71장. 외부 서명된 CA 인증서 관리
IdM(Identity Management)은 다양한 유형의 CA(인증 기관) 구성을 제공합니다. 통합 CA 또는 외부 CA를 사용하여 IdM을 설치하도록 선택할 수 있습니다. 설치 중에 사용 중인 CA 유형을 지정해야 합니다. 그러나 설치한 후에는 외부 서명된 CA에서 자체 서명된 CA로 이동할 수 있으며 그 반대의 경우도 마찬가지입니다. 또한 자체 서명된 CA가 자동으로 갱신되는 동안 외부 서명된 CA 인증서를 갱신해야 합니다. 외부 서명된 CA 인증서를 관리하는 데 필요한 관련 섹션을 참조하십시오.
외부 서명된 CA를 사용하여 IdM 설치:
- 외부 서명된 CA에서 자체 서명된 CA로 전환합니다.
- 자체 서명된 CA에서 외부 서명된 CA로 전환합니다.
- 외부 서명된 CA 인증서 업데이트.
71.1. 외부에서 서명된 IdM의 CA로 전환
외부 서명에서 IdM(Identity Management) 인증 기관(CA)의 자체 서명 인증서로 전환하려면 이 절차를 완료합니다. 자체 서명된 CA를 사용하면 CA 인증서 갱신이 자동으로 관리됩니다. 시스템 관리자가 CSR(인증서 서명 요청)을 외부 기관에 제출할 필요가 없습니다.
외부 서명에서 자체 서명된 CA로 전환하면 CA 인증서만 교체됩니다. 이전 CA에서 서명한 인증서는 계속 유효하며 계속 사용됩니다. 예를 들어 자체 서명된 CA로 이동한 후에도 LDAP
인증서의 인증서 체인은 변경되지 않습니다.
external_CA
certificate >IdM CA
certificate >LDAP
certificate
사전 요구 사항
-
IdM CA 갱신 서버와 모든 IdM 클라이언트 및 서버에 대한
루트
액세스 권한이 있습니다.
절차
IdM CA 갱신 서버에서 자체 서명으로 CA 인증서를 갱신합니다.
# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successful
root로 나머지 모든 IdM 서버 및 클라이언트에
. 예를 들면 다음과 같습니다.SSH
를 실행합니다# ssh root@idmclient01.idm.example.com
IdM 클라이언트에서 서버의 인증서를 사용하여 로컬 IdM 인증서 데이터베이스를 업데이트합니다.
[idmclient01 ~]# ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
선택적으로 업데이트에 성공했으며 새 CA 인증서가
/etc/ipa/ca.crt 파일에 추가되었는지 확인하려면 다음을 수행합니다.
[idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]
새 CA 인증서가 이전 CA 인증서와 함께 나열되므로 출력에 업데이트가 성공했음을 보여줍니다.