18.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트
다음 절차에 따라 외부 CA를 사용하여 CSR(인증서 서명 요청)에 서명하는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신합니다. 이 구성에서 IdM CA 서버는 외부 CA의 하위 CA입니다. 외부 CA는 Active Directory 인증서 서버(AD CS)일 수 있지만 반드시 사용할 필요는 없습니다.
외부 인증 기관이 AD CS인 경우 CSR에서 IdM CA 인증서에 사용할 템플릿을 지정할 수 있습니다. 인증서 템플릿은 인증서 요청을 받을 때 CA에서 사용하는 정책 및 규칙을 정의합니다. AD의 인증서 템플릿은 IdM의 인증서 프로필에 해당합니다.
특정 AD CS 템플릿을 OID(오브젝트 식별자)로 정의할 수 있습니다. OID는 분산 애플리케이션의 데이터 요소, 구문 및 기타 부분을 고유하게 식별하기 위해 다양한 발행 기관에서 발행한 고유한 숫자 값입니다.
또는 이름으로 특정 AD CS 템플릿을 정의할 수 있습니다. 예를 들어 IdM CA에서 AD CS로 제출한 CSR에 사용된 기본 프로필 이름은 subCA
입니다.
CSR에 OID 또는 이름을 지정하여 프로필을 정의하려면 external-ca-profile
옵션을 사용합니다. 자세한 내용은 시스템의 ipa-cacert-manage
도움말 페이지를 참조하십시오.
준비된 인증서 템플릿을 사용하는 것 외에도 AD CS에 사용자 정의 인증서 템플릿을 생성하고 CSR에서 사용할 수도 있습니다.
사전 요구 사항
- IdM CA 갱신 서버에 대한 루트 액세스 권한이 있어야 합니다.
프로세스
현재 CA 인증서가 자체 서명되었는지 또는 외부 서명 여부에 관계없이 외부 서명을 사용하여 IdM CA의 인증서를 갱신하려면 다음 절차를 완료합니다.
외부 CA에 제출할 CSR을 생성합니다.
외부 CA가 AD CS인 경우
--external-ca-type=ms-cs
옵션을 사용합니다. 기본subCA
템플릿과 다른 템플릿을 사용하려면--external-ca-profile
옵션을 사용하여 지정합니다.ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE] Exporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 외부 CA가 AD CS가 아닌 경우:
ipa-cacert-manage renew --external-ca
~]# ipa-cacert-manage renew --external-ca Exporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력은 CSR이 생성되어
/var/lib/ipa/ca.csr
파일에 저장되었음을 보여줍니다.
-
/var/lib/ipa/ca.csr
에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다. 다음과 같은 기본 64로 인코딩된 Blob에서 발급된 인증서 및 CA 인증서 체인을 검색합니다.
- 외부 CA가 AD CS가 아닌 경우 PEM 파일입니다.
외부 CA가 AD CS인 경우 Base_64 인증서입니다.
프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.
외부 CA가 AD CS이고 Microsoft Windows 인증 기관 관리 창을 통해 알려진 템플릿으로 CSR을 제출한 경우 AD CS에서 인증서를 즉시 발행하고 인증서 저장 대화 상자가 AD CS 웹 인터페이스에 표시되어 발행된 인증서를 저장할 위치를 묻는 메시지가 표시됩니다.
ipa-cacert-manage renew
명령을 다시 실행하여 전체 인증서 체인을 제공하는 데 필요한 모든 CA 인증서 파일을 추가합니다.--external-cert-file
옵션을 여러 번 사용하여 필요한 파일 수를 지정합니다.ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 모든 IdM 서버 및 클라이언트에서 서버의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다.
ipa-certupdate
[client ~]$ ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
업데이트가 성공했는지 확인하고 새 CA 인증서가
/etc/ipa/ca.crt
파일에 추가되었습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 CA 인증서가 이전 CA 인증서와 함께 나열되면 출력에 업데이트가 성공했음을 보여줍니다.