1.6. TLS 인증서 업데이트

절차

1. 개인 키 및 CSR(인증서 서명 요청)을 만듭니다. 외부 유틸리티를 사용하여 생성하려면 이 단계를 건너뜁니다.

   • 호스트에 하나의 이름으로만 연결할 수 있는 경우 다음을 입력합니다.

     # dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization"

     Copy to Clipboard Toggle word wrap

   • 여러 이름으로 호스트에 연결할 수 있는 경우:

     # dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization" server.example.com server.example.net

     Copy to Clipboard Toggle word wrap

     호스트 이름을 마지막 매개 변수로 지정하면 명령에서 DNS:server.example.com, DNS:server.example.net 항목을 CSR에 사용하여 SAN(Subject Alternative Name) 확장을 추가합니다.

   -s subject 매개변수에 지정된 문자열은 RFC 1485에 따라 유효한 제목 이름이어야 합니다. 제목의 CN 필드가 필요하며 서버의 FQDN(정규화된 도메인 이름) 중 하나로 설정해야 합니다. 명령은 CSR을 /etc/dirsrv/slapd- <instance_name> /Server-Cert.csr 파일에 저장합니다.

2. 인증서 발급을 받으려면 CSR을 CA(인증 기관)에 제출합니다. 자세한 내용은 CA 설명서를 참조하십시오.
3. /root/ 디렉터리에 CA 인증서와 서버 인증서를 모두 저장합니다.

4. 다음 옵션 중 하나를 사용하여 CA에서 발급한 서버 인증서를 NSS 데이터베이스로 가져옵니다.

   • dsctl tls generate-server-cert-csr 명령을 사용하여 개인 키를 생성한 경우 다음을 입력합니다.

     # dsconf -D "cn=Directory Manager" ldap://server.example.com security certificate add --file /root/instance_name.crt --name "server-cert" --primary-cert

     Copy to Clipboard Toggle word wrap

     --name _certificate_nickname매개변수에 설정한 인증서의 이름을 기억합니다. 이는 이후 단계에서 필요합니다.

   • 외부 유틸리티를 사용하여 개인 키를 생성한 경우 서버 인증서와 개인 키를 가져옵니다.

     # dsctl <instance_name> tls import-server-key-cert /root/server.crt /root/server.key

     Copy to Clipboard Toggle word wrap

     이 명령을 사용하려면 먼저 서버 인증서의 경로를 지정한 다음 개인 키의 경로를 지정해야 합니다. 이 방법은 항상 인증서의 닉네임을 Server-Cert 로 설정합니다.

5. CA 인증서를 NSS 데이터베이스로 가져옵니다.

   # dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate add --file /root/ca.crt --name "Example CA"

   Copy to Clipboard Toggle word wrap

6. CA 인증서의 신뢰 플래그를 설정합니다.

   # dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate set-trust-flags "Example CA" --flags "CT,,"

   Copy to Clipboard Toggle word wrap

   이렇게 하면 TLS 암호화 및 인증서 기반 인증을 위한 CA를 신뢰하도록 Directory Server가 구성됩니다.

7. 인스턴스를 중지합니다.

   # dsctl <instance_name> stop

   Copy to Clipboard Toggle word wrap

8. /etc/dirsrv/slapd- <instance_name> /dse.ldif 파일을 편집하고 해당 속성을 포함하여 다음 항목을 제거합니다.

   • CN=AES,cn=encrypted 특성 키,cn=database_name,cn=ldbm 데이터베이스,cn=plugins,cn=config
   • CN=3DES,cn=encrypted 특성 키,cn=database_name,cn=ldbm 데이터베이스,cn=plugins,cn=config
   중요

   모든 데이터베이스의 항목을 제거합니다. nsSymmetricKey 속성이 포함된 항목이 /etc/dirsrv/slapd- <instance_name> /dse.ldif 파일에 남아 있으면 Directory Server가 시작되지 않습니다.

9. 인스턴스를 시작합니다.

   # dsctl <instance_name> start

   Copy to Clipboard Toggle word wrap