Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

24.4. 인증서 프로필

인증서 프로필은 특정 프로필에 속하는 인증서의 내용과 등록을 위한 인증서, 등록 방법, 입력 및 출력 양식을 발행하기 위한 제약 조건을 정의합니다. 단일 인증서 프로필은 특정 유형의 인증서를 발행하는 것과 연결되어 있습니다. IdM의 사용자, 서비스 및 호스트에 대해 다양한 인증서 프로필을 정의할 수 있습니다.
CA는 인증서 서명에 인증서 프로필을 사용하여 다음을 결정합니다.
  • CA에서 CSR(인증서 서명 요청)을 수락할 수 있는지 여부
  • 인증서에 존재하는 기능 및 확장 기능
IdM에는 기본적으로 caIPAserviceCert 및ECDHE UserRoles 의 두 개의 인증서 프로필이 포함되어 있습니다. 사용자 지정 프로필도 가져올 수 있습니다.
사용자 지정 인증서 프로필을 사용하면 관련이 없는 특정 목적에 대한 인증서를 발급할 수 있습니다. 예를 들어 특정 프로필의 사용을 하나의 사용자 또는 한 그룹으로만 제한하여 다른 사용자와 그룹이 해당 프로필을 사용하여 인증을 위해 인증서를 발행하지 못하게 할 수 있습니다.
지원되는 인증서 프로파일 구성에 대한 자세한 내용은 Red Hat Certificate System 관리 가이드의 기본값 참조 및 제약 조건 참조를 참조하십시오.
참고
인증 프로필과 CA ACL을 결합하여 관리자가 사용자 정의 인증서 프로필에 대한 액세스를 정의하고 제어할 수 있습니다. 24.5절. “인증 기관 ACL 규칙” 프로필 및 CA ACL을 사용하여 사용자 인증서를 발급하는 방법에 대한 설명은 24.6절. “IdM CA에서 사용자 인증서 발급에 인증서 프로필과 ACL 사용” 을 참조하십시오.

24.4.1. 인증서 프로파일 생성
링크 복사

인증서 프로파일 생성에 대한 자세한 내용은 Red Hat Certificate System 9 관리 가이드에서 다음 문서를 참조하십시오.

24.4.2. 명령줄에서 인증서 프로필 관리
링크 복사

IdM 프로필 관리를 위한 certprofile 플러그인을 사용하면 권한 있는 사용자가 IdM 인증서 프로필을 가져오고, 수정하거나 제거할 수 있습니다. 플러그인에서 지원하는 모든 명령을 표시하려면 ipa certprofile 명령을 실행합니다. 
$ ipa certprofile
Manage Certificate Profiles

...

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert
...
Copy to Clipboard Toggle word wrap
certprofile 작업을 수행하려면 필요한 권한이 있는 사용자로 작동해야 합니다. IdM에는 기본적으로 다음 인증서 프로필 관련 권한이 포함됩니다.
시스템: 인증서 프로필 읽기
사용자가 모든 프로필 속성을 읽을 수 있습니다.
시스템: 인증서 프로파일 가져 오기
사용자가 인증서 프로필을 IdM로 가져올 수 있습니다.
시스템: 인증서 프로파일 삭제
사용자가 기존 인증서 프로필을 삭제할 수 있습니다.
시스템: 인증서 프로파일 수정
사용자가 프로필 속성을 수정하고 프로필을 비활성화하거나 활성화할 수 있습니다.
이러한 권한은 모두 기본 CA 관리자 권한에 포함됩니다. IdM 역할 기반 액세스 제어 및 권한 관리에 대한 자세한 내용은 10.4절. “역할 기반 액세스 제어 정의” 을 참조하십시오.
참고
인증서를 요청할 때 ipa cert-request 명령에 --profile-id 옵션을 추가하여 사용할 프로필을 지정할 수 있습니다. 프로필 ID를 지정하지 않으면 인증서에 기본 caIPAserviceCert 프로필이 사용됩니다.
이 섹션에서는 프로필 관리에 ipa certprofile 명령을 사용하는 가장 중요한 측면만 설명합니다. 명령에 대한 전체 정보를 보려면 추가된 --help 옵션을 사용하여 이를 실행합니다. 예를 들면 다음과 같습니다. 
$ ipa certprofile-mod --help
Usage: ipa [global-options] certprofile-mod ID [options]

Modify Certificate Profile configuration.
Options:
  -h, --help     show this help message and exit
  --desc=STR     Brief description of this profile
  --store=BOOL   Whether to store certs issued using this profile
...
Copy to Clipboard Toggle word wrap

인증서 프로필 가져오기

새 인증서 프로필을 IdM으로 가져오려면 ipa certprofile-import 명령을 사용합니다. 옵션 없이 명령을 실행하면 certprofile-import 스크립트가 인증서를 가져오는 데 필요한 정보를 묻는 대화형 세션이 시작됩니다. 
$ ipa certprofile-import

Profile ID: smime
Profile description: S/MIME certificates
Store issued certificates [True]: TRUE
Filename of a raw profile. The XML format is not supported.: smime.cfg
------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
Copy to Clipboard Toggle word wrap
ipa certprofile-import 명령은 여러 명령줄 옵션을 허용합니다. 가장 중요한 것은 다음과 같습니다.
--file
이 옵션은 프로필 구성이 포함된 파일을 ipa certprofile-import 로 직접 전달합니다. 예를 들어 다음과 같습니다. 
$ ipa certprofile-import --file=smime.cfg
Copy to Clipboard Toggle word wrap
--store
이 옵션은 Store issued certificates 속성을 설정합니다. 두 개의 값을 허용합니다.
  • True: 발행된 인증서를 클라이언트에 전달하여 대상 IdM 주체의 userCertificate 속성에 저장합니다.
  • 발행 된 인증서를 클라이언트에 제공하지만 IdM에 저장하지 않는 false입니다. 이 옵션은 여러 개의 단기 인증서를 발급해야 할 때 가장 일반적으로 사용됩니다.
ipa certprofile-import 로 지정된 프로필 ID가 이미 사용 중이거나 프로필 콘텐츠가 잘못된 경우 가져오기에 실패합니다. 예를 들어 필수 속성이 없거나 제공된 파일에 정의된 프로필 ID 값이 ipa certprofile-import 로 지정된 프로필 ID와 일치하지 않는 경우 가져오기가 실패합니다.
새 프로필에 대한 템플릿을 얻으려면 지정된 기존 프로필을 파일로 내보내는 --out 옵션과 함께 ipa certprofile-show 명령을 실행할 수 있습니다. 예를 들어 다음과 같습니다. 
$ ipa certprofile-show caIPAserviceCert --out=file_name
Copy to Clipboard Toggle word wrap
그런 다음 필요에 따라 내보낸 파일을 편집하고 새 프로필로 가져올 수 있습니다.

인증서 프로필 표시

IdM에 현재 저장된 모든 인증서 프로필을 표시하려면 ipa certprofile-find 명령을 사용합니다. 
$ ipa certprofile-find
------------------
3 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
...
Copy to Clipboard Toggle word wrap
특정 프로필에 대한 정보를 표시하려면 ipa certprofile-show 명령을 사용합니다. 
$ ipa certprofile-show profile_ID
  Profile ID: profile_ID
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
Copy to Clipboard Toggle word wrap

인증서 프로파일 수정

기존 인증서 프로필을 수정하려면 ipa certprofile-mod 명령을 사용합니다. ipa certprofile-mod 에서 허용하는 명령줄 옵션을 사용하여 명령으로 필요한 수정 사항을 전달합니다. 예를 들어 프로필 설명을 수정하고 IdM이 발급한 인증서를 저장하는지 여부를 변경하려면 다음을 수행합니다. 
$ ipa certprofile-mod profile_ID --desc="New description" --store=False
------------------------------------
Modified Certificate Profile "profile_ID"
------------------------------------
  Profile ID: profile_ID
  Profile description: New description
  Store issued certificates: FALSE
Copy to Clipboard Toggle word wrap
인증서 프로필 구성을 업데이트하려면 --file 옵션을 사용하여 업데이트된 구성이 포함된 파일을 가져옵니다. 예를 들어 다음과 같습니다. 
$ ipa certprofile-mod profile_ID --file=new_configuration.cfg
Copy to Clipboard Toggle word wrap

인증서 프로파일 삭제

IdM에서 기존 인증서 프로필을 제거하려면 ipa certprofile-del 명령을 사용합니다. 
$ ipa certprofile-del profile_ID
-----------------------
Deleted profile "profile_ID"
-----------------------
Copy to Clipboard Toggle word wrap

24.4.3. 웹 UI에서 인증서 프로파일 관리
링크 복사

IdM 웹 UI에서 인증서 프로필을 관리하려면 다음을 수행합니다.
  1. Authentication 탭과 10.0.0.1 엽니다.
  2. 인증서 프로필 섹션을 엽니다.

    그림 24.7. 웹 UI의 인증서 프로필 관리

    웹 UI의 인증서 프로필 관리
    View larger image
    웹 UI의 인증서 프로필 관리
인증서 프로필 섹션에서 기존 프로필에 대한 정보를 표시하거나 해당 특성을 수정하거나 선택한 프로필을 삭제할 수 있습니다.
예를 들어 기존 인증서 프로필을 수정하려면 다음을 수행합니다.
  1. 프로필 이름을 클릭하여 프로필 구성 페이지를 엽니다.
  2. 프로필 구성 페이지에서 필요한 정보를 입력합니다.
  3. 저장 을 클릭하여 새 구성을 확인합니다.

    그림 24.8. 웹 UI에서 인증서 프로파일 수정

    웹 UI에서 인증서 프로파일 수정
    View larger image
    웹 UI에서 인증서 프로파일 수정
Store가 발행한 인증서 옵션을 활성화하면 발급된 인증서가 클라이언트에 전달되고 대상 IdM 주체의 userCertificate 속성에 저장됩니다. 옵션을 비활성화하면 발급된 인증서가 클라이언트에 전달되지만 IdM에는 저장되지 않습니다. 여러 개의 수명이 짧은 인증서를 발급해야 하는 경우 인증서 저장이 종종 비활성화됩니다.
현재 웹 UI에서 일부 인증서 프로필 관리 작업을 사용할 수 없습니다.
  • 웹 UI에서 인증서 프로필을 가져올 수 없습니다. 인증서를 가져오려면 ipa certprofile-import 명령을 사용합니다.
  • 특성 및 값 쌍을 설정, 추가 또는 삭제할 수 없습니다. 속성 및 값 쌍을 수정하려면 ipa certprofile-mod 명령을 사용합니다.
  • 업데이트된 인증서 프로필 구성을 가져올 수 없습니다. 업데이트된 프로필 구성이 포함된 파일을 가져오려면 ipa certprofile-mod --file=file_name 명령을 사용합니다.
인증서 프로필 관리에 사용되는 명령에 대한 자세한 내용은 24.4.2절. “명령줄에서 인증서 프로필 관리” 을 참조하십시오.

24.4.4. 인증서 프로필을 사용하여 IdM 서버 업그레이드
링크 복사

IdM 서버를 업그레이드할 때 서버에 포함된 프로필을 모두 가져와서 활성화할 수 있습니다.
여러 서버 복제본을 업그레이드하는 경우 첫 번째 업그레이드된 복제본의 프로필을 가져옵니다. 다른 복제본에서 IdM은 다른 프로필의 존재를 감지하고 두 프로필 세트 간의 충돌을 해결하지 않습니다. 복제본에 사용자 지정 프로필이 정의되어 있는 경우 업그레이드하기 전에 모든 복제본의 프로필이 일관적인지 확인합니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat