홈
제품
Red Hat Enterprise Linux
10
IdM에서 인증서 관리
20장. IdM 복제본에서 아직 만료되지 않은 경우 웹 서버 및 LDAP 서버 인증서 교체

20장. IdM 복제본에서 아직 만료되지 않은 경우 웹 서버 및 LDAP 서버 인증서 교체

IdM(Identity Management) 시스템 관리자는 IdM 서버에서 실행되는 웹(또는 httpd) 및 LDAP(또는 디렉터리 ) 서비스에서 사용하는 인증서를 수동으로 교체할 수 있습니다. 인증서가 만료에 가까워지고 certmonger 유틸리티가 자동 갱신을 위해 구성되지 않았거나 인증서가 외부 CA(인증 기관)에 의해 서명되는 경우 이 작업이 필요할 수 있습니다.

이 예제에서는 server.idm.example.com IdM 서버에서 실행되는 서비스의 인증서를 설치하는 방법을 설명합니다. 외부 CA에서 인증서를 가져옵니다.

참고

httpd 및 LDAP 서비스 인증서에는 다른 IdM 서버의 키 쌍과 제목 이름이 다르므로 각 IdM 서버에서 인증서를 개별적으로 갱신해야 합니다.

사전 요구 사항

IdM 서버에 복제 계약이 있는 토폴로지의 다른 IdM 복제본에서 웹 및 LDAP 인증서가 여전히 유효합니다. 이는 다른 IdM 복제본과 통신하기 위해 TLS 연결이 필요한 ipa-server-certinstall 명령의 전제 조건입니다. 인증서가 유효하지 않으면 연결을 설정할 수 없으며 명령이 실패합니다. 이 경우 전체 IdM 배포에서 만료된 경우 웹 서버 및 LDAP 서버 인증서 교체를 참조하십시오.
IdM 서버에 대한 루트 액세스 권한이 있어야 합니다.
Directory Manager 암호를 알고 있습니다.
새 httpd/LDAP 인증서가 이전 CA와 다른 외부 CA에서 서명하려는 경우 외부 CA의 CA 인증서 체인을 저장하는 파일에 액세스할 수 있습니다.

프로세스

새 httpd/LDAP 인증서가 이전 CA와 다른 CA에서 서명하려는 경우 IdM에 추가 CA 인증서로 외부 CA 인증서의 새 외부 CA 인증서 및 전체 CA 인증서 체인을 설치합니다. 인증서를 저장하는 파일은 PEM 및 DER 인증서, PKCS#7 인증서 체인, PKCS#8 및 원시 개인 키 및 PKCS#12 형식으로 허용됩니다.
1. CA 인증서를 설치합니다.
  # ipa-cacert-manage install /path/to/ca.crt
  Copy to Clipboard Toggle word wrap
  중요
  새 외부 CA 인증서의 주체가 이전 키와 동일하지만 다른 키를 사용하는 경우 다음 조건을 충족한 경우에만 사용할 수 있습니다.
  두 인증서에는 동일한 신뢰 플래그가 있습니다.
  CA는 동일한 닉네임을 공유합니다.
  인증서에 나열된 X509 확장에는 AKI( Authority Key Identifier ) 확장이 포함됩니다.
2. 나머지 인증서 체인을 IdM에 추가 CA 인증서로 설치합니다. ipa-cacert-manage install 명령은 파일에서 첫 번째 인증서만 읽기 때문에 한 번에 하나의 전체 CA 체인을 설치해야 합니다. 예를 들어 체인에 두 개의 인증서가 포함된 경우 각각 인증서를 별도의 파일에 저장하고 각 파일에 대해 ipa-cacert-manage install 을 개별적으로 실행합니다.
  # ipa-cacert-manage install /path/to/intermediate-ca.crt
  Copy to Clipboard Toggle word wrap
  # ipa-cacert-manage install /path/to/root-ca.crt
  Copy to Clipboard Toggle word wrap
3. 인증서 체인의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다.
  # ipa-certupdate
  Copy to Clipboard Toggle word wrap

OpenSSL 유틸리티를 사용하여 개인 키 및 CSR(인증서 서명 요청)을 생성합니다.

openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:server.idm.example.com" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'

$ openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:server.idm.example.com" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'

Copy to Clipboard

Toggle word wrap

CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다. CA가 인증서에 서명한 후 인증서를 IdM 서버로 가져옵니다.

IdM 서버에서 Apache 웹 서버의 이전 개인 키와 인증서를 새 키 및 새로 서명된 인증서로 교체합니다.
```
ipa-server-certinstall -w --pin=password new.key new.crt
```
```
# ipa-server-certinstall -w --pin=password new.key new.crt
```
Copy to Clipboard Toggle word wrap
위의 명령에서 다음을 수행합니다.
- w 옵션은 웹 서버에 인증서를 설치하도록 지정합니다.
- --pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
메시지가 표시되면 Directory Manager 암호를 입력합니다.
LDAP 서버의 이전 개인 키와 인증서를 새 키 및 새로 서명된 인증서로 교체합니다.
```
ipa-server-certinstall -d --pin=password new.key new.cert
```
```
# ipa-server-certinstall -d --pin=password new.key new.cert
```
Copy to Clipboard Toggle word wrap
위의 명령에서 다음을 수행합니다.
- d 옵션은 LDAP 서버에 인증서를 설치하도록 지정합니다.
- --pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
메시지가 표시되면 Directory Manager 암호를 입력합니다.
httpd 서비스를 다시 시작합니다.
```
systemctl restart httpd.service
```
```
# systemctl restart httpd.service
```
Copy to Clipboard Toggle word wrap
Directory 서비스를 다시 시작하십시오.
```
systemctl restart dirsrv@IDM.EXAMPLE.COM.service
```
```
# systemctl restart dirsrv@IDM.EXAMPLE.COM.service
```
Copy to Clipboard Toggle word wrap
서버에서 하위 CA가 제거되거나 교체된 경우 클라이언트를 업데이트합니다.
```
ipa-certupdate
```
```
# ipa-certupdate
```
Copy to Clipboard Toggle word wrap

맨 위로 이동

20장. IdM 복제본에서 아직 만료되지 않은 경우 웹 서버 및 LDAP 서버 인증서 교체

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links