24.2. certmonger를 사용하여 서비스에 대한 IdM 인증서 가져오기

프로세스

1. HTTP 서비스가 실행 중인 my_company.idm.example.com IdM 클라이언트에서 HTTP /my_company.idm.example.com@IDM.EXAMPLE.COM 주체에 해당하는 서비스의 인증서를 요청한 후 이를 지정합니다.

   • 인증서는 로컬 /etc/pki/tls/certs/httpd.pem 파일에 저장됩니다.
   • 개인 키는 로컬 /etc/pki/tls/private/httpd.key 파일에 저장됩니다.

   • SubjectAltName 의 extensionRequest가 my_company.idm.example.com 의 DNS 이름으로 서명 요청에 추가됩니다.

     # ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -C "systemctl restart httpd"
     New signing request "20190604065735" added.

     Copy to Clipboard Toggle word wrap

     위의 명령에서 다음을 수행합니다.

     • ipa-getcert request 명령은 IdM CA에서 인증서를 가져오도록 지정합니다. ipa-getcert request 명령은 getcert request -c IPA 의 바로 가기입니다.
     • g 옵션은 아직 존재하지 않는 경우 생성할 키 크기를 지정합니다.
     • -D 옵션은 요청에 추가할 SubjectAltName DNS 값을 지정합니다.
     • -C 옵션은 인증서를 가져온 후 certmonger 에 httpd 서비스를 다시 시작하도록 지시합니다.
     • 인증서가 특정 프로필과 함께 발행되도록 지정하려면 -T 옵션을 사용합니다.
     • 지정된 CA에서 이름이 지정된 발행자를 사용하여 인증서를 요청하려면 -X ISSUER 옵션을 사용합니다.

2. 선택 사항: 요청 상태를 확인하려면 다음을 수행합니다.

   # ipa-getcert list -f /etc/pki/tls/certs/httpd.pem
   Number of certificates and requests being tracked: 3.
   Request ID '20190604065735':
       status: MONITORING
       stuck: no
       key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key'
       certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt'
       CA: IPA
   [...]

   Copy to Clipboard Toggle word wrap

   출력은 요청이 MONITORING 상태에 있음을 표시하므로 인증서가 가져왔습니다. 키 쌍과 인증서의 위치는 요청된 키입니다.