Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

20장. 인증서의 하위 집합만 신뢰하도록 애플리케이션 제한

IdM(Identity Management) 설치가 통합 CA(Certificate System) CA(인증 기관)로 구성된 경우 간단한 하위 시스템을 생성할 수 있습니다. 생성하는 모든 하위 CA는 인증서 시스템의 기본 CA인 ipa CA로 하위 설정됩니다.

이 컨텍스트의 간단한 하위 보안 은 하위 CA에서 특정 용도로 인증서를 발행하는 것을 의미합니다. 예를 들어, 경량 하위 CA를 사용하면 가상 사설 네트워크( VPN) 게이트웨이 및 웹 브라우저와 같은 서비스를 구성하여 하위 CA A 에서 발급한 인증서만 허용할 수 있습니다. 하위 CA B에서 발급한 인증서만 허용하도록 기타 서비스를 구성하면 하위 CA A, 기본 CA(기본 CA, 즉 ipa CA)에서 발급한 인증서가 수락되지 않도록 하고, 둘 사이의 중간 하위 CA입니다.

하위 CA의 중간 인증서를 취소하면 이 하위 CA에서 발급한 모든 인증서가 올바르게 구성된 클라이언트에 의해 자동으로 유효하지 않은 것으로 간주됩니다. 루트 CA, ipa 또는 다른 하위 CA에서 직접 발급한 다른 모든 인증서는 유효한 상태로 유지됩니다.

이 섹션에서는 Apache 웹 서버의 예제를 사용하여 인증서의 하위 집합만 신뢰하도록 애플리케이션을 제한하는 방법을 설명합니다. webclient-ca IdM 하위 CA에서 발급한 인증서를 사용하도록 IdM 클라이언트에서 실행 중인 웹 서버를 제한하고, 사용자가 webclient -ca IdM 하위 시스템에서 발행한 사용자 인증서를 사용하여 웹 서버를 인증하도록 하려면 이 섹션을 완료합니다.

취해야 하는 단계는 다음과 같습니다.

  1. IdM 하위 CA 생성
  2. IdM WebUI에서 하위 CA 인증서 다운로드
  3. 사용자, 서비스 및 CA의 올바른 조합 및 사용된 인증서 프로필을 지정하는 CA ACL 생성
  4. IdM 하위 CA의 IdM 클라이언트에서 실행되는 웹 서비스에 대한 인증서를 요청합니다.
  5. 단일 인스턴스 Apache HTTP Server 설정
  6. Apache HTTP 서버에 TLS 암호화 추가
  7. Apache HTTP Server에서 지원되는 TLS 프로토콜 버전 설정
  8. Apache HTTP Server에서 지원되는 암호 설정
  9. 웹 서버에서 TLS 클라이언트 인증서 인증 구성
  10. IdM 하위 CA에서 사용자에 대한 인증서를 요청하고 클라이언트로 내보냅니다.
  11. 브라우저로 사용자 인증서를 가져오고 하위 CA 인증서를 신뢰하도록 브라우저를 구성합니다.

20.1. 경량 하위 서비스 관리
링크 복사

이 섹션에서는 경량의 하위 인증 기관(sub-CA)을 관리하는 방법을 설명합니다. 생성하는 모든 하위 CA는 인증서 시스템의 기본 CA인 ipa CA로 하위 설정됩니다. 하위 서비스를 비활성화하고 삭제할 수도 있습니다.

참고
  • 하위 CA를 삭제하면 해당 하위 서비스에 대한 해지 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 아닌 해당 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 인증서가 아직 만료되지 않은 동안에는 하위 CA만 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

20.1.1. IdM 웹 UI에서 하위 CA 생성
링크 복사

IdM WebUI를 사용하여 webserver-cawebclient-ca 라는 새 하위 CA를 생성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • 관리자로 로그인했습니다.

절차

  1. 인증 메뉴에서 인증서 를 클릭합니다.
  2. 인증 기관을 선택하고 추가 를 클릭합니다.
  3. webserver-ca 하위 CA의 이름을 입력합니다. 주체 DN (예: CN=WEBSERVER,O=IDM.EXAMPLE.COM )을 주체 DN 필드에 입력합니다. 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
  4. webclient-ca 하위 CA의 이름을 입력합니다. 주체 DN 필드에 CN=WEBCLIENT,O=IDM.EXAMPLE.COM 을 입력합니다.

  5. 명령줄에서 ipa-certupdate 명령을 실행하여 webserver-cawebclient-ca 하위 CA 인증서에 대한 certmonger 추적 요청을 생성합니다. 

    [root@ipaserver ~]# ipa-certupdate
    Copy to Clipboard Toggle word wrap
    중요

    하위 인증서를 생성한 후 ipa-certupdate 명령을 실행하는 것을 잊어 버린 경우, 하위 인증서가 만료되지 않은 경우에도 하위 CA에서 발행한 엔드-엔티 인증서가 유효하지 않은 것으로 간주됩니다.

검증

  • 새 하위 CA의 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인합니다. 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Copy to Clipboard Toggle word wrap
    참고

    새 하위 CA 인증서는 인증서 시스템 인스턴스가 설치된 모든 복제본으로 자동 전송됩니다.

20.1.2. IdM 웹 UI에서 하위 CA 삭제
링크 복사

IdM WebUI에서 경량 하위 CA를 삭제하려면 다음 절차를 따르십시오.

참고
  • 하위 CA를 삭제하면 해당 하위 서비스에 대한 해지 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 아닌 해당 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 인증서가 아직 만료되지 않은 동안에는 하위 CA만 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

사전 요구 사항

절차

  1. IdM WebUI에서 인증 탭을 열고 인증서 하위 탭을 선택합니다.
  2. 인증 기관을 선택합니다.

  3. 제거할 하위 요소를 선택하고 삭제를 클릭합니다.

    그림 20.1. IdM 웹 UI에서 하위 CA 삭제

    인증 기관 및 하위 인증 기관을 추가 및 삭제할 수 있는
    View larger image
    인증 기관 및 하위 인증 기관을 추가 및 삭제할 수 있는
  4. 삭제를 클릭하여 확인합니다.

20.1.3. IdM CLI에서 하위 서비스 생성
링크 복사

IdM CLI를 사용하여 webserver-cawebclient-ca 라는 새 하위 CA를 생성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • CA 서버인 IdM 서버에 관리자로 로그인했습니다.

절차

  1. ipa ca-add 명령을 입력하고 webserver-ca 하위 CA의 이름과 해당 Subject Distinguished Name(DN)을 지정합니다. 

    [root@ipaserver ~]# ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webserver-ca"
-------------------
  Name: webserver-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap
    이름
    CA의 이름입니다.
    권한 ID
    CA의 개별 ID가 자동으로 생성됩니다.
    제목 dn
    DN( subject Distinguished Name)입니다. 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
    발행자 DN
    하위 CA 인증서를 발급한 상위 CA입니다. 모든 하위 서비스는 IdM 루트 CA의 하위로 생성됩니다.

  2. 웹 클라이언트에 인증서를 발행할 webclient-ca 하위 CA를 생성합니다. 

    [root@ipaserver ~]# ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webclient-ca"
-------------------
  Name: webclient-ca
  Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  3. ipa-certupdate 명령을 실행하여 webserver-cawebclient-ca 하위 CA 인증서에 대한 certmonger 추적 요청을 생성합니다. 

    [root@ipaserver ~]# ipa-certupdate
    Copy to Clipboard Toggle word wrap
    중요

    하위 CA 및 하위 CA 인증서를 생성한 후 ipa-certupdate 명령을 실행하는 것을 잊어 버린 경우, 엔드-센티 인증서가 만료되지 않은 경우에도 해당 하위 계정에서 발급한 엔드-엔티 인증서가 유효하지 않은 것으로 간주됩니다.

검증

  • 새 하위 CA의 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인합니다. 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Copy to Clipboard Toggle word wrap
    참고

    새 하위 CA 인증서는 인증서 시스템 인스턴스가 설치된 모든 복제본으로 자동 전송됩니다.

20.1.4. IdM CLI에서 하위 서비스 비활성화
링크 복사

IdM CLI에서 하위 CA를 비활성화하려면 다음 절차를 따르십시오. 하위 CA에서 발급한 만료되지 않은 인증서가 여전히 있는 경우 삭제할 수는 없지만 비활성화할 수 있습니다. 서브-CA를 삭제하면 해당 하위 서비스에 대한 해지 검사가 더 이상 작동하지 않습니다.

사전 요구 사항

  • 관리자로 로그인했습니다.

절차

  1. ipa ca-find 명령을 실행하여 삭제 중인 하위 CA의 이름을 확인합니다. 

    [root@ipaserver ~]# ipa ca-find
-------------
3 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

 Name: webserver-ca
  Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 3
----------------------------
    Copy to Clipboard Toggle word wrap

  2. ipa ca-disable 명령을 실행하여 하위 CA(이 예에서는 webserver-ca )를 비활성화합니다. 

    ipa ca-disable webserver-ca
--------------------------
Disabled CA "webserver-ca"
--------------------------
    Copy to Clipboard Toggle word wrap

20.1.5. IdM CLI에서 하위 CA 삭제
링크 복사

IdM CLI에서 경량 하위 CA를 삭제하려면 다음 절차를 따르십시오.

참고
  • 하위 CA를 삭제하면 해당 하위 서비스에 대한 해지 검사가 더 이상 작동하지 않습니다. 향후 만료 시간이 아닌 해당 하위 CA에서 발급한 인증서가 더 이상 없는 경우에만 하위 CA를 삭제합니다.
  • 해당 하위 CA에서 발행한 인증서가 아직 만료되지 않은 동안에는 하위 CA만 비활성화해야 합니다. 하위 CA에서 발급한 모든 인증서가 만료된 경우 해당 하위 CA를 삭제할 수 있습니다.
  • IdM CA를 비활성화하거나 삭제할 수 없습니다.

사전 요구 사항

  • 관리자로 로그인했습니다.

절차

  1. 하위 CA 및 CA 목록을 표시하려면 ipa ca-find 명령을 실행합니다. 

    # ipa ca-find
-------------
3 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

 Name: webserver-ca
  Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 3
----------------------------
    Copy to Clipboard Toggle word wrap

  2. ipa ca-disable 명령을 실행하여 하위 CA(이 예에서는 webserver-ca )를 비활성화합니다. 

    # ipa ca-disable webserver-ca
--------------------------
Disabled CA "webserver-ca"
--------------------------
    Copy to Clipboard Toggle word wrap

  3. 이 예에서 sub-CA를 삭제합니다. webserver-ca: 

    # ipa ca-del webserver-ca
-------------------------
Deleted CA "webserver-ca"
-------------------------
    Copy to Clipboard Toggle word wrap

검증

  • ipa ca-find 를 실행하여 CA 및 하위 CA 목록을 표시합니다. webserver-ca 는 더 이상 목록에 없습니다. 

    # ipa ca-find
-------------
2 CAs matched
-------------
  Name: ipa
  Description: IPA CA
  Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
  Subject DN: CN=Certificate Authority,O=IPA.TEST
  Issuer DN: CN=Certificate Authority,O=IPA.TEST

  Name: webclient-ca
  Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IPA.TEST
----------------------------
Number of entries returned 2
----------------------------
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat