5장. IdM에서 작동하도록 인증서 형식 변환

IdM의 스마트 카드 인증이 포함된 인증서 인증은 사용자가 제공하는 인증서 또는 사용자의 IdM 프로필에 저장된 인증서 데이터를 비교하여 진행합니다.

따라서 사용자 프로필에 인증서를 로드하는 것과 같은 프로세스는 개인 키가 포함되지 않은 인증서 파일만 허용합니다.

마찬가지로 시스템 관리자가 외부 CA 인증서를 제공할 때 공개 데이터만 제공합니다. 개인 키가 없는 인증서만 제공합니다. IdM 서버 또는 스마트 카드 인증을 위한 IdM 클라이언트를 구성하기 위한 ipa-advise 유틸리티에서는 입력 파일에 개인 키가 아닌 외부 CA의 인증서가 포함되어 있어야 합니다.

DER 를 사용하여 인코딩한 인증서는 바이너리 X509 디지털 인증서 파일입니다. 바이너리 파일로, 인증서는 사람이 읽을 수 없습니다. DER 파일은 때때로 .der 파일 이름 확장자를 사용하지만 .crt 및 .cer 파일 이름이 확장 된 파일에도 DER 인증서가 포함될 수 있습니다. 키를 포함하는 DER 파일의 이름은 .key 일 수 있습니다.

PEM Base64를 사용하여 인코딩한 인증서는 사람이 읽을 수 있는 파일입니다. 파일에는 ASCII(Base64)가 "------BEGIN" 줄이 접두사가 붙은 데이터가 포함되어 있습니다. PEM 파일은 경우에 따라 .pem 파일 이름 확장자를 사용하지만 .crt 및 .cer 파일 이름 확장자가 있는 파일에 PEM 인증서가 포함된 경우가 있습니다. 키가 포함된 PEM 파일의 이름은 .key 로 지정할 수 있습니다.

다른 ipa 명령은 수락하는 인증서 유형에 대한 다른 제한 사항이 있습니다. 예를 들어 ipa user-add-cert 명령은 base64 형식으로 인코딩된 인증서만 허용하지만 ipa-server-certinstall 은 PEM, DER, PKCS #7, PKCS #8 및 PKCS #12 인증서를 허용합니다.

IdM의 인증서 관련 명령 및 형식은 명령에서 허용하는 인증서 형식과 함께 추가 ipa 명령을 나열합니다.

CLI를 사용하여 IdM에 액세스하는 경우 사용자는 다음 방법 중 하나로 인증서에 해당하는 개인 키를 보유하고 있음을 증명합니다.

$ openssl x509 -noout -text -in ca.pem

두 인증서의 차이가 있는 행을 비교하려면 다음을 수행합니다.

$ diff cert1.crt cert2.crt

두 인증서의 행을 두 개의 인증서가 두 열에 표시된 출력과 비교하려면 다음을 수행합니다.

$ diff cert1.crt cert2.crt -y