7장. IdM 서버 설치: 루트 CA로 외부 CA가 있는 통합 DNS 없음
이 장에서는 외부 CA(인증 기관)를 루트 CA로 사용하는 통합 DNS 없이 새로운 IdM(Identity Management) 서버를 설치하는 방법을 설명합니다.
Red Hat은 IdM 배포 내의 기본 사용을 위해 IdM 통합 DNS를 설치하는 것이 좋습니다. IdM 서버는 DNS도 관리하는 경우 일부 DNS 레코드 관리를 자동화할 수 있는 DNS와 네이티브 IdM 툴 간에 긴밀하게 통합됩니다.
자세한 내용은 DNS 서비스 및 호스트 이름 계획을 참조하십시오.
7.1. 외부 CA가 있는 IdM CA를 루트 CA로 설치할 때 사용되는 옵션
다음 조건 중 하나가 적용되는 경우 외부 CA가 있는 IdM 인증 기관(CA)을 루트 CA로 설치할 수 있습니다.
-
ipa-server-install
명령을 사용하여 새 IdM 서버 또는 복제본을 설치하고 있습니다. -
ipa-ca-install
명령을 사용하여 기존 IdM 서버에 CA 구성 요소를 설치하고 있습니다.
외부 CA를 루트 CA로 사용하여 IdM CA를 설치하는 동안 CSR(인증서 서명 요청)을 생성하는 데 사용할 수 있는 두 명령에 다음 옵션을 사용할 수 있습니다.
- --external-ca-type=TYPE
-
외부 CA의 유형입니다. 가능한 값은
generic
및ms-cs
입니다. 기본값은generic
입니다. 생성된 CSR에 MS CS(Microsoft Certificate Services)에 필요한 템플릿 이름을 포함하려면ms-cs
를 사용합니다. 기본이 아닌 프로필을 사용하려면--external-ca-type=ms-cs
와 함께--external-ca-profile
옵션을 사용합니다. - --external-ca-profile=PROFILE_SPEC
IdM CA의 인증서를 발행할 때 MS CS를 적용할 인증서 프로필 또는 템플릿을 지정합니다.
--external-ca-profile
옵션은--external-ca-type
이 ms-cs인 경우에만 사용할 수 있습니다.다음 방법 중 하나로 MS CS 템플릿을 식별할 수 있습니다.
-
<oid>:<majorVersion>[:<minorVersion>]
. 인증서 템플릿을 OID(오브젝트 ID) 및 주요 버전으로 지정할 수 있습니다. 선택적으로 마이너 버전을 지정할 수도 있습니다. -
<name>
. 인증서 템플릿을 이름으로 지정할 수 있습니다. name은 : 문자를 포함할 수 없으며 OID가 될 수 없으며, 그렇지 않으면 OID 기반 템플릿 설치자 구문이 우선합니다. -
default
. 이 지정자를 사용하는 경우 템플릿 이름SubCA
가 사용됩니다.
-
특정 시나리오에서 AD(Active Directory) 관리자는 AD CS의 내장 템플릿인 Subordinate Certification Authority
(SCA) 템플릿을 사용하여 조직의 요구 사항에 맞게 고유한 템플릿을 만들 수 있습니다. 예를 들어 새 템플릿에는 사용자 지정된 유효 기간이 있고 사용자 지정된 확장 기능이 있을 수 있습니다. 연결된 OID(오브젝트 식별자)는 AD 인증서 템플릿
콘솔에서 확인할 수 있습니다.
AD 관리자가 원래의 기본 제공 템플릿을 비활성화한 경우 IdM CA의 인증서를 요청할 때 OID 또는 새 템플릿의 이름을 지정해야 합니다. AD 관리자에게 새 템플릿의 이름 또는 OID를 제공하도록 요청합니다.
원래 SCA AD CS 템플릿이 여전히 활성화되어 있는 경우 --external-ca-type=ms-cs 옵션을 추가로 사용하지 않고 --external-ca-type=ms
를 지정하여 사용할 수 있습니다. 이 경우 -
cssubCA
외부 CA 프로필이 사용됩니다. 이 프로필은 SCA AD CS 템플릿에 해당하는 기본 IdM 템플릿입니다.