검색

23장. 인증 및 상호 운용성

download PDF

yum 은 설치 후 패키지 충돌을 더 이상 보고하지 않습니다. ipa-client

사용자가 ipa-client 패키지를 설치한 후 yum 유틸리티에서 예기치 않게 보고된 ipa 패키지와 freeipa 패키지 간의 충돌을 보고했습니다. 실패한 트랜잭션 후 또는 yum check 명령을 사용한 후 이러한 오류가 발생했습니다. 이번 업데이트를 통해 yum 은 RPM에서 이러한 충돌이 발생할 수 있으므로 더 이상 자체 구성 패키지에 대한 오류를 보고하지 않습니다. 그 결과 yumipa-client 을 설치한 후 설명 된 오류를 더 이상 표시하지 않습니다. (BZ#1370134)

FIPS 모드에서 slapd_pk11_getInternalKeySlot() 함수가 토큰의 키 슬롯을 검색하는 데 사용됩니다.

Red Hat Directory Server는 보안 데이터베이스에서 FIPS 모드가 활성화되면 이전에 고정 토큰 이름에서 키 슬롯을 검색하려고 했습니다. 그러나 토큰 이름은 변경될 수 있습니다. 키 슬롯을 찾을 수 없는 경우 Directory Server에서 복제 관리자의 암호를 디코딩할 수 없으며 복제 세션이 실패합니다. 이 문제를 해결하기 위해 slapd_pk11_getInternalKeySlot() 함수는 이제 FIPS 모드를 사용하여 현재 키 슬롯을 검색합니다. 결과적으로 SSL 또는 STTARTTLS 를 사용하는 복제 세션이 더 이상 설명된 상황에서 실패하지 않습니다. (BZ#1378209)

인증서 시스템이 FIPS 모드의 시스템에 Thales HSM을 사용하여 더 이상 설치되지 않습니다.

Thales 하드웨어 보안 모듈(HSM)을 사용하여 CS(Certificate System)를 설치한 후 HSM에서 모든 시스템 키를 생성한 경우 SSL 프로토콜이 제대로 작동하지 않았습니다. 결과적으로 FIPS 모드가 활성화된 시스템에 CS가 설치되지 않았으므로 server.xml 파일에서 sslRangeCiphers 매개변수를 수동으로 수정해야 합니다. 이 버그가 수정되었으며 Thales HSM이 적용된 FIPS 지원 시스템이 예상대로 작동합니다. (BZ#1382066)

이제 pkispawn 의 종속성 목록이 올바르게 포함됩니다. openssl

이전 버전에서는 openssl 패키지가 설치되지 않은 경우 pkispawn 유틸리티를 사용하여 다음 오류와 함께 실패했습니다.
Installation failed: [Errno 2] No such file or directory
openssl 패키지가 pki-core 패키지에 포함된 pki-server 패키지의 런타임 종속성으로 포함되지 않았기 때문에 이 문제가 발생했습니다. 이 버그는 누락된 종속성을 추가하여 수정되었으며 openssl 누락되어 더 이상 pkispawn 설치가 실패하지 않습니다. (BZ#1376488)

PKI Server 프로필 프레임워크의 오류 메시지가 클라이언트에 전달됩니다.

이전에는 PKI 서버가 프로필 프레임워크에서 클라이언트에 대한 인증서 요청에 의해 생성된 특정 오류 메시지를 전달하지 않았습니다. 결과적으로 웹 UI에 표시되는 오류 메시지 또는 pki 명령 출력에 표시된 오류 메시지에서 요청이 실패한 이유를 설명하지 않았습니다. 코드가 수정되어 이제 오류 메시지를 통과합니다. 이제 사용자가 등록이 실패했거나 거부된 이유를 확인할 수 있습니다. (BZ#1249400)

인증서 시스템이 설치 중에 Lightweight CA 키 복제를 시작하지 않음

이전에는 2단계 설치 중에 인증서 시스템에서 Lightweight CA 키 복제를 잘못 시작했습니다. 이로 인해 설치에 실패하고 오류가 표시되었습니다. 이번 업데이트를 통해 2단계 설치가 Lightweight CA 키 복제를 시작하지 않고 설치가 성공적으로 완료됩니다. (BZ#1378275)

이제 PKI Server가 시작 중에 주체 DN을 올바르게 비교

기본 CA에 대한 Lightweight CA 항목을 추가하는 루틴의 버그로 인해 UTF8String 이외의 인코딩을 사용하는 속성이 포함된 경우 이전에는 PKI Server에서 제목 고유 이름(DN)을 비교하지 못했습니다. 그 결과 기본 CA가 시작될 때마다 추가 경량 CA 항목이 추가되었습니다. PKI 서버는 이제 주체 DN을 표준 형식으로 비교합니다. 결과적으로 PKI 서버는 더 이상 언급 된 시나리오에 추가 경량 CA 항목을 추가하지 않습니다. (BZ#1378277)

불완전한 인증서 체인을 사용하여 중간 CA에 연결할 때 KRA 설치가 더 이상 실패하지 않습니다.

이전에는 KRA(키 복구 기관) 하위 시스템을 설치하면 KRA에서 신뢰할 수 있는 CA 인증서가 있지만 루트 CA 인증서가 없는 중간 CA에 연결하려고 하면 UNKNOWN_ISSUER 오류와 함께 실패했습니다. 이번 업데이트를 통해 KRA 설치에서 오류를 무시하고 성공적으로 완료됩니다. (BZ#1381084)

인증서 프로필의 startTime 필드에서 이제 긴 정수 형식을 사용합니다.

이전에는 인증서 시스템의 startTime 필드에 값을 정수 로 저장했습니다. 더 큰 숫자를 입력했으면 인증서 시스템이 해당 값을 음수로 해석했습니다. 결과적으로 인증 기관은 과거에 위치한 시작 날짜가 포함된 인증서를 발급했습니다. 이번 업데이트에서는 startTime 필드의 입력 형식이 긴 정수로 변경되었습니다. 결과적으로 발급된 인증서가 이제 올바른 시작 날짜를 갖습니다. (BZ#1385208)

PKCS#11 토큰으로 인해 하위 CA 설치가 더 이상 실패하지 않습니다.

이전에는NSS(Network Security Services) 라이브러리의 버그로 인해 하위 인증 기관(sub-CA)을 설치할 수 없어 SEC_ERROR_TOKEN_NOT_LOGGED_IN 오류가 발생했습니다. 이번 업데이트에서는 설치를 계속할 수 있는 설치 프로그램에 해결방법이 추가되었습니다. 오류가 계속 표시되면 이제 무시해도 됩니다. (BZ#1395817)

이제 pkispawn 스크립트가 ECC 키 크기를 올바르게 설정

이전 버전에서는 사용자가 Elliptic Curve Cryptography (ECC) 키 크기 매개변수를 사용하여 pkispawn 스크립트를 실행했을 때 nistp256 인 기본값이 아닌 다른 값으로 설정된 pkispawn 스크립트를 실행할 때 설정이 무시되었습니다. 결과적으로 생성된 PKI Server 인스턴스가 시스템 인증서를 발행하여 기본 ECC 키 곡선을 잘못 사용했습니다. 이번 업데이트를 통해 PKI 서버는 ECC 키 곡선 이름에 대해 pkispawn 구성에 설정된 값을 사용합니다. 그 결과, 이제 PKI 서버 인스턴스에서 인스턴스를 설정할 때 ECC 키 크기 세트를 사용합니다. (BZ#1397200)

FIPS 모드에서 CA 복제 설치가 더 이상 실패하지 않습니다.

이전 버전에서는 내부 NSS 토큰 이름을 처리하는 불일치로 인해 CA 복제 또는 KRA(키 복구 기관)를 FIPS 모드에서 설치할 수 없었습니다. 이번 업데이트를 통해 토큰 이름을 처리하는 코드가 통합되어 모든 토큰 이름을 일관되게 처리할 수 있습니다. t는 KRA 및 CA 복제 설치를 FIPS 모드에서 제대로 완료할 수 있습니다. (BZ#1411428)

entryUSN 속성에 32비트보다 큰 값이 포함된 경우 PKI Server가 더 이상 시작되지 않습니다.

이전에는 *LDAP 프로필 모니터"와 엔트리USN 속성의 값을 32비트 정수로 구문 분석했습니다. 결과적으로 속성에 해당 값보다 큰 값이 포함된 경우 NumberFormatException 오류가 기록되어 서버가 시작되지 않았습니다. 문제가 해결되었으며 서버는 더 이상 언급 된 시나리오에서 시작되지 않습니다. (BZ#1412681)

Tomcat 은 기본적으로 IPv6 에서 작동합니다.

IPv4- 특정 127.0.0.1 루프백 주소는 이전에 기본 서버 구성 파일에서 기본 NetNamespace 호스트 이름으로 사용되었습니다. 이로 인해 IPv6- 전용 환경에서 실행되는 서버에서 연결이 실패했습니다. 이번 업데이트를 통해 기본값은 IPv4IPv6 프로토콜 모두에서 작동하는 localhost 로 변경됩니다. 또한 업그레이드 스크립트를 사용하여 기존 서버 인스턴스에서 RuntimeClass 호스트 이름을 자동으로 변경할 수 있습니다. (BZ#1413136)

pkispawn 은 더 이상 유효하지 않은 NSS 데이터베이스 암호를 생성하지 않습니다.

이번 업데이트 이전에는 pkispawnNSS 데이터베이스에 대한 임의의 암호를 생성했으며 경우에 따라 백슬래시(\) 문자가 포함되어 있었습니다. 이로 인해 NSS 가 설정된 SSL 연결 시 문제가 발생하여 ACCESS_SESSION_ESTABLISH_FAILURE 오류가 발생했습니다.
이번 업데이트를 통해 무작위로 생성된 암호에 백슬래시 문자를 포함할 수 없으며 연결을 항상 설정할 수 있으므로 설치가 성공적으로 완료됩니다. (BZ#1447762)

--serial 옵션을 사용하여 사용자 인증서를 추가할 때 인증서 검색에 더 이상 실패하지 않습니다.

이전에 --serial 매개변수와 함께 pki user-cert-add 명령을 사용하면 CA(인증 기관)에 대한 SSL 연결을 잘못 설정하여 인증서 검색에 실패했습니다. 이번 업데이트를 통해 이 명령에서는 CA에 올바르게 구성된 SSL 연결을 사용하고 작업이 성공적으로 완료됩니다. (BZ#1246635)

항목이 하나만 있는 경우 CA 웹 인터페이스에 더 이상 빈 인증서 요청 페이지가 표시되지 않습니다.

이전에는 CA 웹 사용자 인터페이스의 인증서 요청 페이지에 하나의 항목만 포함된 경우 단일 항목을 표시하는 대신 빈 페이지가 표시되었습니다. 이번 업데이트에서는 웹 사용자 인터페이스가 수정되고 인증서 요청 페이지에 모든 상황에서 항목이 올바르게 표시됩니다. (BZ#1372052)

컨테이너 환경에 PKI 서버를 설치하면 더 이상 경고가 표시되지 않습니다.

이전에는 컨테이너 환경에 pki-server RPM 패키지를 설치할 때 systemd 데몬이 다시 로드되었습니다. 그 결과 경고가 표시되었습니다. RPM을 업그레이드하는 동안만 데몬을 다시 로드하기 위한 패치가 적용되었습니다. 그 결과 언급된 시나리오에 경고가 더 이상 표시되지 않습니다. (BZ#1282504)

G&D 스마트 카드를 사용하여 토큰을 다시 등록하지 않습니다.

이전에는 Gies1.8.0e & Devrient (G&D) 스마트 카드를 사용하여 토큰을 다시 등록할 때 특정 상황에서 토큰 등록에 실패할 수 있었습니다. 문제가 해결되어 토큰을 다시 등록하면 예상대로 작동합니다. (BZ#1404881)

PKI Server는 시작 시 인증서 유효성 검사 오류에 대한 자세한 정보를 제공합니다.

이전에는 서버를 시작할 때 인증서 유효성 검사 오류가 발생한 경우 PKI 서버에서 충분한 정보를 제공하지 않았습니다. 그 결과 문제 해결이 어려웠습니다. PKI 서버는 이제 새로운JSS(Java Security Services) API를 사용하여 언급된 시나리오에서 오류의 원인에 대한 자세한 정보를 제공합니다. (BZ#1330800)

PKI 서버는 더 이상 LDAPProfileSubsystem 프로필을 다시 초기화하지 않습니다.

LDAPProfileSubsystem 프로필을 다시 시작하는 동안 경쟁 조건으로 인해 이전에는 PKI 서버가 요청된 프로필이 존재하지 않는 것으로 잘못 보고할 수 있었습니다. 결과적으로 프로필 사용 요청이 실패할 수 있었습니다. 문제가 해결되었으며 프로필 사용 요청이 더 이상 실패하지 않습니다. (BZ#1376226)

HSM에서 생성된 개인 키 추출이 더 이상 실패하지 않습니다.

이전 버전에서는 키 복구 에이전트(KRA)에서 새 Asymmetric Key Generation REST 서비스를 사용하여 Lunasa 또는 Thales 하드웨어 보안 모듈(HSM)에서 symmetric 키를 생성할 때 PKI Server에서 잘못된 플래그를 설정했습니다. 결과적으로 사용자는 생성된 개인 키를 검색할 수 없었습니다. 이 HSM에서 생성된 키에 대해 올바른 플래그를 설정하도록 코드가 업데이트되었습니다. 결과적으로 사용자는 언급된 시나리오에서 개인 키를 검색할 수 있습니다. (BZ#1386303)

pkispawn 은 더 이상 숫자로만 구성된 암호를 생성하지 않습니다.

이전에는 pkispawn 에서 숫자만 구성된 NSS 데이터베이스에 대해 임의의 암호를 생성할 수 있었습니다. 이러한 암호는 FIPS와 호환되지 않습니다. 이번 업데이트를 통해 설치 프로그램이 숫자, 소문자, 대문자 및 특정 문장으로 구성된 FIPS 호환 임의의 암호를 생성하도록 수정되었습니다. (BZ#1400149)

이제 올바른 신뢰 플래그를 사용하여 CA 인증서를 가져옵니다.

이전에는 pki client-cert-import 명령에서는 다른 PKI 툴과 불충분하고 일치하지 않는 CT,c, trust 플래그를 사용하여 CA 인증서를 가져왔습니다. 이번 업데이트를 통해 명령이 수정되었으며 CA 인증서의 신뢰 플래그를 vGPU ,C,C 으로 설정합니다. (BZ#1458429)

--usage 확인 옵션을 사용할 때 대칭 키 생성이 더 이상 실패하지 않습니다.

pki 유틸리티는 생성되는 대칭 키에 대한 유효한 사용 목록을 확인합니다. 이전에는 이 목록에 사용 검증이 누락되었습니다. 그 결과 key-generate --usage verify 옵션을 사용하면 오류 메시지가 반환됩니다. 코드가 수정되었으며 이제 verify 옵션이 예상대로 작동합니다. (BZ#1238684)

이후의 PKI 설치가 더 이상 실패하지 않습니다.

이전에는 여러 PKI(공개 키 인프라) 인스턴스를 배치 모드로 설치할 때 CA 인스턴스가 다시 시작될 때까지 설치 스크립트가 대기하지 않았습니다. 결과적으로 후속 PKI 인스턴스 설치에 실패할 수 있었습니다. 스크립트가 업데이트되어 새 하위 시스템이 계속 요청을 처리하기 전에 새 하위 시스템이 요청을 처리할 준비가 될 때까지 기다립니다. (BZ#1446364)

FIPS 모드에서 2 단계 하위 CA 설치가 더 이상 실패하지 않습니다.

이전 버전에서는 FIPS 모드의 하위 CA 설치 버그로 인해 설치 프로그램에서 두 번째 단계에 인스턴스가 존재하지 않기 때문에 2단계 설치가 실패했습니다. 이번 업데이트에서는 첫 번째 단계(설치)에 인스턴스가 존재하지 않도록 워크플로가 변경되고 두 번째 단계(구성)에는 인스턴스가 있어야 합니다.
이전 pki_skip_configurationpki_skip_installation 배포 매개변수를 교체하기 위해 pkispawn 명령에 "--skip-configuration' 및 --skip-installation 라는 두 가지 새로운 옵션이 추가되었습니다. 이렇게 하면 수정 없이 두 단계에 대해 동일한 배포 구성 파일을 사용할 수 있습니다. (BZ#1454450)

인증서 요청이 거부되거나 취소된 경우 감사 로그가 더 이상 성공 상태를 기록하지 않습니다.

이전에는 인증서 요청이 거부되거나 취소된 경우 서버에서 Outcome=Success 를 사용하여 CERT_REQUEST_PROCESSED 감사 로그 항목을 생성했습니다. 요청에 대해 인증서가 발급되지 않았기 때문에 이 문제가 발생했습니다. 이 버그는 수정되었으며 accordingRT _REQUEST_PROCESSED 감사 로그 항목이 거부되거나 취소된 요청에 대한 이제 Outcome=Failure 입니다. (BZ#1452250)

자체 테스트에 실패한 PKI 하위 시스템이 이제 시작 시 자동으로 다시 활성화됨

이전 버전에서는 자체 테스트 실패로 인해 PKI 하위 시스템을 시작하지 못하면 일관성 없는 상태에서 실행되지 않도록 자동으로 비활성화되었습니다. 관리자는 문제를 수정한 후 pki-server 하위 시스템을 사용하여 수동으로 하위 시스템을 다시 활성화 할 것으로 예상됩니다. 그러나 이는 명확하게 전달되지 않아서 이러한 요구 사항을 항상 인식하지 못한 관리자 간의 혼란을 초래할 수 있었습니다.
이 문제를 완화하기 위해 기본적으로 모든 PKI 하위 시스템이 시작 시 자동으로 다시 활성화됩니다. 자체 테스트에 실패하면 하위 시스템은 이전처럼 비활성화되지만 수동 강화는 더 이상 필요하지 않습니다.
이 동작은 /etc/pki/pki.conf 파일 PKI_SERVER_AUTO_ENABLE_SUBSYSTEMS 의 새 부울 옵션으로 제어합니다. (BZ#1454471)

CERT_REQUEST_PROCESSED 감사 로그 항목에 인코딩 데이터 대신 인증서 일련 번호가 포함됩니다.

이전 버전에서는 CE_REQUEST_PROCESSED 감사 로그 항목이 Base64로 인코딩된 인증서 데이터가 포함되었습니다. 예:
[AuditEvent=CERT_REQUEST_PROCESSED]...[InfoName=certificate][InfoValue=MIIDBD...]
인증서 데이터는 별도로 디코딩해야 하므로 이 정보가 매우 유용하지 않았습니다. 다음 예와 같이 인증서 일련 번호를 로그 항목에 직접 포함하도록 코드가 변경되었습니다.
[AuditEvent=CERT_REQUEST_PROCESSED]...[CertSerialNum=7]
(BZ#1452344)

LDAPProfileSubsystem 프로파일 업데이트에서 속성 제거 지원

이전에는 PKI Server에서 LDAPProfileSubsystem 프로필을 업데이트할 때 속성을 제거할 수 없었습니다. 따라서 PKI Server가 특정 상황에서 프로필을 업데이트한 후 프로필을 로드하거나 인증서를 발행할 수 없었습니다. 패치가 적용되었으며 이제 PKI Server는 새 구성을 로드하기 전에 기존 프로필 구성을 지웁니다. 결과적으로 LDAPProfileSubsystem 프로필의 업데이트는 이제 구성 속성을 제거할 수 있습니다. (BZ#1445088)
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.