검색

12.3. SCEP를 통해 CA 서명 인증서 요청

download PDF
SCEP(Simple Certificate Enrollment Protocol)는 CA를 사용하여 인증서 관리 프로세스를 자동화하고 단순화합니다. 클라이언트가 CA의 SCEP 서비스에서 직접 HTTP를 통해 인증서를 요청하고 검색할 수 있습니다. 이 프로세스는 일회성 PIN으로 보호되며 일반적으로 제한된 시간 동안만 유효합니다.
다음 예제에서는 certmonger 에 SCEP CA 구성을 추가하고 새 인증서를 요청하고 로컬 NSS 데이터베이스에 추가합니다.
  1. certmonger 에 CA 구성을 추가합니다.
    [root@server ~]# getcert add-scep-ca -c CA_Name -u SCEP_URL
    • -c: CA 구성에 대한 필수 닉네임입니다. 나중에 동일한 값을 다른 getcert 명령에 전달할 수 있습니다.
    • -u: 서버의 SCEP 인터페이스 URL입니다.
    • HTTPS URL을 사용하는 경우 필수 매개변수:
      -r CA_Filename: HTTPS 암호화에 사용되는 SCEP 서버 CA 인증서의 PEM 형식 사본의 위치입니다.
  2. CA 구성이 성공적으로 추가되었는지 확인합니다.
    [root@server ~]# getcert list-cas -c CA_Name
    CA 'CA_Name':
           is-default: no
           ca-type: EXTERNAL
           helper-location: /usr/libexec/certmonger/scep-submit -u http://SCEP_server_enrollment_interface_URL
           SCEP CA certificate thumbprint (MD5): A67C2D4B 771AC186 FCCA654A 5E55AAF7
           SCEP CA certificate thumbprint (SHA1): FBFF096C 6455E8E9 BD55F4A5 5787C43F 1F512279
    SCEP에서 CA 인증서 지문을 검색하고 명령 출력에 표시할 때 CA 구성이 성공적으로 추가되었습니다. 암호화되지 않은 HTTP를 통해 서버에 액세스하는 경우 수동으로 SCEP 서버에 표시되는 지문과 지문을 비교하여 중간자 공격을 방지합니다.
  3. CA에서 인증서를 요청합니다.
    [root@server ~]# getcert request -I Task_Name -c CA_Name -d /etc/pki/nssdb -n Certificate_Name -N cn="Subject Name" -L one-time_PIN
    • -I: 작업 이름입니다. 나중에 동일한 값을 getcert list 명령에 전달할 수 있습니다.
    • -c: 요청을 제출할 CA 구성입니다.
    • -d: 인증서와 키를 저장할 NSS 데이터베이스가 있는 디렉터리입니다.
    • -n: NSS 데이터베이스에 사용된 인증서의 리포지토리입니다.
    • -N: CSR의 주체 이름입니다.
    • -L: CA에서 발행한 시간 제한 일회성 PIN.
  4. 요청을 제출한 직후 인증서가 실행되고 로컬 데이터베이스에 올바르게 저장되었는지 확인할 수 있습니다.
    [root@server ~]# getcert list -I TaskName
    	Request ID 'Task_Name':
            status: MONITORING
            stuck: no
            key pair storage: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
            certificate: type=NSSDB,location='/etc/pki/nssdb',nickname='TestCert',token='NSS Certificate DB'
            signing request thumbprint (MD5): 503A8EDD DE2BE17E 5BAA3A57 D68C9C1B
            signing request thumbprint (SHA1): B411ECE4 D45B883A 75A6F14D 7E3037F1 D53625F4
            CA: AD-Name
            issuer: CN=windows-CA,DC=ad,DC=example,DC=com
            subject: CN=Test Certificate
            expires: 2018-05-06 10:28:06 UTC
            key usage: digitalSignature,keyEncipherment
            eku: iso.org.dod.internet.security.mechanisms.8.2.2
            certificate template/profile: IPSECIntermediateOffline
            pre-save command:
            post-save command:
            track: yes
    	auto-renew: yes
    상태 MONITORING 은 발급한 인증서를 성공적으로 검색하는 것을 나타냅니다. getcert-list(1) 도움말 페이지에는 다른 가능한 상태 및 해당 의미가 나열됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.