78.3. 인증서 RHEL 시스템 역할을 사용하여 IdM CA에서 새 인증서 요청
인증서
시스템 역할을 사용하면 통합 CA(인증 기관)가 있는 IdM 서버를 사용하는 동안 anible-core
를 사용하여 인증서를 발행할 수 있습니다. 따라서 IdM을 CA로 사용할 때 여러 시스템의 인증서 신뢰 체인을 효율적이고 일관되게 관리할 수 있습니다.
이 프로세스는 certmonger
프로바이더를 사용하고 getcert
명령을 통해 인증서를 요청합니다.
사전 요구 사항
- 컨트롤 노드 및 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo
권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml
)을 생성합니다.--- - hosts: managed-node-01.example.com roles: - rhel-system-roles.certificate vars: certificate_requests: - name: mycert dns: www.example.com principal: HTTP/www.example.com@EXAMPLE.COM ca: ipa
-
name
매개 변수를mycert
와 같이 원하는 인증서 이름으로 설정합니다. -
dns
매개 변수를 인증서에 포함할 도메인(예:www.example.com)
으로 설정합니다. -
principal
매개 변수를 설정하여 Kerberos 주체(예:HTTP/www.example.com@EXAMPLE.COM)를
지정합니다. -
ca
매개 변수를ipa
로 설정합니다.
기본적으로
certmonger
는 만료되기 전에 자동으로 인증서를 갱신하려고 합니다. Ansible 플레이북에서auto_renew
매개 변수를no
로 설정하여 이 설정을 비활성화할 수 있습니다.-
플레이북 구문을 확인합니다.
$ ansible-playbook --syntax-check ~/playbook.yml
이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
$ ansible-playbook ~/playbook.yml
추가 리소스
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.md
파일 -
/usr/share/doc/rhel-system-roles/certificate/
directory