7장. IdM 서버 설치: 루트 CA로 외부 CA가 있는 통합 DNS 없음
외부 CA(인증 기관)를 루트 CA로 사용하는 통합 DNS 없이 새 IdM(Identity Management) 서버를 설치할 수 있습니다.
IdM 배포 내에서 기본 사용을 위해 IdM 통합 DNS를 설치합니다. IdM 서버는 DNS도 관리하는 경우 일부 DNS 레코드 관리를 자동화할 수 있는 DNS와 네이티브 IdM 툴 간에 긴밀하게 통합됩니다.
자세한 내용은 DNS 서비스 및 호스트 이름 계획을 참조하십시오.
7.1. 외부 CA가 있는 IdM CA를 루트 CA로 설치할 때 사용되는 옵션
다음 조건 중 하나가 적용되는 경우 외부 CA가 있는 IdM 인증 기관(CA)을 루트 CA로 설치할 수 있습니다.
-
ipa-server-install명령을 사용하여 새 IdM 서버 또는 복제본을 설치하고 있습니다. -
ipa-ca-install명령을 사용하여 기존 IdM 서버에 CA 구성 요소를 설치하고 있습니다.
외부 CA를 루트 CA로 사용하여 IdM CA를 설치하는 동안 CSR(인증서 서명 요청)을 생성하는 데 사용할 수 있는 두 명령에 다음 옵션을 사용할 수 있습니다.
- --external-ca-type=TYPE
-
외부 CA의 유형입니다. 가능한 값은
generic및ms-cs입니다. 기본값은generic입니다. 생성된 CSR에 MS CS(Microsoft Certificate Services)에 필요한 템플릿 이름을 포함하려면ms-cs를 사용합니다. 기본이 아닌 프로필을 사용하려면--external-ca-type=ms-cs와 함께--external-ca-profile옵션을 사용합니다. - --external-ca-profile=PROFILE_SPEC
IdM CA의 인증서를 발행할 때 MS CS를 적용할 인증서 프로필 또는 템플릿을 지정합니다.
--external-ca-profile옵션은--external-ca-type이 ms-cs인 경우에만 사용할 수 있습니다.다음 방법 중 하나로 MS CS 템플릿을 식별할 수 있습니다.
-
<oid>:<majorVersion>[:<minorVersion>]. 인증서 템플릿을 OID(오브젝트 ID) 및 주요 버전으로 지정할 수 있습니다. 선택적으로 마이너 버전을 지정할 수도 있습니다. -
<name>. 인증서 템플릿을 이름으로 지정할 수 있습니다. name은 : 문자를 포함할 수 없으며 OID가 될 수 없으며, 그렇지 않으면 OID 기반 템플릿 설치자 구문이 우선합니다. -
default. 이 지정자를 사용하는 경우 템플릿 이름SubCA가 사용됩니다.
-
특정 시나리오에서 AD(Active Directory) 관리자는 AD CS의 내장 템플릿인 Subordinate Certification Authority (SCA) 템플릿을 사용하여 조직의 요구 사항에 맞게 고유한 템플릿을 만들 수 있습니다. 예를 들어 새 템플릿에는 사용자 지정된 유효 기간이 있고 사용자 지정된 확장 기능이 있을 수 있습니다. 연결된 OID(오브젝트 식별자)는 AD 인증서 템플릿 콘솔에서 확인할 수 있습니다.
AD 관리자가 원래의 기본 제공 템플릿을 비활성화한 경우 IdM CA의 인증서를 요청할 때 OID 또는 새 템플릿의 이름을 지정해야 합니다. AD 관리자에게 새 템플릿의 이름 또는 OID를 제공하도록 요청합니다.
원래 SCA AD CS 템플릿이 여전히 활성화되어 있는 경우 --external-ca-type=ms-cs 옵션을 추가로 사용하지 않고 --external-ca-type=ms 를 지정하여 사용할 수 있습니다. 이 경우 - cssubCA 외부 CA 프로필이 사용됩니다. 이 프로필은 SCA AD CS 템플릿에 해당하는 기본 IdM 템플릿입니다.
