12.2. certmonger를 사용하여 자체 서명 인증서 요청
certmonger 를 사용하여 인증서를 요청하려면 getcert 요청 유틸리티를 사용합니다.
인증서 및 키는
.pem 확장 또는 NSS 데이터베이스를 사용하여 일반 텍스트 파일에 로컬로 저장되며 인증서 닉네임으로 식별됩니다. 인증서를 요청할 때 요청은 인증서가 저장되는 위치와 인증서의 컬렉터를 식별해야 합니다. 예를 들어 다음과 같습니다.
[root@server ~]# selfsign-getcert request -d /etc/pki/nssdb -n Server-Cert
/etc/pki/nssdb 파일은 글로벌 NSS 데이터베이스이며 Server-Cert 는 이 인증서의 닉네임입니다. 인증서는 이 데이터베이스 내에서 고유해야 합니다.
인증서를 생성하기 위해 명령을 제공할 수 있는 옵션은 요청하는 인증서 유형 및 최종 인증서에 필요한 구성 및 기타 설정에 따라 달라집니다.
-R은 키 쌍이 이미 있는 경우 만료 날짜가 닫히면 자동으로인증서를 갱신합니다. 이 옵션은 기본적으로 사용됩니다.-f는 지정된 파일에 인증서를 저장합니다.-k지정된 파일에 키를 저장하거나 키 파일이 이미 있는 경우 파일에서 키를 사용합니다.-k는 인증서를 사용할 서비스의 Kerberos 주체 이름을 제공합니다.-K는 IdM 서버에서 인증서를 요청할 때 필요하며 자체 서명 또는 로컬 서명 인증서를 요청할 때 선택 사항입니다.-n은주체 이름을 지정합니다.-d는 인증서에subjectAltName값으로 포함할 DNS 도메인 이름을 요청합니다.-u는 확장된 키 사용 플래그를 설정합니다.-a는 인증서에subjectAltName값으로 포함될 IP 주소를 요청합니다.-I는 작업의 이름을 설정합니다.certmonger는 이 이름을 사용하여 스토리지 위치 및 요청 옵션의 조합을 참조하며 getcert list 명령의 출력에도 표시됩니다. 이 옵션을 지정하지 않으면certmonger에서 작업에 자동으로 생성된 이름을 할당합니다.
IdM과 같은 실제 CA는 CA 자체 정책에 따라
-K, -N, - D, - U 및 - A 옵션을 사용하여 서명 요청에 지정한 모든 항목을 무시할 수 있습니다. 예를 들어 IdM에서는 -K 및 -N 이 로컬 호스트 이름에 동의해야 합니다. 반면 selfsign-getcert 및 local-getcert 명령을 사용하여 생성된 인증서는 이러한 명령이 정책을 적용하지 않기 때문에 지정하는 옵션에 동의합니다.
예 12.1. 서비스에 certmonger 사용
[root@server ~]# selfsign-getcert request -f /etc/httpd/conf/ssl.crt/server.crt -k /etc/httpd/conf/ssl.key/server.key -N CN=`hostname --fqdn` -D `hostname` -U id-kp-serverAuth
