홈
제품
Red Hat Enterprise Linux
10
IdM에서 인증서 관리
18.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트

18.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트

다음 절차에 따라 외부 CA를 사용하여 CSR(인증서 서명 요청)에 서명하는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신합니다. 이 구성에서 IdM CA 서버는 외부 CA의 하위 CA입니다. 외부 CA는 Active Directory 인증서 서버(AD CS)일 수 있지만 반드시 사용할 필요는 없습니다.

외부 인증 기관이 AD CS인 경우 CSR에서 IdM CA 인증서에 사용할 템플릿을 지정할 수 있습니다. 인증서 템플릿은 인증서 요청을 받을 때 CA에서 사용하는 정책 및 규칙을 정의합니다. AD의 인증서 템플릿은 IdM의 인증서 프로필에 해당합니다.

특정 AD CS 템플릿을 OID(오브젝트 식별자)로 정의할 수 있습니다. OID는 분산 애플리케이션의 데이터 요소, 구문 및 기타 부분을 고유하게 식별하기 위해 다양한 발행 기관에서 발행한 고유한 숫자 값입니다.

또는 이름으로 특정 AD CS 템플릿을 정의할 수 있습니다. 예를 들어 IdM CA에서 AD CS로 제출한 CSR에 사용된 기본 프로필 이름은 subCA 입니다.

CSR에 OID 또는 이름을 지정하여 프로필을 정의하려면 external-ca-profile 옵션을 사용합니다. 자세한 내용은 시스템의 ipa-cacert-manage 도움말 페이지를 참조하십시오.

준비된 인증서 템플릿을 사용하는 것 외에도 AD CS에 사용자 정의 인증서 템플릿을 생성하고 CSR에서 사용할 수도 있습니다.

사전 요구 사항

IdM CA 갱신 서버에 대한 루트 액세스 권한이 있어야 합니다.

프로세스

현재 CA 인증서가 자체 서명되었는지 또는 외부 서명 여부에 관계없이 외부 서명을 사용하여 IdM CA의 인증서를 갱신하려면 다음 절차를 완료합니다.

외부 CA에 제출할 CSR을 생성합니다.

외부 CA가 AD CS인 경우 --external-ca-type=ms-cs 옵션을 사용합니다. 기본 subCA 템플릿과 다른 템플릿을 사용하려면 --external-ca-profile 옵션을 사용하여 지정합니다.

ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]

~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
Exporting CA certificate signing request, please wait
The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-cacert-manage command was successful

Copy to Clipboard

Toggle word wrap

외부 CA가 AD CS가 아닌 경우:

ipa-cacert-manage renew --external-ca

~]# ipa-cacert-manage renew --external-ca
Exporting CA certificate signing request, please wait
The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-cacert-manage command was successful

Copy to Clipboard

Toggle word wrap

출력은 CSR이 생성되어 /var/lib/ipa/ca.csr 파일에 저장되었음을 보여줍니다.

/var/lib/ipa/ca.csr 에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
다음과 같은 기본 64로 인코딩된 Blob에서 발급된 인증서 및 CA 인증서 체인을 검색합니다.
- 외부 CA가 AD CS가 아닌 경우 PEM 파일입니다.
- 외부 CA가 AD CS인 경우 Base_64 인증서입니다.
  프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.
  외부 CA가 AD CS이고 Microsoft Windows 인증 기관 관리 창을 통해 알려진 템플릿으로 CSR을 제출한 경우 AD CS에서 인증서를 즉시 발행하고 인증서 저장 대화 상자가 AD CS 웹 인터페이스에 표시되어 발행된 인증서를 저장할 위치를 묻는 메시지가 표시됩니다.

ipa-cacert-manage renew 명령을 다시 실행하여 전체 인증서 체인을 제공하는 데 필요한 모든 CA 인증서 파일을 추가합니다. --external-cert-file 옵션을 여러 번 사용하여 필요한 파일 수를 지정합니다.

ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2

~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2

Copy to Clipboard

Toggle word wrap

모든 IdM 서버 및 클라이언트에서 서버의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다.
```
ipa-certupdate
```
```
[client ~]$ ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful
```
Copy to Clipboard Toggle word wrap

검증

업데이트가 성공했는지 확인하고 새 CA 인증서가 /etc/ipa/ca.crt 파일에 추가되었습니다.

openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout

[client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

Copy to Clipboard

Toggle word wrap

새 CA 인증서가 이전 CA 인증서와 함께 나열되면 출력에 업데이트가 성공했음을 보여줍니다.

맨 위로 이동

18.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links