Red Hat Summit4장. IdM으로 인증서 형식 변환
이 사용자 스토리는 IdM 시스템 관리자로서 특정 IdM 명령이 있는 인증서 형식을 올바르게 사용하고 있는지 확인하는 방법을 설명합니다. 예를 들어 다음과 같은 경우 유용합니다.
- 외부 인증서를 사용자 프로필에 로드하고 있습니다. 자세한 내용은 IdM 사용자 계정에 로드할 외부 인증서 변환을 참조하십시오.
- 스마트 카드 인증에 대해 IdM 서버를 구성하거나 스마트 카드 인증을 위해 IdM 클라이언트를 구성할 때 외부 CA 인증서를 사용하고 있어 사용자가 외부 인증 기관에서 발급한 인증서와 함께 스마트 카드를 사용하여 IdM을 인증할 수 있습니다.
- NSS 데이터베이스의 인증서를 인증서와 개인 키를 모두 포함하는 pkcs #12 형식으로 내보내고 있습니다. 자세한 내용은 NSS 데이터베이스에서 PKCS #12 파일로 인증서 및 개인 키 내보내기를 참조하십시오.
4.1. IdM의 인증서 형식 및 인코딩
IdM의 스마트 카드 인증을 포함한 인증서 인증은 사용자가 사용자의 IdM 프로필에 저장된 인증서 또는 인증서 데이터와 함께 제공하는 인증서를 비교하여 진행됩니다.
시스템 구성
IdM 프로필에 저장된 데이터는 해당 개인 키가 아닌 인증서일 뿐입니다. 인증 중에는 사용자가 해당 개인 키를 소유하고 있음을 표시해야합니다. 사용자는 인증서와 개인 키를 둘 다 포함하는 PKCS #12 파일을 제공하거나 인증서가 포함된 파일과 개인 키를 포함하는 다른 파일 중 하나를 제공합니다.
따라서 사용자 프로필에 인증서를 로드하는 등의 프로세스는 개인 키가 포함되지 않은 인증서 파일만 허용합니다.
마찬가지로 시스템 관리자가 외부 CA 인증서를 제공하면 개인 키가 없는 인증서인 공개 데이터만 제공합니다. IdM 서버 또는 스마트 카드 인증에 대한 IdM 클라이언트를 구성하기 위한 ipa-advise 유틸리티에는 입력 파일에 외부 CA의 인증서가 포함되지만 개인 키는 포함되지 않습니다.
인증서 인코딩
두 가지 일반적인 인증서 인코딩이 있습니다. 개인 정보 보호 규정 (PEM) 및 Distinguished octets 규칙 (DER). base64 형식은 PEM 형식과 거의 동일하지만 ---- BEGINCERTIFICATE--------END CERTIFICATE------------- header 및 footer는 포함되어 있지 않습니다.
DER 를 사용하여 인코딩된 인증서는 바이너리 X509 디지털 인증서 파일입니다. 바이너리 파일로, 인증서는 사람이 읽을 수 없습니다. DER 파일에는 .der 파일 이름 확장자를 사용하는 경우가 있지만 .crt 및 .cer 파일 이름 확장자가 있는 파일에 DER 인증서도 포함되어 있는 경우가 있습니다. 키가 포함된 DER 파일의 이름은 .key . key일 수 있습니다.
PEM Base64를 사용하여 인코딩된 인증서는 사람이 읽을 수 있는 파일입니다. 파일에는 ASCII(Base64)가 "-----BEGIN" 행이 접두사로 붙은 데이터가 포함됩니다. PEM 파일에는 .pem 파일 이름 확장자를 사용하는 경우가 있지만 .crt 및 .cer 파일 이름 확장자가 있는 파일에도 PEM 인증서가 포함되어 있는 경우가 있습니다. 키가 포함된 PEM 파일의 이름은 .key . key일 수 있습니다.
ipa 명령과 다른 ipa 명령에는 허용되는 인증서 유형과 관련하여 다른 제한 사항이 있습니다. 예를 들어 ipa user-add-cert 명령은 base64 형식으로 인코딩된 인증서만 허용하지만 ipa-server-certinstall 은 PEM, DER, PKCS #7, PKCS #8 및 PKCS #12 인증서를 수락합니다.
| 인코딩 형식 | 사용자가 읽을 수 있는 | 일반적인 파일 이름 확장 | 인코딩 형식을 수락하는 샘플 IdM 명령 |
|---|---|---|---|
| PEM/base64 | 있음 | .pem, .crt, .cer | ipa user-add-cert, ipa-server-certinstall, … |
| DER | 없음 | .der, .crt, .cer | ipa-server-certinstall, … |
IdM의 인증서 관련 명령 및 형식에는 명령이 허용하는 인증서 형식과 함께 추가 ipa 명령이 나열됩니다.
사용자 인증
웹 UI를 사용하여 IdM에 액세스하는 경우 사용자는 브라우저의 데이터베이스에 모두 저장되어 있는 개인 키의 인증서가 해당 개인 키임을 증명합니다.
CLI를 사용하여 IdM에 액세스하는 경우 사용자는 다음 방법 중 하나로 인증서에 해당하는 개인 키의 소유임을 증명합니다.
사용자는
kinit -X명령의X509_user_identity매개변수 값으로, 인증서와 키가 모두 포함된 스마트 카드 모듈에 연결된 스마트 카드 모듈의 경로로 추가합니다.$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' idm_user사용자는
kinit -X명령의X509_user_identity매개변수 값으로 두 개의 파일을 추가하고 다른 하나는 인증서를 포함하는 개인 키입니다.$ kinit -X X509_user_identity='FILE:`/path/to/cert.pem,/path/to/cert.key`' idm_user
유용한 인증서 명령
주체 및 발급자와 같은 인증서 데이터를 보려면 다음을 수행합니다.
$ openssl x509 -noout -text -in ca.pem두 개의 인증서가 다른 행을 비교하려면 다음을 수행합니다.
$ diff cert1.crt cert2.crt두 개의 인증서가 두 열에 표시된 출력과 다른 행을 비교하려면 다음을 수행합니다.
$ diff cert1.crt cert2.crt -y
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}