홈
제품
Red Hat Enterprise Linux
10
IdM에서 인증서 관리
28장. 특정 인증서 그룹을 신속하게 무효화

28장. 특정 인증서 그룹을 신속하게 무효화

시스템 관리자로서 특정 관련 인증서 그룹을 신속하게 무효화하려면 다음을 수행합니다.

특정 경량 RHEL IdM(Identity Management) 하위 CA에서 발급한 인증서만 신뢰하도록 애플리케이션을 설계합니다. 이후 이러한 인증서를 발급한 RHEL IdM(Identity Management) 하위 CA의 인증서만 취소하여 이러한 인증서를 무효화할 수 있습니다. IdM에서 경량 하위 CA를 생성하고 사용하는 방법에 대한 자세한 내용은 특정 관련 인증서 그룹이 빠르게 무효화된 내용을 참조하십시오.
to-bevoked IdM 하위 CA에서 발급한 모든 인증서가 즉시 유효하지 않도록 하려면 IdM OCSP 응답자를 사용하도록 이러한 인증서를 사용하는 애플리케이션을 구성합니다. 예를 들어 OCSP 응답자를 사용하도록 Firefox 브라우저를 구성하려면 Query OCSP 응답기 서버가 Firefox 환경 설정에 현재 인증서의 유효성을 확인하도록 선택되어 있는지 확인합니다.
IdM에서 CRL(인증서 취소 목록)은 4시간마다 업데이트됩니다. IdM 하위 CA에서 발급한 모든 인증서를 무효화하려면 IdM 하위 CA 인증서를 취소합니다. 또한 관련 CA ACL을 비활성화하고 IdM 하위 CA를 비활성화하는 것이 좋습니다. 하위 CA를 비활성화하면 하위 CA에서 새 인증서를 발행하지 않지만 하위 CA의 서명 키가 유지되므로 이전에 발행된 인증서에 대해 OCSP(Online Certificate Status Protocol) 응답이 생성될 수 있습니다.

중요

사용자 환경에서 OCSP를 사용하는 경우 하위 CA를 삭제하지 마십시오. 하위 CA를 삭제하면 하위 CA의 서명 키가 삭제되어 해당 하위 CA에서 발급한 인증서에 대한 OCSP 응답이 발생하지 않습니다.

하위 CA를 삭제할 때 유일한 시나리오는 동일한 제목 고유 이름(DN)이지만 새 서명 키를 사용하여 새 하위 CA를 생성하려는 경우입니다.

28.1. IdM CLI에서 CA ACL 비활성화
링크 복사

IdM 서비스 또는 IdM 서비스 그룹을 재구축하려면 기존 해당 CA ACL을 비활성화하는 것이 좋습니다.

다음 절차에 따라 IdM 클라이언트에서 실행 중인 웹 서버를 제한하고 webserver-ca IdM 하위 CA에서 발행할 인증서를 요청하고 IdM 사용자가 webclient-ca IdM 하위 CA에서 발행하도록 사용자 인증서를 요청하는 TLS_web_client_authentication CA ACL을 비활성화하는 TLS_web_server_authentication CA ACL을 비활성화합니다.

프로세스

선택 사항: IdM 환경의 모든 CA ACL을 보려면 ipa caacl-find 명령을 입력합니다.

ipa caacl-find

$ ipa caacl-find
-----------------
3 CA ACLs matched
-----------------
  ACL name: hosts_services_caIPAserviceCert
  Enabled: TRUE

  ACL name: TLS_web_server_authentication
  Enabled: TRUE

  ACL name: TLS_web_client_authentication
  Enabled: TRUE

Copy to Clipboard

Toggle word wrap

선택 사항: CA ACL의 세부 정보를 보려면 ipa caacl-show 명령을 입력하고 CA ACL 이름을 지정합니다.

ipa caacl-show TLS_web_server_authentication

$ ipa caacl-show TLS_web_server_authentication
  ACL name: TLS_web_server_authentication
  Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
  Enabled: TRUE
  CAs: webserver-ca
  Profiles: caIPAserviceCert
  Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

Toggle word wrap

CA ACL을 비활성화하려면 ipa caacl-disable 명령을 입력하고 CA ACL 이름을 지정합니다.
- TLS_web_server_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
  $ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
  Copy to Clipboard Toggle word wrap
- TLS_web_client_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
  $ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
  Copy to Clipboard Toggle word wrap
이제 유일하게 활성화된 CA ACL은 hosts_services_caIPAserviceCert CA ACL입니다.
중요
hosts_services_caIPAserviceCert CA ACL을 비활성화하는 방법에 대해 매우 주의하십시오. caIPAserviceCert 프로필과 함께 ipa CA를 사용하도록 부여하는 다른 CA ACL 없이 host_services_ caIPAserviceCert 를 비활성화하면 IdM HTTP 및 LDAP 인증서의 인증서 갱신이 실패합니다. 만료된 IdM HTTP 및 LDAP 인증서로 인해 IdM 시스템이 실패합니다.

맨 위로 이동

28장. 특정 인증서 그룹을 신속하게 무효화

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

28장. 특정 인증서 그룹을 신속하게 무효화

28.1. IdM CLI에서 CA ACL 비활성화링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

28.1. IdM CLI에서 CA ACL 비활성화
링크 복사