선택한 클라이언트에서 dns-01 및 http-01 문제를 지원해야 합니다. 현재 다음 클라이언트는 테스트되었으며 RHEL에서 ACME와 함께 작동하는 것으로 알려져 있습니다.