12.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트


다음 절차에 따라 외부 CA를 사용하여 CSR(인증서 서명 요청)에 서명하는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신합니다. 이 구성에서 IdM CA 서버는 외부 CA의 하위 CA입니다. 외부 CA는 AD CS(Active Directory 인증서 서버)일 수 있지만 필요하지 않습니다.

외부 인증 기관이 AD CS인 경우 CSR에서 IdM CA 인증서에 원하는 템플릿을 지정할 수 있습니다. 인증서 템플릿은 인증서 요청이 수신될 때 CA에서 사용하는 정책 및 규칙을 정의합니다. AD의 인증서 템플릿은 IdM의 인증서 프로필에 해당합니다.

특정 AD CS 템플릿을 해당 Object Identifier(OID)로 정의할 수 있습니다. OIDS는 분산 애플리케이션의 데이터 요소, 구문 및 기타 부분을 고유하게 식별하기 위해 다양한 발행 기관에서 발행한 고유한 숫자 값입니다.

또는 특정 AD CS 템플릿을 이름으로 정의할 수도 있습니다. 예를 들어 AD CS에 IdM CA에서 제출한 CSR에 사용되는 기본 프로필의 이름은 하위 CA입니다.

CSR에서 OID 또는 이름을 지정하여 프로필을 정의하려면 external-ca-profile 옵션을 사용합니다. 자세한 내용은 시스템의 ipa-cacert-manage 도움말 페이지를 참조하십시오.

미리 준비된 인증서 템플릿을 사용하는 것 외에도 AD CS에 사용자 정의 인증서 템플릿을 생성하여 CSR에서 사용할 수도 있습니다.

사전 요구 사항

  • IdM CA 갱신 서버에 대한 루트 액세스 권한이 있습니다.

절차

현재 CA 인증서가 자체 서명되었는지 또는 외부 서명되었는지 여부에 관계없이 외부 서명으로 IdM CA의 인증서를 갱신하려면 다음 절차를 완료합니다.

  1. 외부 CA에 제출할 CSR을 생성합니다.

    • 외부 CA가 AD CS인 경우 --external-ca-type=ms-cs 옵션을 사용합니다. 기본 subCA 템플릿과 다른 템플릿을 원하는 경우 --external-ca-profile 옵션을 사용하여 지정합니다.

      ~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful
    • 외부 CA가 AD CS가 아닌 경우:

      ~]# ipa-cacert-manage renew --external-ca
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful

      출력은 CSR이 생성되고 /var/lib/ipa/ca.csr 파일에 저장되었음을 보여줍니다.

  2. /var/lib/ipa/ca.csr 에 있는 CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
  3. 다음과 같은 기본 64 인코딩 Blob에서 발행 CA의 발급 인증서 및 CA 인증서 체인을 검색합니다.

    • 외부 CA가 AD CS가 아닌 경우 PEM 파일입니다.
    • 외부 CA가 AD CS인 경우 Base_64 인증서입니다.

      프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 통해 관리자는 필요한 모든 인증서를 다운로드할 수 있습니다.

      외부 CA가 AD CS이고 Microsoft Windows 인증 기관 관리 창을 통해 알려진 템플릿으로 CSR을 제출한 경우 AD CS에서 인증서를 즉시 발행하고 인증서 저장 대화 상자가 AD CS 웹 인터페이스에 표시되어 발급된 인증서를 저장할 위치를 묻는 메시지가 표시됩니다.

  4. ipa-cacert-manage renew 명령을 다시 실행하여 전체 인증서 체인을 제공하는 데 필요한 모든 CA 인증서 파일을 추가합니다. --external-cert-file 옵션을 여러 번 사용하여 필요한 파일을 여러 번 지정합니다.

    ~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
  5. 모든 IdM 서버 및 클라이언트에서 서버의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다.

    [client ~]$ ipa-certupdate
    Systemwide CA database updated.
    Systemwide CA database updated.
    The ipa-certupdate command was successful

검증

  1. 업데이트가 성공했는지 확인하고 새 CA 인증서가 /etc/ipa/ca.crt 파일에 추가되었습니다.

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
    [...]
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number: 39 (0x27)
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
            Validity
                Not Before: Jul  1 16:32:45 2019 GMT
                Not After : Jul  1 16:32:45 2039 GMT
            Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
    [...]

    이전 CA 인증서를 사용하여 새 CA 인증서가 나열되므로 출력에 업데이트가 성공한 것으로 표시됩니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.