Red Hat Summit17장. IdM CA 갱신 서버 사용
17.1. IdM CA 갱신 서버 설명
CA(인증 기관)를 사용하는 IdM(Identity Management) 배포에서 CA 갱신 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다. 강력한 IdM 배포를 보장합니다.
IdM 시스템 인증서는 다음과 같습니다.
-
IdM CA인증서 -
OCSP서명 인증서 -
IdM CA 하위 시스템인증서 -
IdM CA 감사 서명인증서 -
IdM 갱신 에이전트(RA) 인증서 -
KRA전송 및 스토리지 인증서
시스템 인증서가 모든 CA 복제본에서 키를 공유하는 것은 무엇입니까. 반면 IdM 서비스 인증서(예: LDAP,HTTP 및 PKINIT 인증서)에는 다른 IdM CA 서버에서 서로 다른 키 쌍과 제목 이름이 있습니다.
IdM 토폴로지에서 기본적으로 첫 번째 IdM CA 서버는 CA 갱신 서버입니다.
업스트림 문서에서 IdM CA를 Dogtag 라고 합니다.
CA 갱신 서버의 역할
IdM CA,IdM CA 하위 시스템 및 IdM RA 인증서는 IdM 배포에 중요합니다. 각 인증서는 /etc/pki/pki-tomcat/ 디렉터리의 NSS 데이터베이스에 저장되며 LDAP 데이터베이스 항목으로도 저장됩니다. LDAP에 저장된 인증서는 NSS 데이터베이스에 저장된 인증서와 일치해야 합니다. 일치하지 않으면 IdM 프레임워크와 IdM CA 간에 인증 오류가 발생하고 IdM CA와 LDAP 간에 인증 오류가 발생합니다.
모든 IdM CA 복제본에는 모든 시스템 인증서에 대한 추적 요청이 있습니다. 통합 CA를 사용한 IdM 배포에 CA 갱신 서버가 없는 경우 각 IdM CA 서버는 시스템 인증서 갱신을 개별적으로 요청합니다. 이로 인해 다른 CA 복제본에 다양한 시스템 인증서 및 인증 오류가 발생합니다.
갱신 서버로 하나의 CA 복제본을 추가하면 필요한 경우 시스템 인증서를 정확히 한 번만 갱신할 수 있으므로 인증 실패를 방지할 수 있습니다.
CA 복제본에서 certmonger 서비스의 역할
모든 IdM CA 복제본에서 실행되는 certmonger 서비스는 dogtag-ipa-ca-renew-agent 갱신 도우미를 사용하여 IdM 시스템 인증서를 추적합니다. 갱신 도우미 프로그램은 CA 갱신 서버 구성을 읽습니다. CA 갱신 서버가 아닌 각 CA 복제본에서 갱신 도우미는 ca_renewal LDAP 항목에서 최신 시스템 인증서를 검색합니다. 완전히 certmonger 갱신 시도가 발생할 때 비 결정적 (non-determinism)으로 인해 dogtag-ipa-ca-renew-agent 도우미는 CA 갱신 서버가 실제로 인증서를 갱신하기 전에 시스템 인증서를 업데이트하려고 시도하는 경우가 있습니다. 이 경우 이전 인증서가 CA 복제본의 certmonger 서비스로 반환됩니다. certmonger 서비스는 데이터베이스에 이미 저장된 인증서와 동일한 인증서로, CA 갱신 서버에서 업데이트된 인증서를 검색할 때까지 개별 시도 사이에 인증서를 갱신하려고 시도합니다.
IdM CA 갱신 서버의 올바른 기능
포함된 CA가 있는 IdM 배포는 IdM CA와 함께 설치되거나 나중에 IdM CA 서버가 설치된 IdM 배포입니다. CA가 포함된 IdM 배포에는 항상 업데이트 서버로 정확히 하나의 CA 복제본이 구성되어 있어야 합니다. 갱신 서버는 온라인 상태이고 완전하게 기능해야 하며 다른 서버와 적절하게 복제해야 합니다.
ipa server-del,ipa-replica-manage del 또는ipa-csreplica-manage del 또는 ipa-server-install --uninstall 명령을 사용하여 현재 CA 갱신 서버를 삭제하는 경우 다른 CA 복제본이 CA 갱신 서버로 자동으로 할당됩니다. 이 정책은 갱신 서버 구성이 유효한 상태로 유지됩니다.
이 정책은 다음 상황을 다루지 않습니다.
오프라인 갱신 서버
갱신 서버가 연장된 기간 동안 오프라인 상태인 경우 갱신 기간이 누락될 수 있습니다. 이 경우 갱신되지 않은 모든 CA 서버는 인증서가 만료될 때까지 현재 시스템 인증서를 다시 설치합니다. 이 경우 하나의 만료된 인증서로 인해 다른 인증서의 갱신 실패가 발생할 수 있으므로 IdM 배포가 중단됩니다.
복제 문제
갱신 서버와 기타 CA 복제본 간에 복제 문제가 있는 경우 갱신이 성공할 수 있지만 다른 CA 복제본은 만료되기 전에 업데이트된 인증서를 검색하지 못할 수 있습니다.
이러한 상황을 방지하려면 복제 계약이 올바르게 작동하는지 확인하십시오. 자세한 내용은 RHEL 7 Linux Domain Identity, Authentication 및 Policy Guide의 일반 또는 특정 복제 문제 해결 지침을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}