Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

27장. 인증서의 하위 집합만 신뢰하도록 애플리케이션 제한

RHEL IdM(Identity Management) 설치가 CA(통합 인증서 시스템) 인증 기관(CA)으로 구성된 경우 경량 하위 CA를 생성할 수 있습니다. 생성한 모든 하위 CA는 인증서 시스템의 기본 CA인 ipa CA에 종속됩니다.

이 컨텍스트의 경량 하위 CA특정 용도로 인증서를 발급하는 하위 CA를 의미합니다. 예를 들어 간단한 하위 CA를 사용하면 가상 사설 네트워크(VPN) 게이트웨이 및 웹 브라우저와 같은 서비스를 구성하여 하위 CA 에서 발급한 인증서만 허용할 수 있습니다. 하위 CA에서만 발급한 인증서를 수락하도록 다른 서비스를 구성하면 하위 CA, 기본 CA, 즉 ipa CA 및 둘 사이의 중간 하위 CA에서 발급한 인증서를 수락하지 않습니다.

하위 CA의 중간 인증서를 취소하면 이 하위 CA에서 발급한 모든 인증서는 올바르게 구성된 클라이언트에서 자동으로 유효하지 않은 것으로 간주됩니다. 루트 CA, ipa 또는 다른 하위 CA에서 직접 발급한 다른 모든 인증서는 유효한 상태로 유지됩니다.

이 섹션에서는 Apache 웹 서버의 예제를 사용하여 인증서 서브 세트만 신뢰하도록 애플리케이션을 제한하는 방법을 설명합니다. webserver-ca IdM 하위 CA에서 발급한 인증서를 사용하도록 IdM 클라이언트에서 실행 중인 웹 서버를 제한하고 사용자가 webclient-ca IdM 하위 CA에서 발급한 사용자 인증서를 사용하여 웹 서버에 인증하도록 하려면 이 섹션을 완료합니다.

수행해야 하는 단계는 다음과 같습니다.

  1. IdM 하위 CA 생성
  2. IdM WebUI에서 하위 CA 인증서 다운로드
  3. 사용자, 서비스 및 CA 및 사용된 인증서 프로필의 올바른 조합을 지정하는 CA ACL 생성
  4. IdM 하위 CA에서 IdM 클라이언트에서 실행 중인 웹 서비스에 대한 인증서 요청
  5. 단일 인스턴스 Apache HTTP Server 설정
  6. Apache HTTP Server에 TLS 암호화 추가
  7. Apache HTTP Server에서 지원되는 TLS 프로토콜 버전 설정
  8. Apache HTTP Server에서 지원되는 암호 설정
  9. 웹 서버에서 TLS 클라이언트 인증서 인증 구성
  10. IdM 하위 CA에서 사용자의 인증서를 요청하여 클라이언트로 내보냅니다.
  11. 사용자 인증서를 브라우저로 가져오고 하위 CA 인증서를 신뢰하도록 브라우저를 구성합니다.

27.1. 경량 하위 CA 관리

이 섹션에서는 경량 하위 기관(sub-CA)을 관리하는 방법을 설명합니다. 생성한 모든 하위 CA는 인증서 시스템의 기본 CA인 ipa CA에 종속됩니다. 하위 CA를 비활성화하고 삭제할 수도 있습니다.

참고
  • 하위 CA를 삭제하면 해당 하위 CA에 대한 취소 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 지난 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 만료되지 않은 인증서가 있는 경우에만 하위 CA를 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

27.1.1. IdM WebUI에서 하위 CA 생성

IdM WebUI를 사용하여 webserver-cawebclient-ca 라는 새 하위 CA를 생성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • 관리자로 로그인했습니다.

프로세스

  1. 인증 메뉴에서 인증서 를 클릭합니다.
  2. 인증 기관을 선택하고 추가 를 클릭합니다.
  3. webserver-ca 하위 CA 이름을 입력합니다. 주체 DN(예: CN= ]SERVER,O=IDM.EXAMPLE.COM )을 제목 DN 필드에 입력합니다. 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
  4. webclient-ca 하위 CA의 이름을 입력합니다. 제목 DN CN=WEBCLIENT,O=IDM.EXAMPLE.COM 을 제목 DN 필드에 입력합니다.

  5. 명령줄에서 ipa-certupdate 명령을 실행하여 webserver-cawebclient-ca 하위 CA 인증서에 대한 certmonger 추적 요청을 생성합니다. 

    [root@ipaserver ~]# ipa-certupdate
    Copy to Clipboard
    중요

    하위 CA를 생성한 후 ipa-certupdate 명령을 실행하는 것을 잊어버린 경우 하위 CA 인증서가 만료된 경우 최종 인증서가 만료되지 않은 경우에도 하위 CA에서 발급한 엔드-entity 인증서가 유효하지 않은 것으로 간주됩니다.

검증

  • 새 하위 CA의 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인합니다. 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Copy to Clipboard
    참고

    새 하위 CA 인증서는 인증서 시스템 인스턴스가 설치된 모든 복제본으로 자동으로 전송됩니다.

27.1.2. IdM WebUI에서 하위 CA 삭제

IdM WebUI에서 경량 하위 CA를 삭제하려면 다음 절차를 따르십시오.

참고
  • 하위 CA를 삭제하면 해당 하위 CA에 대한 취소 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 지난 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 만료되지 않은 인증서가 있는 경우에만 하위 CA를 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

사전 요구 사항

프로세스

  1. IdM WebUI에서 인증 탭을 열고 인증서 를 선택합니다.
  2. 인증 기관을 선택합니다.

  3. 제거할 하위 CA를 선택하고 삭제 를 클릭합니다.

    그림 27.1. IdM 웹 UI에서 하위 CA 삭제

    "인증 기관" 화면의 스크린샷으로 인증 기관 및 하위 인증 기관을 추가 및 삭제할 수 있습니다.
  4. 삭제를 클릭하여 확인합니다.

27.1.3. IdM CLI에서 하위 CA 생성

IdM CLI를 사용하여 webserver-cawebclient-ca 라는 새 하위 CA를 생성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • CA 서버인 IdM 서버에 관리자로 로그인했습니다.

프로세스

  1. ipa ca-add 명령을 입력하고 webserver-ca 하위 CA의 이름과 DN(Subject Distinguished Name)을 지정합니다. 

    [root@ipaserver ~]# ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webserver-ca"
-------------------
  Name: webserver-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Copy to Clipboard
    이름
    CA 이름입니다.
    권한 ID
    자동으로 생성되며 CA의 개별 ID입니다.
    제목 DN
    고유 이름(DN)입니다. 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
    발행자 DN
    하위 CA 인증서를 발급한 상위 CA입니다. 모든 하위 CA는 IdM 루트 CA의 하위 항목으로 생성됩니다.

  2. 웹 클라이언트에 인증서를 발행하기 위해 webclient-ca 하위 CA를 생성합니다. 

    [root@ipaserver ~]# ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webclient-ca"
-------------------
  Name: webclient-ca
  Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Copy to Clipboard

  3. ipa-certupdate 명령을 실행하여 webserver-cawebclient-ca 하위 CA 인증서에 대한 certmonger 추적 요청을 생성합니다. 

    [root@ipaserver ~]# ipa-certupdate
    Copy to Clipboard
    중요

    하위 CA를 생성한 후 ipa-certupdate 명령을 실행해야 하고 하위 CA가 만료된 경우 해당 하위 CA에서 발급한 최종 인증서는 최종 인증서가 만료되지 않은 경우에도 유효하지 않은 것으로 간주됩니다.

검증

  • 새 하위 CA의 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인합니다. 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Copy to Clipboard
    참고

    새 하위 CA 인증서는 인증서 시스템 인스턴스가 설치된 모든 복제본으로 자동으로 전송됩니다.

27.1.4. IdM CLI에서 하위 CA 비활성화

IdM CLI에서 하위 CA를 비활성화하려면 다음 절차를 따르십시오. 하위 CA에서 발급한 만료되지 않은 인증서가 여전히 있는 경우 삭제하지 않아야 하지만 비활성화할 수 있습니다. 하위 CA를 삭제하면 해당 하위 CA에 대한 취소 검사가 더 이상 작동하지 않습니다.

사전 요구 사항

  • 관리자로 로그인했습니다.

프로세스

  1. ipa ca-find 명령을 실행하여 삭제 중인 하위 CA의 이름을 확인합니다. 

    [root@ipaserver ~]# ipa ca-find
-------------
3 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

 Name: webserver-ca
  Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 3
----------------------------
    Copy to Clipboard

  2. ipa ca-disable 명령을 실행하여 하위 CA를 비활성화합니다. 이 예제에서는 webserver-ca: 

    ipa ca-disable webserver-ca
--------------------------
Disabled CA "webserver-ca"
--------------------------
    Copy to Clipboard

27.1.5. IdM CLI에서 하위 CA 삭제

IdM CLI에서 경량 하위 CA를 삭제하려면 다음 절차를 따르십시오.

참고
  • 하위 CA를 삭제하면 해당 하위 CA에 대한 취소 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 지난 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 만료되지 않은 인증서가 있는 경우에만 하위 CA를 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

사전 요구 사항

  • 관리자로 로그인했습니다.

프로세스

  1. 하위 CA 및 CA 목록을 표시하려면 ipa ca-find 명령을 실행합니다. 

    # ipa ca-find
-------------
3 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

 Name: webserver-ca
  Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 3
----------------------------
    Copy to Clipboard

  2. ipa ca-disable 명령을 실행하여 하위 CA를 비활성화합니다. 이 예제에서는 webserver-ca: 

    # ipa ca-disable webserver-ca
--------------------------
Disabled CA "webserver-ca"
--------------------------
    Copy to Clipboard

  3. 하위 CA를 삭제합니다. 이 예제에서 webserver-ca: 

    # ipa ca-del webserver-ca
-------------------------
Deleted CA "webserver-ca"
-------------------------
    Copy to Clipboard

검증

  • ipa ca-find 를 실행하여 CA 및 하위 CA 목록을 표시합니다. webserver-ca 가 더 이상 목록에 없습니다. 

    # ipa ca-find
-------------
2 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 2
----------------------------
    Copy to Clipboard
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat