Red Hat Summit24.8. certmonger와 함께 SCEP 사용
SCEP(Simple Certificate Enrollment Protocol)는 다양한 장치와 운영 체제에서 사용할 수 있는 인증서 관리 프로토콜입니다. 사용자 환경에서 SCEP 서버를 외부 CA(인증 기관)로 사용하는 경우 certmonger 를 사용하여 IdM(Identity Management) 클라이언트의 인증서를 가져올 수 있습니다.
24.8.1. SCEP 개요
SCEP(Simple Certificate Enrollment Protocol)는 다양한 장치와 운영 체제에서 사용할 수 있는 인증서 관리 프로토콜입니다. SCEP 서버를 외부 CA(인증 기관)로 사용할 수 있습니다.
CA SCEP 서비스에서 직접 HTTP를 통해 인증서를 요청하고 검색하도록 IdM(Identity Management) 클라이언트를 구성할 수 있습니다. 이 프로세스는 일반적으로 제한된 시간 동안만 유효한 공유 시크릿에 의해 보호됩니다.
클라이언트 측에서 SCEP를 사용하려면 다음 구성 요소를 제공해야 합니다.
- SCEP URL: CA SCEP 인터페이스의 URL입니다.
-
SCEP 공유 시크릿: 인증서를 가져오는 데 사용되는 CA와 SCEP 클라이언트 간에 공유되는
challengePasswordPIN입니다.
그런 다음 클라이언트는 SCEP를 통해 CA 인증서 체인을 검색하고 CA로 인증서 서명 요청을 보냅니다.
certmonger 를 사용하여 SCEP를 구성할 때 발급된 인증서 매개변수를 지정하는 새 CA 구성 프로필을 생성합니다.
24.8.2. SCEP를 통해 IdM CA 서명 인증서 요청
다음 예제에서는 SCEP_example SCEP CA 구성을 certmonger 에 추가하고 client.idm.example.com IdM 클라이언트에서 새 인증서를 요청합니다. certmonger 는 OpenSSL과 같은 NSS 인증서 데이터베이스 형식 및 파일 기반(PEM) 형식을 모두 지원합니다.
사전 요구 사항
- SCEP URL을 알고 있습니다.
-
challengePasswordPIN 공유 시크릿이 있습니다.
프로세스
certmonger에 CA 구성을 추가합니다.[root@client.idm.example.com ~]# getcert add-scep-ca -c SCEP_example -u SCEP_URL
[root@client.idm.example.com ~]# getcert add-scep-ca -c SCEP_example -u SCEP_URLCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
-c: CA 구성에 대한 중간 닉네임입니다. 나중에 다른getcert명령과 동일한 값을 사용할 수 있습니다. -u: 서버의 SCEP 인터페이스의 URL입니다.중요HTTPS URL을 사용하는 경우
-R옵션을 사용하여 SCEP 서버 CA 인증서의 PEM 형식 사본도 지정해야 합니다.
-
CA 구성이 성공적으로 추가되었는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 구성이 성공적으로 추가된 경우 certmonger는 원격 CA에서 CA 체인을 검색합니다. 그런 다음 CA 체인이 명령 출력에 지문으로 표시됩니다. 암호화되지 않은 HTTP를 통해 서버에 액세스하는 경우 지문을 SCEP 서버에 표시된 것과 수동으로 비교하여 중간자 공격을 방지합니다.
CA에서 인증서를 요청합니다.
NSS를 사용하는 경우:
[root@client.idm.example.com ~]# getcert request -I Example_Task -c SCEP_example -d /etc/pki/nssdb -n ExampleCert -N cn="client.idm.example.com" -L one-time_PIN -D client.idm.example.com
[root@client.idm.example.com ~]# getcert request -I Example_Task -c SCEP_example -d /etc/pki/nssdb -n ExampleCert -N cn="client.idm.example.com" -L one-time_PIN -D client.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 옵션을 사용하여 인증서 요청의 다음 매개변수를 지정할 수 있습니다.
-
-i : 선택 사항: 작업의 이름: 요청에 대한 추적 ID입니다. 나중에getcert list명령과 동일한 값을 사용할 수 있습니다. -
-c: 요청을 제출할 CA 구성입니다. -
-d: 인증서와 키를 저장하기 위해 NSS 데이터베이스가 있는 디렉터리입니다. -
-n: NSS 데이터베이스에서 사용되는 인증서의 닉네임입니다. -
-n : CSR의 주체 이름입니다. -
-L: CA에서 발행한 일회성챌린지PIN을 제한했습니다. -
-d : 인증서의 주체 대체 이름, 일반적으로 호스트 이름과 동일합니다.
-
OpenSSL을 사용하는 경우:
[root@client.idm.example.com ~]# getcert request -I Example_Task -c SCEP_example -f /etc/pki/tls/certs/server.crt -k /etc/pki/tls/private/private.key -N cn="client.idm.example.com" -L one-time_PIN -D client.idm.example.com
[root@client.idm.example.com ~]# getcert request -I Example_Task -c SCEP_example -f /etc/pki/tls/certs/server.crt -k /etc/pki/tls/private/private.key -N cn="client.idm.example.com" -L one-time_PIN -D client.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 옵션을 사용하여 인증서 요청의 다음 매개변수를 지정할 수 있습니다.
-
-i : 선택 사항: 작업의 이름: 요청에 대한 추적 ID입니다. 나중에getcert list명령과 동일한 값을 사용할 수 있습니다. -
-c: 요청을 제출할 CA 구성입니다. -
-f: 인증서의 스토리지 경로입니다. -
-k: 키의 스토리지 경로입니다. -
-n : CSR의 주체 이름입니다. -
-L: CA에서 발행한 일회성챌린지PIN을 제한했습니다. -
-d : 인증서의 주체 대체 이름, 일반적으로 호스트 이름과 동일합니다.
-
검증
인증서가 발행되어 로컬 데이터베이스에 올바르게 저장되었는지 확인합니다.
NSS를 사용한 경우 다음을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow OpenSSL을 사용한 경우 다음을 입력합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 상태 MONITORING 은 발급된 인증서를 성공적으로 검색할 수 있음을 나타냅니다.
getcert-list(1)도움말 페이지에는 다른 가능한 상태 및 해당 의미가 나열됩니다.
24.8.3. certmonger를 사용하여 AD SCEP 인증서 자동 갱신
certmonger 에서 SCEP 인증서 갱신 요청을 보내면 이 요청은 기존 인증서 개인 키를 사용하여 서명됩니다. 그러나 certmonger 가 기본적으로 전송한 갱신 요청에는 원래 인증서를 가져오는 데 사용된 challengePassword PIN도 포함됩니다.
SCEP 서버로 작동하는 Active Directory(AD) 네트워크 장치 등록 서비스(NDES) 서버는 원래의 challengePassword PIN이 포함된 갱신 요청을 자동으로 거부합니다. 결과적으로 갱신이 실패합니다.
AD로 갱신하려면 challengePassword PIN 없이 서명된 갱신 요청을 전송하도록 certmonger 를 구성해야 합니다. 또한 갱신 시 제목 이름을 비교하지 않도록 AD 서버를 구성해야 합니다.
AD 이외의 SCEP 서버가 있을 수 있으며, 이 서버는 challengePassword 를 포함하는 요청을 거부할 수도 있습니다. 이러한 경우 이러한 방식으로 certmonger 구성을 변경해야 할 수도 있습니다.
사전 요구 사항
- RHEL 서버는 RHEL 8.6 이상을 실행 중이어야 합니다.
프로세스
-
AD 서버에서
regedit을 엽니다. -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 하위 키에서 새 32비트 REG_DWORD 항목을 추가하여
DisableRenewalSubjectNameMatch를 추가하고 해당 값을1로 설정합니다. certmonger가 실행 중인 서버에서/etc/certmonger/certmonger.conf파일을 열고 다음 섹션을 추가합니다.[scep] challenge_password_otp = yes
[scep] challenge_password_otp = yesCopy to Clipboard Copied! Toggle word wrap Toggle overflow certmonger를 다시 시작하십시오.
systemctl restart certmonger
# systemctl restart certmongerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}