검색
지원콘솔개발자평가판 시작연락처

12.3. SCEP를 통해 CA 서명 인증서 요청

download PDF
SCEP(Simple Certificate Enrollment Protocol)는 CA를 사용하여 인증서 관리 프로세스를 자동화하고 단순화합니다. 클라이언트가 CA의 SCEP 서비스에서 직접 HTTP를 통해 인증서를 요청하고 검색할 수 있습니다. 이 프로세스는 일회성 PIN으로 보호되며 일반적으로 제한된 시간 동안만 유효합니다.
다음 예제에서는 certmonger 에 SCEP CA 구성을 추가하고 새 인증서를 요청하고 로컬 NSS 데이터베이스에 추가합니다.
  1. certmonger 에 CA 구성을 추가합니다. 
    [root@server ~]# getcert add-scep-ca -c CA_Name -u SCEP_URL
    • -c: CA 구성에 대한 필수 닉네임입니다. 나중에 동일한 값을 다른 getcert 명령에 전달할 수 있습니다.
    • -u: 서버의 SCEP 인터페이스 URL입니다.
    • HTTPS URL을 사용하는 경우 필수 매개변수:
      -r CA_Filename: HTTPS 암호화에 사용되는 SCEP 서버 CA 인증서의 PEM 형식 사본의 위치입니다.
  2. CA 구성이 성공적으로 추가되었는지 확인합니다. 
    [root@server ~]# getcert list-cas -c CA_Name
CA 'CA_Name':
       is-default: no
       ca-type: EXTERNAL
       helper-location: /usr/libexec/certmonger/scep-submit -u http://SCEP_server_enrollment_interface_URL
       SCEP CA certificate thumbprint (MD5): A67C2D4B 771AC186 FCCA654A 5E55AAF7
       SCEP CA certificate thumbprint (SHA1): FBFF096C 6455E8E9 BD55F4A5 5787C43F 1F512279
    SCEP에서 CA 인증서 지문을 검색하고 명령 출력에 표시할 때 CA 구성이 성공적으로 추가되었습니다. 암호화되지 않은 HTTP를 통해 서버에 액세스하는 경우 수동으로 SCEP 서버에 표시되는 지문과 지문을 비교하여 중간자 공격을 방지합니다.
  3. CA에서 인증서를 요청합니다. 
    [root@server ~]# getcert request -I Task_Name -c CA_Name -d /etc/pki/nssdb -n Certificate_Name -N cn="Subject Name" -L one-time_PIN
    • -I: 작업 이름입니다. 나중에 동일한 값을 getcert list 명령에 전달할 수 있습니다.
    • -c: 요청을 제출할 CA 구성입니다.
    • -d: 인증서와 키를 저장할 NSS 데이터베이스가 있는 디렉터리입니다.
    • -n: NSS 데이터베이스에 사용된 인증서의 리포지토리입니다.
    • -N: CSR의 주체 이름입니다.
    • -L: CA에서 발행한 시간 제한 일회성 PIN.
  4. 요청을 제출한 직후 인증서가 실행되고 로컬 데이터베이스에 올바르게 저장되었는지 확인할 수 있습니다. 
    [root@server ~]# getcert list -I TaskName
	Request ID 'Task_Name':
        status: MONITORING
        stuck: no
        key pair storage: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
        certificate: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
        signing request thumbprint (MD5): 503A8EDD DE2BE17E 5BAA3A57 D68C9C1B
        signing request thumbprint (SHA1): B411ECE4 D45B883A 75A6F14D 7E3037F1 D53625F4
        CA: AD-Name
        issuer: CN=windows-CA,DC=ad,DC=example,DC=com
        subject: CN=Test Certificate
        expires: 2018-05-06 10:28:06 UTC
        key usage: digitalSignature,keyEncipherment
        eku: iso.org.dod.internet.security.mechanisms.8.2.2
        certificate template/profile: IPSECIntermediateOffline
        pre-save command:
        post-save command:
        track: yes
	auto-renew: yes
    상태 MONITORING 은 발급한 인증서를 성공적으로 검색하는 것을 나타냅니다. getcert-list(1) 도움말 페이지에는 다른 가능한 상태 및 해당 의미가 나열됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.