26.2. 인증서 갱신

26.2.1. 인증서 자동 갱신
링크 복사

certmonger 서비스는 만료일 28일 전에 다음 인증서를 자동으로 갱신합니다.

IdM CA에서 루트 CA로 발행한 CA 인증서
내부 IdM 서비스에서 사용하는 통합 IdM CA에서 발행한 하위 시스템 및 서버 인증서

하위 CA 인증서를 자동으로 갱신하려면 certmonger 추적 목록에 나열되어야 합니다. 추적 목록을 업데이트하려면 다음을 수행합니다.

ipa-certupdate
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'schema' to json server 'https://idmserver.idm.example.com/ipa/json'
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'ca_is_enabled' to json server 'https://idmserver.idm.example.com/ipa/json'
Forwarding 'ca_find/1' to json server 'https://idmserver.idm.example.com/ipa/json'
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

[root@ipaserver ~]# ipa-certupdate
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'schema' to json server 'https://idmserver.idm.example.com/ipa/json'
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'ca_is_enabled' to json server 'https://idmserver.idm.example.com/ipa/json'
Forwarding 'ca_find/1' to json server 'https://idmserver.idm.example.com/ipa/json'
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

Copy to Clipboard

Toggle word wrap

참고

외부 CA를 루트 CA로 사용하는 경우 26.2.2절. “수동으로 CA 인증서 갱신” 에 설명된 대로 인증서를 수동으로 갱신해야 합니다. certmonger 서비스는 외부 CA에서 서명한 인증서를 자동으로 갱신할 수 없습니다.

certmonger 가 인증서 만료 날짜를 모니터링하는 방법에 대한 자세한 내용은 System-Level Authentication Guide 의 certmonger를 사용한 인증서 추적을 참조하십시오.

자동 갱신이 예상대로 작동하는지 확인하려면 /var/log/ECDHE 파일에서 certmonger 로그 메시지를 검사합니다.

인증서를 갱신한 후 certmonger 레코드 메시지는 갱신 작업이 성공 또는 실패했음을 나타내는 다음과 같습니다.

Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" renew success

Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" renew success

Copy to Clipboard

Toggle word wrap

인증서가 만료되면 certmonger 는 다음 메시지를 기록합니다.

certmonger: Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" will not be valid after 20160204065136.

certmonger: Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" will not be valid after 20160204065136.

Copy to Clipboard

Toggle word wrap

26.2.2. 수동으로 CA 인증서 갱신
링크 복사

ipa-cacert-manage 유틸리티를 사용하여 수동으로 갱신할 수 있습니다.

자체 서명된 IdM CA 인증서
외부 서명 IdM CA 인증서

ipa-cacert-manage renew 명령으로 갱신된 인증서는 이전 인증서와 동일한 키 쌍과 주체 이름을 사용합니다. 인증서를 갱신해도 인증서 롤오버를 활성화하기 위해 이전 버전이 제거되지 않습니다.

자세한 내용은 ipa-cacert-manage(1) 매뉴얼 페이지를 참조하십시오.

26.2.2.1. 수동으로 자체 서명된 IdM CA 인증서 갱신
링크 복사

ipa-cacert-manage renew 명령을 실행합니다. 이 명령에는 인증서 경로를 지정할 필요가 없습니다.
이제 업데이트된 인증서가 LDAP 인증서 저장소 및 /etc/pki/pki-tomcat/alias NSS 데이터베이스에 있습니다.
모든 서버 및 클라이언트에서 ipa-certupdate 유틸리티를 실행하여 LDAP의 새 인증서에 대한 정보로 업데이트합니다. 모든 서버와 클라이언트에서 ipa-certupdate 를 별도로 실행해야 합니다.
중요
인증서를 수동으로 설치한 후 항상 ipa-certupdate 를 실행합니다. 그렇지 않으면 인증서가 다른 시스템에 배포되지 않습니다.

업데이트된 인증서가 올바르게 설치되었는지 확인하려면 certutil 유틸리티를 사용하여 데이터베이스의 인증서를 나열합니다. 예를 들어 다음과 같습니다.

certutil -L -d /etc/pki/pki-tomcat/alias

# certutil -L -d /etc/pki/pki-tomcat/alias

Copy to Clipboard

Toggle word wrap

26.2.2.2. 외부 서명 IdM CA 인증서 수동으로 갱신
링크 복사

ipa-cacert-manage renew --external-ca 명령을 실행합니다.
이 명령은 /var/lib/ipa/ca.csr CSR 파일을 생성합니다. CSR을 외부 CA에 제출하여 업데이트된 CA 인증서를 발급합니다.
ipa-cacert-manage renew 를 다시 실행하고, 이번에는 --external-cert-file 옵션을 사용하여 갱신된 CA 인증서 및 외부 CA 인증서 체인 파일을 지정합니다. 예를 들어 다음과 같습니다.
```
ipa-cacert-manage renew --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
```
```
# ipa-cacert-manage renew --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
```
Copy to Clipboard Toggle word wrap
이제 업데이트된 CA 인증서 및 외부 CA 인증서 체인이 LDAP 인증서 저장소와 /etc/pki/pki-tomcat/alias/ NSS 데이터베이스에 있습니다.
모든 서버 및 클라이언트에서 ipa-certupdate 유틸리티를 실행하여 LDAP의 새 인증서에 대한 정보로 업데이트합니다. 모든 서버와 클라이언트에서 ipa-certupdate 를 별도로 실행해야 합니다.
중요
인증서를 수동으로 설치한 후 항상 ipa-certupdate 를 실행합니다. 그렇지 않으면 인증서가 다른 시스템에 배포되지 않습니다.

업데이트된 인증서가 올바르게 설치되었는지 확인하려면 certutil 유틸리티를 사용하여 데이터베이스의 인증서를 나열합니다. 예를 들어 다음과 같습니다.

certutil -L -d /etc/pki/pki-tomcat/alias/

# certutil -L -d /etc/pki/pki-tomcat/alias/

Copy to Clipboard

Toggle word wrap

26.2.3. IdM이 오프라인될 때 만료된 시스템 인증서 갱신
링크 복사

시스템 인증서가 만료된 경우 IdM이 시작되지 않습니다. IdM은 ipa-cert-fix 툴을 사용하여 이러한 상황에서도 시스템 인증서 갱신을 지원합니다.

사전 요구 사항

호스트에 ipactl start --ignore-service-failures 명령을 입력하여 LDAP 서비스가 실행 중인지 확인합니다.

절차 26.1. IdM 서버에서 만료된 시스템 인증서 모두 갱신

IdM 도메인의 CA에서 다음을 수행합니다.

ipa-cert-fix 유틸리티를 시작하여 시스템을 분석하고 만료된 인증서를 나열합니다.

ipa-cert-fix
...
The following certificates will be renewed:

Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  13
  Expires: 2019-05-12 05:55:47
...
Enter "yes" to proceed:

# ipa-cert-fix
...
The following certificates will be renewed:

Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  13
  Expires: 2019-05-12 05:55:47
...
Enter "yes" to proceed:

Copy to Clipboard

Toggle word wrap

yes 를 입력하여 갱신 프로세스를 시작합니다.
```
Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  268369925
  Expires: 2021-08-14 02:19:33
...

Becoming renewal master.
The ipa-cert-fix command was successful
```
```
Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  268369925
  Expires: 2021-08-14 02:19:33
...

Becoming renewal master.
The ipa-cert-fix command was successful
```
Copy to Clipboard Toggle word wrap
ipa-cert-fix 가 만료된 모든 인증서를 갱신하기까지 최대 1분 정도 걸릴 수 있습니다.
참고
갱신 마스터가 아닌 CA 호스트에서 ipa-cert-fix 유틸리티를 실행하고 유틸리티 공유 인증서를 업데이트한 경우 이 호스트는 자동으로 도메인의 새 갱신 마스터가 됩니다. 불일치를 방지하려면 항상 도메인에는 하나의 갱신 마스터만 있어야 합니다.

선택적으로 모든 서비스가 실행 중인지 확인합니다.

ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa: INFO: The ipactl command was successful

# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa: INFO: The ipactl command was successful

Copy to Clipboard

Toggle word wrap

IdM 도메인의 다른 서버에서 다음을 수행합니다.

--force 매개변수를 사용하여 IdM을 다시 시작합니다.
```
ipactl restart --force
```
```
# ipactl restart --force
```
Copy to Clipboard Toggle word wrap
--force 매개변수를 사용하면 ipactl 유틸리티에서 개별 시작 오류를 무시합니다. 예를 들어 서버가 CA인 경우 pki-tomcat 서비스가 시작되지 않습니다. --force 매개변수를 사용하므로 이는 예상되고 무시됩니다.

재시작 후 certmonger 서비스가 인증서를 갱신했는지 확인합니다.

getcert list | egrep '^Request|status:|subject:'
Request ID '20190522120745':
        status: MONITORING
        subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
Request ID '20190522120834':
        status: MONITORING
        subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
...

# getcert list | egrep '^Request|status:|subject:'
Request ID '20190522120745':
        status: MONITORING
        subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
Request ID '20190522120834':
        status: MONITORING
        subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
...

Copy to Clipboard

Toggle word wrap

certmonger 가 복제본에서 공유 인증서를 갱신하기 전에 시간이 걸릴 수 있습니다.

서버가 CA인 경우 이전 명령은 pki-tomcat 서비스에서 사용하는 인증서에 대해 CA_UNREACHABLE 을 보고합니다.

Request ID '20190522120835':
        status: CA_UNREACHABLE
        subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
...

Request ID '20190522120835':
        status: CA_UNREACHABLE
        subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
...

Copy to Clipboard

Toggle word wrap

이 인증서를 갱신하려면 ipa-cert-fix 유틸리티를 사용합니다.

ipa-cert-fix
Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM
  Serial:  3
  Expires: 2019-05-11 12:07:11

Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
  Serial:  15
  Expires: 2019-08-14 04:25:05

The ipa-cert-fix command was successful

# ipa-cert-fix
Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM
  Serial:  3
  Expires: 2019-05-11 12:07:11

Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
  Serial:  15
  Expires: 2019-08-14 04:25:05

The ipa-cert-fix command was successful

Copy to Clipboard

Toggle word wrap

26.2.1. 인증서 자동 갱신
링크 복사

26.2.2. 수동으로 CA 인증서 갱신
링크 복사

26.2.2.1. 수동으로 자체 서명된 IdM CA 인증서 갱신
링크 복사

26.2.2.2. 외부 서명 IdM CA 인증서 수동으로 갱신
링크 복사

26.2.3. IdM이 오프라인될 때 만료된 시스템 인증서 갱신
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

26.2. 인증서 갱신

26.2.1. 인증서 자동 갱신링크 복사링크가 클립보드에 복사되었습니다!

26.2.2. 수동으로 CA 인증서 갱신링크 복사링크가 클립보드에 복사되었습니다!

26.2.2.1. 수동으로 자체 서명된 IdM CA 인증서 갱신링크 복사링크가 클립보드에 복사되었습니다!

26.2.2.2. 외부 서명 IdM CA 인증서 수동으로 갱신링크 복사링크가 클립보드에 복사되었습니다!

26.2.3. IdM이 오프라인될 때 만료된 시스템 인증서 갱신링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

26.2.1. 인증서 자동 갱신
링크 복사

26.2.2. 수동으로 CA 인증서 갱신
링크 복사

26.2.2.1. 수동으로 자체 서명된 IdM CA 인증서 갱신
링크 복사

26.2.2.2. 외부 서명 IdM CA 인증서 수동으로 갱신
링크 복사

26.2.3. IdM이 오프라인될 때 만료된 시스템 인증서 갱신
링크 복사