Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2장. 스마트 카드 인증을 위한 Identity Management 구성

IdM(Identity Management)은 다음을 사용하여 스마트 카드 인증을 지원합니다.

  • IdM 인증 기관에서 발급한 사용자 인증서
  • 외부 인증 기관에서 발급한 사용자 인증서

두 가지 유형의 인증서에 대해 IdM에서 스마트 카드 인증을 구성할 수 있습니다. 이 시나리오에서 rootca.pem CA 인증서는 신뢰할 수 있는 외부 인증 기관의 인증서를 포함하는 파일입니다.

참고

현재 IdM은 동일한 Subject Distinguished Name(DN)을 공유하는 여러 CA 가져오기를 지원하지 않지만 암호화 방식으로 다릅니다.

2.1. 스마트 카드 인증을 위한 IdM 서버 구성
링크 복사

다음 절차에서는 RHEL IdM(Identity Management) CA가 신뢰하는 <EXAMPLE.ORG> 도메인의 CA(인증 기관)에서 발급한 인증서에 대해 스마트 카드 인증을 활성화하는 방법을 설명합니다.

사전 요구 사항

  • IdM 서버에 대한 루트 액세스 권한이 있어야 합니다.

  • 루트 CA 인증서와 모든 중간 CA 인증서가 있습니다.

    • <EXAMPLE.ORG> CA의 인증서를 직접 발행했거나 해당 하위 CA 중 하나 이상을 통해 루트 CA의 인증서입니다. 기관에서 발급한 인증서가 있는 웹 페이지에서 인증서 체인을 다운로드할 수 있습니다.
    • IdM CA 인증서입니다. IdM CA 인스턴스가 실행 중인 IdM 서버의 /etc/ipa/ca.crt 파일에서 CA 인증서를 가져올 수 있습니다.
    • 모든 중간 CA의 인증서(즉, <EXAMPLE.ORG> CA와 IdM CA 간의 중간)입니다.

프로세스

  1. 구성을 수행할 디렉터리를 만듭니다. 

    [root@server]# mkdir ~/SmartCard/
    Copy to Clipboard Toggle word wrap

  2. 디렉터리로 이동합니다. 

    [root@server]# cd ~/SmartCard/
    Copy to Clipboard Toggle word wrap

  3. PEM 형식의 파일에 저장된 관련 CA 인증서를 가져옵니다. CA 인증서가 DER와 같은 다른 형식의 파일에 저장된 경우 이를 PEM 형식으로 변환합니다. IdM 인증 기관 인증서는 PEM 형식이며 /etc/ipa/ca.crt 파일에 있습니다.

    DER 파일을 PEM 파일로 변환합니다. 

    # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM
    Copy to Clipboard Toggle word wrap

  4. 편의를 위해 구성을 수행할 디렉터리에 인증서를 복사합니다. 

    [root@server SmartCard]# cp /tmp/rootca.pem ~/SmartCard/
[root@server SmartCard]# cp /tmp/subca.pem ~/SmartCard/
[root@server SmartCard]# cp /tmp/issuingca.pem ~/SmartCard/
    Copy to Clipboard Toggle word wrap

  5. 선택 사항: 외부 인증 기관의 인증서를 사용하는 경우 openssl x509 유틸리티를 사용하여 PEM 형식의 파일 내용을 보고 발급 자 및 주체 값이 올바른지 확인합니다. 

    [root@server SmartCard]# openssl x509 -noout -text -in rootca.pem | more
    Copy to Clipboard Toggle word wrap

  6. 관리자 권한을 사용하여 내장 ipa-advise 유틸리티를 사용하여 구성 스크립트를 생성합니다. 

    [root@server SmartCard]# kinit admin
[root@server SmartCard]# ipa-advise config-server-for-smart-card-auth > config-server-for-smart-card-auth.sh
    Copy to Clipboard Toggle word wrap

    config-server-for-smart-card-auth.sh 스크립트는 다음 작업을 수행합니다.

    • IdM Apache HTTP 서버를 구성합니다.
    • KDC(Key Distribution Center)에서 Kerberos(PKINIT)의 초기 인증을 위한 공개 키 암호화 기능을 활성화합니다.
    • 스마트 카드 권한 부여 요청을 수락하도록 IdM 웹 UI를 구성합니다.

  7. 스크립트를 실행하고 루트 CA 및 하위 CA 인증서가 포함된 PEM 파일을 인수로 추가합니다. 

    [root@server SmartCard]# chmod +x config-server-for-smart-card-auth.sh
[root@server SmartCard]# ./config-server-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
Ticket cache:KEYRING:persistent:0:0
Default principal: admin@IDM.EXAMPLE.COM
[...]
Systemwide CA database updated.
The ipa-certupdate command was successful
    Copy to Clipboard Toggle word wrap
    참고

    하위 CA 인증서 전에 root CA의 인증서를 인수로 추가하고 CA 또는 하위 CA 인증서가 만료되지 않았는지 확인합니다.

  8. 선택 사항: 사용자 인증서를 발급한 인증 기관이 OCSP 응답자를 제공하지 않는 경우 IdM 웹 UI에 대한 인증을 위해 OCSP 검사를 비활성화해야 할 수 있습니다.

    1. /etc/httpd/conf.d/ssl.conf 파일에서 SSLOCSPEnable 매개변수를 off 로 설정합니다. 

      SSLOCSPEnable off
      Copy to Clipboard Toggle word wrap

    2. 변경 사항이 즉시 적용되도록 Apache 데몬(httpd)을 다시 시작합니다. 

      [root@server SmartCard]# systemctl restart httpd
      Copy to Clipboard Toggle word wrap
    주의

    IdM CA에서 발급한 사용자 인증서만 사용하는 경우에만 OCSP 검사를 비활성화하지 마십시오. OCSP 응답자는 IdM의 일부입니다.

    사용자 인증서가 OCSP 서비스 요청을 수신 대기하는 위치에 대한 정보가 포함되어 있지 않은 경우 OCSP 검사를 계속 활성화하고 IdM 서버에서 사용자 인증서를 거부하지 못하도록 하려면 Apache mod_ssl 구성 옵션SSLOCSPDefaultResponder 지시문을 참조하십시오.

이제 스마트 카드 인증을 위해 서버가 구성되어 있습니다.

참고

전체 토폴로지에서 스마트 카드 인증을 활성화하려면 각 IdM 서버에서 절차를 실행합니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat