64.2. 인증서 프로필 생성
다음 절차에 따라 S/MIME 인증서를 요청하기 위한 프로파일 구성 파일을 생성하여 명령줄을 통해 인증서 프로필을 생성합니다.
절차
기존 기본 프로필을 복사하여 사용자 정의 프로필을 생성합니다.
$ ipa certprofile-show --out smime.cfg caIPAserviceCert ------------------------------------------------ Profile configuration stored in file 'smime.cfg' ------------------------------------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE
텍스트 편집기에서 새로 생성된 프로필 구성 파일을 엽니다.
$ vi smime.cfg
Profile ID
를 프로필 사용을 반영하는 이름으로 변경합니다(예:smime
).참고새로 생성된 프로필을 가져오는 경우
profileId
필드가 있으면 명령줄에 지정된 ID와 일치해야 합니다.Extended Key Usage(확장 키 사용) 구성을 업데이트합니다. 기본 확장 키 사용 확장 구성은 TLS 서버 및 클라이언트 인증을 위한 것입니다. 예를 들어 S/MIME의 경우 이메일 보호를 위해 확장 키 사용량을 구성해야 합니다.
policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.4
새 프로필을 가져옵니다.
$ ipa certprofile-import smime --file smime.cfg \ --desc "S/MIME certificates" --store TRUE ------------------------ Imported profile "smime" ------------------------ Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE
검증 단계
새 인증서 프로필을 가져왔는지 확인합니다.
$ ipa certprofile-find ------------------ 4 profiles matched ------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE Profile ID: IECUserRoles Profile description: User profile that includes IECUserRoles extension from request Store issued certificates: TRUE Profile ID: KDCs_PKINIT_Certs Profile description: Profile for PKINIT support by KDCs Store issued certificates: TRUE Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE ---------------------------- Number of entries returned 4 ----------------------------
추가 리소스
-
ipa help certprofile
을 참조하십시오. - RFC 5280, 섹션 4.2.1.12 를 참조하십시오.